2015-ben fogadták el és 2016 elején lépett hatályba a 2015/2366-os számú PSD2 direktíva. A pénzforgalmi szolgáltatásokról szóló irányelv (Payment Services Directive 2) az öreg kontinens pénzügyi piacának további egységesítését tűzte ki célul. Ezen felül a hagyományos pénzintézeteknek rugalmasságukkal, gyors alkalmazkodóképességükkel konkurenciát állító fintech vállalkozásokat is helyzetbe akarta hozni.

A PSD2 egyik fontos részeként az európai bankokat nyílt, szabványos hozzáférést lehetővé tevő alkalmazásprogramozási felületek létrehozására kötelezte. Az API-k révén – a felhasználó engedélyével - külső felek is kezdeményezhetnek pénzügyi tranzakciókat, vagyis gyakorlatilag a bankok pénzpiaci monopóliumának megtörésére irányul PSD2. Hasonló jelenségnek lehettünk tanúi az ezredforduló után, amikor az internetes hálózati infrastruktúrák zömét kiépítő szolgáltatókat (köztük a piac inkumbens szereplőit) kötelezték rendszereik harmadik fél előtti megnyitására.

Kétféle új típusú szolgáltatót határoz meg a direktíva: a számlainformációs szolgáltatást nyújtó vállalkozásokat (AISP - Account Information Service Provider) és a fizetéskezdeményezési szolgáltatókat (PISP - Payment Initiation Service Provider). Előbbi bevezetésére 2018 elején került sor, feladata pedig az ügyfelek számlainformációinak összegyűjtése, természetesen a nevükben és felhatalmazásukkal. Utóbbi fogalom 2019 első negyedévében válik valósággá; a külső szolgáltatók ezt követően online fizetéseket banki tranzakciós díj nélkül kezdeményezhetnek – szintén a fogyasztók nevében és felhatalmazásuk birtokában.

A csalók már lesben állnak

Látható tehát, hogy a PSD2 által előírt nyílt API-használat újabb taggal gyarapítja a bank + ügyfél képletet. A nagy kérdés, hogy a várható előnyök mellett milyen hátrányokat jelent, mekkora kockázatokkal kell szembenéznie az érintetteknek.

A McKinsey év elején közreadott jelentése szerint a bankok többségének nem okoz biztonsági problémát a PSD2 bevezetése, legalábbis nem általánosságban. A várható kockázatok csökkentését azonban gyakorlatilag minden pénzintézet megemlítette, kiemelve a csalások felderítését és kezelését végző megoldásokba való befektetés szükségét.

Ezt olyan ellenőrzőkkel akarják elérni, mint amilyen a fejlett analitika és a csalásokra irányuló támadásokat észlelő hatékony eszközök. A McKinsey Global Payments Practice PSD2 Survey 2017 felmérés válaszadói szerint a harmadik fél általi ügyfélfiók-hozzáférések komoly problémát jelentenek a csalások tekintetében, ezért a csalásmegelőzés kiemelt fontosságot kap a pénzforgalmi direktíva terjedése kapcsán.

Kihívások és a rájuk adható válaszok

Lássunk néhány példát, milyen biztonsági incidensek követhetik a nyílt API-k terjedését! Például védtelenné válhatnak a banki ügyfelek adatai a harmadik félnél bekövetkező sikeres támadás után. Az idei év május végén hatályba lépett GDPR szabályozás szerencsére minimalizálja ennek hatását. A pénzintézeteknek ugyanis meg kell győződniük arról, hogy az ügyfeleik és közéjük beékelődő harmadik fél megtette a szükséges technikai és szervezeti lépéseket a felhasználói adatok megfelelő védelme érdekében.

Ha azonban mégis bekövetkezett a baj, akkor a külső szolgáltató irányából érkező csaló információszerzési és/vagy pénzátutalási kísérletekre kerülhet sor. Ezek az incidensek a külső pénzügyi szervezetek mobilalkalmazásának vagy webes alkalmazásának gyengeségei miatt bukkanhatnak fel. Hasonló jellegű gondot okozhatnak a harmadik fél alkalmazottjaitól beérkező csalási próbálkozások.

Banki szempontból tehát kötelező a kockázatok mérséklése. Történhet ez tranzakciós kockázatelemzéssel, felderítve a csaló tranzakciókat és felhasználói viselkedéseket. A PSD2
előírásai erre minden egyes tranzakció esetében kötelezik a szolgáltatókat, így észlelhetők az olyan próbálkozások, amikor például a támadó nem rendelkezik a használni kívánt bankkártyával. Ez vezethet el a harmadik félnél bekövetkezett biztonsági események és az API implementálásában előforduló sebezhetőségek felfedezéséhez is.

Szintén fontos a megfelelő hitelesítési modell választása. A két- vagy többfaktoros, biometriára alapuló autentikáció alkalmazása megkerülhetetlen feladat – ahogyan a kommunikációs csatornák védelme is. Elengedhetetlen a SSL/TSL-hez hasonlóan biztonságos protokollokon keresztüli adatforgalom és kölcsönös hitelesítés a bank és a külső pénzügyi szolgáltató között. Utóbbiaktól meg kell követelni független biztonsági auditálásuk jelentéseinek megtekinthetőségét. Ezeknek tartalmaznia kell többek között a kockázatértékelés, az adatvédelem, a biztonsági események megfigyelése és beszámolója, az üzletfolytonosság és a governance terén tett lépéseket.

Új korszak hajnalán

Végül, de nem utolsósorban el kell kerülni a nem megfelelő API implementálásból eredő biztonsági sebezhetőségek kialakulását. Meg kell győződni arról, hogy az API által használt adatformátumtól függetlenül az alkalmazásprogramozási felület adatstruktúrákat feldolgozó szoftveres komponense ellenálló a támadásokkal szemben. A biztonsági elemzés és tesztelés minden API-t és érintett eszközt le kell, hogy fedjen.

Betartva a PSD2 szabályait, a nyílt alkalmazásprogramozási felületek használata új, innovatív banki szolgáltatások és alkalmazások korszakát hozza magával. Ez az ügyféligényeket jobban lefedő lehetőség azonban együtt kell, hogy járjon a pénzintézetek banki támadások elleni védekezésének további erősödésével. A kiberbűnözőket meg kell akadályozni abban, hogy hozzáférhessenek az ügyféladatokhoz és tranzakciós információkhoz a nyílt API-k terjedése révén.

A bankoknak és a külső pénzügyi szolgáltatást nyújtó szervezeteknek tisztában kell lenniük a rájuk leselkedő kockázatokról és lépéseket kell tenniük elhárításuk érdekében.