05
Οδηγός 05 από 08 · Χρηματοοικονομικά
ΔιαθέσιμοSMSWhatsApp

OTP για ελληνικές τραπεζικές υπηρεσίες: Πειραιώς, Alpha, Eurobank, Εθνική — PSD2 SCA σε 3 δευτερόλεπτα

Οι τέσσερις συστημικές ελληνικές τράπεζες — Τράπεζα Πειραιώς, Alpha Bank, Eurobank, Εθνική Τράπεζα — χρησιμοποιούν εκτενώς OTP μέσω SMS για strong customer authentication (SCA) υπό PSD2. Η Τράπεζα της Ελλάδος (ΤτΕ) και η ΕΚΤ έχουν εκδώσει σαφείς κατευθύνσεις: το OTP πρέπει να είναι one-time, time-bound (συνήθως 5 λεπτά), συνδεδεμένο με το συγκεκριμένο payment και αδύνατο να αναπαραχθεί.

Πρόβλημα

Ένα OTP που φτάνει σε 9 δευτερόλεπτα κάνει τον χρήστη να εγκαταλείπει το checkout. Στα μεγάλα ελληνικά e-banking, P95 latency > 6 s σημαίνει cart abandonment +18 %. Πρόσθεσε και το ότι ο πελάτης μπορεί να βρίσκεται σε roaming (cruise ships στο Αιγαίο, κτλ) — το routing γίνεται ζήτημα.

Νομικό πλαίσιο
PSD2 RTS on SCA — Άρθρο 4

Δύο ανεξάρτητοι παράγοντες (γνώση + κατοχή ή ιδιότητα). Ο SMS OTP καλύπτει „κατοχή" εφόσον είναι dynamically linked και time-bound.

EBA/GL/2017/13 — Risk mitigation

Μέγιστο TTL ορίζεται από την τράπεζα· συνιστάται ≤ 5 λεπτά. Επιτυχημένος κωδικός δεν επιτρέπεται να ξαναχρησιμοποιηθεί.

ΕΛ. Πλαίσιο 4537/2018 (PSD2 μεταφορά)

Εθνικός νόμος υλοποίησης PSD2· εποπτεία ΤτΕ· καλύπτει και αναφορά incidents σε σοβαρή αποτυχία SCA.

Αρχιτεκτονική
01

Premium routing μόνο

Τα OTP δρομολογούνται αποκλειστικά μέσω tier-1 premium κανάλι· καμία fallback σε standard rate. Latency target P95 < 3 s.

02

Generate-and-sign API

Η τράπεζα καλεί POST /v1/otp/generate, λαμβάνει { code, transaction_hash, ttl_seconds }. Το hash επιτρέπει verification χωρίς αποθήκευση raw code.

03

Dynamic linking στο payment

Το OTP δεσμεύεται με το amount + IBAN παραλήπτη. Εάν αλλάξει οποιοδήποτε από τα δύο πριν την επιβεβαίωση, το OTP ακυρώνεται αυτόματα.

04

Roaming/MNP-aware delivery

Πριν την αποστολή, HLR check αποκαλύπτει αν το κινητό είναι σε roaming. Σε αυτή την περίπτωση επιλέγεται premium roaming route ή ενεργοποιείται WhatsApp fallback.

Κώδικας
json
{
  "channel": "sms",
  "template_id": "psd2_sca_otp_v3",
  "recipient": "+306987123456",
  "ttl_seconds": 300,
  "dynamic_linking": {
    "amount_eur": 248.50,
    "creditor_iban": "GR1601100400000004012345678"
  },
  "variables": {
    "code": "$generated",
    "merchant_name": "YourBrand"
  }
}
Δείγμα μηνύματος
SMS

YourBrand: O kodikos epivevaiosis 482917 gia synallagi 248,50€ pros GR16…5678. Iskhyei gia 5 lepta. Mi mirazomenos.

Πριν την έναρξη
  • Premium-only routing ενεργοποιημένο για OTP template
  • TTL = 300 s, single-use enforcement στον verifier
  • Dynamic linking (amount + IBAN) στο template
  • Roaming detection ενεργό· WhatsApp fallback
  • Αναφορά PSD2 incidents στο TtΕ σε Major Incident
  • P95 latency monitor < 3 s με auto-alarm
Τι κάνει διαφορετικά το 4notify

Premium-only routing με P95 < 3 s, dynamic linking out-of-the-box και roaming-aware fallback — έτοιμο για PSD2 SCA από την πρώτη μέρα.

Συχνές ερωτήσεις
Επιτρέπεται OTP μέσω WhatsApp για PSD2;

Ναι, εφόσον πληρούνται τα ίδια κριτήρια (single-use, time-bound, dynamic linking). Η EBA έχει δηλώσει ρητά ότι ο κανόνας είναι channel-agnostic.

Πόσο διαρκεί το OTP για μεγάλες συναλλαγές;

Για > 50 000 € οι τράπεζες συχνά μειώνουν TTL σε 60–120 s ή απαιτούν επιπλέον επιβεβαίωση μέσω in-app biometric.

Καταγράφεται ο OTP κωδικός;

Όχι ο raw code. Καταγράφεται hash + ώρα παραγωγής/χρήσης. Το hash αρκεί για audit χωρίς να εκθέτει sensitive data.

Ξεκινήστε δωρεάν

14 ημέρες, χωρίς κάρτα. Υποστήριξη στα ελληνικά.

Άλλοι οδηγοί
01 · Πάροχοι

Αποστολή SMS στην Ελλάδα μέσω διεθνούς πύλης: ορθή διεύθυνση, alphanumeric sender ID και STOP

02 · Πάροχοι

Πάροχοι κινητής στην Ελλάδα: Cosmote, Vodafone Greece και Nova — τι σημαίνει για την παράδοση

03 · Συμμόρφωση

GDPR & ελληνική HDPA: συναίνεση για marketing SMS, email και WhatsApp

04 · E-commerce

Skroutz, BestPrice και „Verified Customer": αυτόματο email αξιολόγησης χωρίς να καίγεται η reputation σας

06 · Logistics

Tracking για ACS, ELTA Courier, Speedex και Geniki Taxydromiki: ένα webhook, τέσσερις μεταφορείς

07 · Υγεία

Νοσοκομεία και ehealth ραντεβού: αυτόματη υπενθύμιση μέσω ΗΔΙΚΑ-friendly notifications

08 · Επιχειρησιακά

Πάσχα και Μαύρη Παρασκευή στην Ελλάδα: orchestration αιχμής φόρτου σε notifications