La Strong Customer Authentication per la sicurezza degli utenti 2018-06-15T15:05:47+00:00

Serie 4 – Episodio 1

I principi base della SCA

LA STRONG CUSTOMER AUTHENTICATION PER LA SICUREZZA DEGLI UTENTI

Di Chiara Scattone  e Luca  Pozzoli

Secondo quanto previsto dall’articolo 98 della Direttiva 2015/2366, la PSD2 demanda all’EBA il compito di emanare, in stretta collaborazione con la BCE, progetti di norme tecniche di regolamentazione indirizzati ai prestatori di servizi di pagamento, e più nello specifico:

  • I requisiti di autenticazione forte del cliente (o SCA) quando effettua un pagamento tramite l’accesso a un conto di pagamento online o esegue un’altra qualsiasi attività tramite un canale a distanza che può implicare un rischio di frode legato al pagamento o un altro abuso
  • Le esenzioni previste dall’articolo 97 sulla SCA, basate sul livello di rischio del service provider coinvolto nell’operazione; l’ammontare, la frequenza della transazione, o entrambe; o il canale di pagamento usato per l’esecuzione della transazione.
  • I requisiti con cui le misure di sicurezza rispettano per la protezione dei dati e l’integrità delle credenziali di sicurezza personalizzazione degli utenti dei servizi di pagamento (PSUs’)
  • I requisiti per standard aperti di comunicazione sicura e comune ai fini dell’indentificazione, autenticazione, notifica e informazione, e inoltre ai fini dell’implementazione delle misure di sicurezza tra ASPSP, PISP, AISP, pagatori, beneficiari e altri PSP

La Direttiva PSD2 nell’articolo 4, paragrafo 30 definisce l’autenticazione forte del cliente come un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione.

Mentre l’articolo 97 stabilisce che il fornitore del servizio di pagamento applica l’autenticazione forte del cliente quando il pagatore:

  • accede al suo conto di pagamento on line;
  • dispone un’operazione di pagamento elettronico;
  • effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi.

Figura 1 – Strumenti per la Strong Customer Authentication

L’EBA in linea con quanto previsto dalla PSD2 ha emendato nel corso del 2017 diverse versioni degli RTS – Standard Tecnici di Regolamentazione – ove vengono indicati gli standard tecnici che i PSP sono obbligati a rispettare nell’esecuzione di tutte le operazioni di pagamento indicate dall’Allegato 1 della PSD2.

I razionali sui quali si è basata l’EBA per l’emanazione dei requisiti degli RTS sono tre:

  • L’ambito e la neutralità tecnologica della bozza degli RTS
  • Le esenzioni, tra cui il campo di applicazione, le soglie e le richieste di molti intervistati di aggiungere un’esenzione per le transazioni identificate come a basso rischio in conseguenza di quello che molti intervistati hanno indicato come TRA, ovvero Transaction Risk Analysis
  • L’accesso ai conti di pagamento da parte dei TPP e i requisiti delle informazioni trasmesse

Tra gli elementi che possono essere rilevati come volti a modificare l’approccio dell’utente ai servizi di pagamento, solo due sono quelli che possono avere un impatto diretto sull’operatività dell’utente stesso:

  • le esenzioni alla Strong Customer Authentication
  • la possibilità di effettuare operazioni di pagamento e/o ricevere informazioni aggregate sui conti senza accedere al sistema di internet banking.