Strong Customer Authentication e gli standard suggeriti dall’European Banking Authority 2018-06-15T15:05:27+00:00

Serie 4 – Episodio 2

SCA e RTS

STRONG CUSTOMER AUTHENTICATION E GLI STANDART SUGGERITI DALL’EUROPEAN BANKING AUTHORITY

 

Di Chiara Scattone  e Luca  Pozzoli

Nel precedente documento si è già accennato come l’’EBA in linea con quanto previsto dalla PSD2 abbia suggerito degli RTS – Standard Tecnici di Regolamentazione – nei quali vengono indicati i razionali con cu stabilire le modalità di colloquio tra banche e TPP.

Essi si basano su la neutralità tecnologica, sulle esenzioni (campo di applicazione, le soglie di applicabilità del concetto di SCA, le modalità di gestione del rischio, …) e le modalità di accesso ai conti di pagamento da parte dei TPP (indicando dei requisiti sulle informazioni trasmesse).

Per quanto concerne la SCA ci ritiene opportuno evidenziare che gli RTS determinano con precisione il perimetro entro il quale i PSP possono muoversi per offrire servizi di pagamento esentati dall’autenticazione forte del cliente, garantendo al contempo la sicurezza all’utente da frodi e altre possibili manomissioni.

Viene così prevista l’introduzione della Transaction Risk Analysis ovvero un sistema di monitoraggio del rischio delle transazioni in tempo reale, che consente al PSP di individuare le operazioni di pagamento non autorizzate o fraudolente. Tali meccanismi di monitoraggio delle transazioni devono tra l’altro basarsi su alcuni fattori di rischio quali ad esempio:

  • gli elenchi degli elementi di autenticazione compromessi o rubati;
  • l’importo di ciascuna transazione di pagamento;
  • gli scenari di frode noti nella prestazione di servizi di pagamento;
  • i segnali di infezione da malware in qualsiasi sessione della procedura di autenticazione;
  • nel caso di accesso tramite dispositivo o software fornito dal PSP, i log dell’uso degli accessi tramite device o software forniti al PSU e
    o l’uso anomalo del dispositivo di accesso o del software.

I PSP per attuare tali misure di sicurezza devono infine dotarsi di procedure documentate e testate, nonché verificate periodicamente da revisori indipendenti e inviate (o messe a disposizione su richiesta da) alle Autorità competenti.

Per quanto concerne l’altro aspetto – ovvero l’introduzione di soggetti terzi non bancari nel mercato – che andrà a modificare sensibilmente la User Experience degli utenti che detengono un conto di pagamento accessibile online, gli RTS declinano le modalità con le quali le Banche dovranno offrire servizi ai PISP e agli AISP attraverso l’implementazione di interfaccia dedicate. Attraverso tali interfaccia, i nuovi soggetti non bancari potranno garantire la fruibilità di due servizi differenti:

  • l’accesso alle informazioni aggregate dei conti di pagamento detenuti anche presso diversi istituti di credito
  • l’avvio di un’operazione di pagamento direttamente sul conto di pagamento.

Le semplificazioni della User Experience degli utenti sono ovviamente palesi, tuttavia alla facilità di usabilità il Legislatore non poteva non unire anche un aumento delle misure di sicurezza che tutti i soggetti, sia non bancari che bancari, debbono rispettare e che sono imprescindibili. Oltre alla Strong Customer Authentication, obbligatoria per tutte le operazioni sia di pagamento che di mero accesso alle informazioni sui conti, se non per alcune eccezioni chiaramente fissate dagli stessi RTS e sottoposte a monitoraggi antifrode in tempo reale, le normative introducono l’invio di un codice, un dynamic lynking, all’utente che lega indissolubilmente i dati dell’operazione di pagamento (che se modificati richiedono l’invio di un nuovo codice) al pagatore e che autorizza l’avvio del pagamento.

Gli utenti così potranno rivolgersi al mercato dei pagamenti elettronici con la duplice garanzia di sicurezza delle operazioni e di facilità nell’usabilità dei servizi.

I pagamenti con la PSD2 non saranno mai stati così semplici e sicuri!