Gli RTS sulla SCA dell’EBA 2018-06-15T18:28:46+00:00

Serie 5 – Episodio 1

Gli RTS sulla SCA dell’EBA

GLI RTS DELL’EBA: COMUNICAZIONE TRA TPP E STRONG CUSTOMER AUTHENTICATION

Di Chiara Scattone  e Luca  Pozzoli

Con l’introduzione della nuova Direttiva Europea sui servizi di pagamento PSD2, all’EBA è stato attribuito l’incarico di specificare i requisiti delle procedure di autenticazione forte del cliente e le relative esenzioni d’uso.
Ad essa spetta porre ai prestatori di servizi di pagamento, sia bancari che non, regole stringenti relative alla necessità di utilizzo della Strong Customer Authentication, ossia l’autenticazione dell’utente che effettua l’operazione di pagamento.

Fig. 1 - Ambiti di applicazione dell’autentificazione forte del cliente da parte del prestatore di servizi di pagamento

Fig. 1 – Ambiti di applicazione dell’autentificazione forte del cliente da parte del prestatore di servizi di pagamento

A tal proposito l’EBA si è espressa pubblicando propri RTS (Regulatory Technical Standards), i quali sono stati redatti ai sensi dell’Articolo 98 della Direttiva PSD2.

Questi assicurano appropriati livelli di sicurezza, garantendo allo stesso tempo il mantenimento di una corretta e onesta competizione tra i vari PSP, con lo scopo di andare a migliorare l’accessibilità dei servizi per i consumatori attraverso strumenti di pagamento digitali, innovativi e di facile utilizzo.

I processi presupposti dagli standard EBA (RTS) comportano il trattamento di una grande mole di dati personali, oltre al monitoraggio del comportamento degli utenti dei servizi di pagamento necessario per ridurre i rischi di frodi e l’uso illecito dei servizi, sia nel contesto dell’applicazione della Strong Customer Authentication, sia quando i PSP si avvalgono delle esenzioni alla SCA.

In particolare gli RTS specificano:

  • i requisiti dell’autenticazione forte del cliente;
  • l’esenzioni dall’applicazione dell’autenticazione forte del cliente, sulla base:
  • del livello del rischio dell’operazione di pagamento
  • dell’ammontare dell’operazione,
  • della frequenza dei pagamenti,
  • del canale utilizzato per l’esecuzione della transazione
  • i requisiti che le misure di sicurezza devono soddisfare per tutelare la riservatezza e l’integrità delle credenziali di sicurezza personalizzate degli utenti dei servizi di pagamento;

i requisiti per standard aperti di comunicazione comuni e sicuri ai fini dell’identificazione, dell’autenticazione, della notifica e della trasmissione di informazioni e soprattutto dell’attuazione delle misure di sicurezza tra banche, PISP ed AISP.

Fig. 2 – Le esenzioni previste degli RTS sulla Strong Customer Authentication

Fig. 2 – Le esenzioni previste degli RTS sulla Strong Customer Authentication

Nell’ambito della comunicazione con i TTP (terze parti) le principali novità RTS concernono:

  • le misure di Contingency per interfaccia dedicata, ovvero viene richiesto agli ASPSP, nei casi di indisponibilità o malfunzionamento dell’interfaccia dedicata per più di 30 secondi, di rendere accessibile ai TPP l’interfaccia offerta all’utente;
  • l’interfaccia di comunicazione, per la quale viene emendato il riferimento specifico allo standard ISO 20022 che prescriveva l’utilizzo di un data model conforme allo standard di scambio di messaggi finanziari;
  • la documentazione tecnica sulle interfacce, che deve essere erogata gratuitamente e dietro richiesta;
  • l’esposizione delle informazioni ai PISP, la quale deve comprendere tutte le informazioni relative all’ esecuzione della transazione di pagamento oltre che quelle relative all’avvio della disposizione di pagamento.