Banner Pubblicitario
28 Marzo 2024 / 21:38
Strong customer authentication, le nuove regole dell'EBA

 
Sicurezza

Strong customer authentication, le nuove regole dell’EBA

di Mattia, Schieppati - 10 Marzo 2017
Nel draft finale sugli Standard tecnici normativi l'Autorità bancaria europea apporta diverse modifiche rispetto alla versione in consultazione sui criteri di autenticazione forte del cliente e l'accesso ai conti. Ecco cosa cambia …
Con l'annunciato ritardo di un mese rispetto alle previsioni, ritardo dovuto al numero record di richieste di modifica raccolto dalla consultazione online cui era stato sottoposto il regolamento (224 per l'esattezza), l'Autorità bancaria europea ha pubblicato la versione finale degli Standard tecnici normativi (Regulatory Technical Standards - RTS) relativi alla Strong Authentication contenuti nella PSD2 (Payment Services Directive, seconda versione). Standard che, come indica il comunicato dell'Eba che accompagna il documento, «aprono la strada a un mercato aperto e sicuro per i pagamenti retail all'interno dell'Unione europea» e che riguardano le modalità di esecuzione dei pagamenti digitali con l'obiettivo di rendere più sicure le transazioni e tutelare i consumatori (qui il comunicato finale e il download del draft integrale).
Il tema merita un piccolo riassunto: con l'introduzione della nuova Direttiva sui servizi di pagamento (PSD2, pubblicata il 23 dicembre 2015 sull’Official Journal dell’Unione europea e che entrerà in vigore dal gennaio 2018), l'Eba ha avuto il mandato, tra gli altri, di specificare i requisiti delle procedure di autenticazione forte del cliente e delle relative esenzioni d’uso, ponendo a vecchi e nuovi fornitori di servizi di pagamento (oltre alle banche, principalmente i Tpp - Third Party Providers) regole più stringenti relative alla necessità di utilizzo della "strong customer authentication", ovvero autenticazione del soggetto che effettua la transazione basate non più su un solo elemento identificativo (il pin o la password, ecc.).

Tre set di codici

La definizione di strong customer authentication adottata dalla PSD2 si basa sull’uso di due o più fattori di autenticazione, che  comprende differenti elementi di categorizzazione dei codici riservati dell’utente, riconducibili alle seguenti 3 casistiche :
  • codici attinenti la conoscenza personale, categoria knowledge;
  • codici relativi a un elemento di possesso, categoria possession;
  • codici legati a caratteristiche individuali del singolo utente, categoria inherence.
  • Questi tre set sono indipendenti: anche se uno dovesse essere scoperto da un soggetto terzo, gli altri rimangono non correlati e quindi non deducibili.

    Sicuri sì, ma a leggero discapito della facilità d’uso ...

    Sistemi più sicuri, quindi, ma con un problema: il percorso di acquisto di un prodotto online potrebbe diventare in questo modo per l'utente meno rapido e immediato. E nonostante tutti i report dicano che quel che più chiede il cliente quando fa acquisti online sia la tanto sbandierata "sicurezza", alla prova dei fatti poi i sistemi di pagamento che già oggi prevedono alte soglie di strong authentication sono quelli che registrano la maggiore quota di abbandono, ovvero di transazioni non portate a termine proprio perché il cliente si "scoccia" a dover effettuare più di un solo step di autenticazione.
    Secondo un articolo pubblicato da Milano Finanza, il 61% dei consumatori europei ritiene che ulteriori passaggi nella fase di check-out in ambito e-commerce li indurrà ad abbandonare l’acquisto; il che l’impatto sull’e-commerce verso siti extra potrebbe essere molto forte, mettendo a rischio 11,2 miliardi di euro di vendite online all'anno in Europa. E sono in tanti i player che, a fronte di un possibile innalzamento degli standard di sicurezza, hanno temuto il peggio e si sono affrettati a inviare all'Eba richieste e proposte di deroga o di "alleggerimento" dei termini molto stringenti previsti dalla bozza di direttiva iniziale. Pensiamo per esempio a come tutti i big dell'e-commerce - Amazon, Google Pay, Apple Store … - siano arrivati ormai a proporre la facilissima via dell'acquisto con un solo click. Cosa significherebbe per loro introdurre la strong customer authentication anche per transazioni di piccolo importo?

    Conciliazione e punti di equilibrio complessi

    Senza arroccamenti né rigidità, i 18 mesi di studi e analisi svolte dall'Eba hanno portato all'introduzione di alcune delle deroghe richieste per l’applicazione della strong customer autentication, sia per i pagamenti da remoto sia per le modalità di accesso ai conti concorrenti bancari da parte di soggetti terzi che forniscono servizi di pagamento. «Gli Rts contenuti nel documento finale rappresentano il risultato di difficili compromessi tra i vari, e a volte contrastanti, obiettivi della PSD2», scrive Eba, «per esempio conciliare la necessità di sicurezza con la comodità del cliente, assicurando una "business model neutrality" e al contempo contribuire all'integrazione del mercato dei pagamenti europeo, facilitando la concorrenza e promuovendo l'innovazione nei servizi di pagamento».

    Le deroghe introdotte

    Ecco gli elementi di deroga più significativi introdotti dall'ultimo draft Eba.
  • Il prestatore dei servizi di pagamento (p.e. una banca) può essere esentato dall’applicare la strong authentication del cliente qualora si basi su una specifica analisi del rischio associato alla transazione stessa (Tra - Transaction risk analysis) da cui emerga un basso rischio di frode associato alla transazione. Distinguendo tra due tipologie di pagamento remoto, ossia quello che si compie mediante una carta utilizzata su Internet e quello che si ottiene disponendo un bonifico (p.e. anche tramite un dispositivo mobile), Eba dispone che l’applicazione dell’esenzione basata sulla Tra sia possibile per specifici limiti d’importo, sulla base del rispetto di specifici tassi di frode, ossia osservando la conformità a una tabella di scoring prevista negli standard.
  • Un'ulteriore deroga è stata inoltre prevista per quelle transazioni che si compiono su terminali non presidiati, finalizzate al pagamento di parcheggi (per esempio presso i parcometri) e titoli di trasporto.
  • Rispetto ai limiti d’importo relativi alle operazioni di basso valore che si compiono da remoto, il tetto che fa scattare l'obbligo di strong customer authentication per singola transazione è passato ; inoltre, la strong customer authentication si applica per importi complessivi associati a più transazioni non superiori ai 100 euro oppure dopo 5 pagamenti consecutivi effettuati in maniera più “light”.
  • Sono state confermate le esenzioni per i pagamenti contactless su terminali Pos, per transazioni singole inferiori a 50 euro e nei casi in cui l’importo complessivo delle transazioni dall’ultima volta in cui è stata applicata l’autenticazione forte non superi i 150 euro o non siano stati effettuati più di 5 pagamenti consecutivi dal singolo individuo.
  • Per quanto attiene l’annoso tema dell’accesso ai conti, Eba ha precisato che vi è l’obbligo per gli Aspsp (ossia per i prestatori di servizi di pagamento che forniscono e amministrano un conto di pagamento, come le banche) di proporre almeno un’interfaccia per gli Aisp (prestatori di servizi di pagamento che erogano servizi di informazione sui conti – o account information service provider), i Pisp (prestatori di servizi di pagamento che offrono servizi di inizializzazione di ordini di pagamento - o payment initiation service provider) e per i Psp che emettono strumenti di pagamento basati su carte (le cc.dd. “decoupled debit cards”), soggetti per cui è previsto che siano garantiti i medesimi livelli di servizio offerti dagli Aspsp ai propri clienti.
  • Per quanto riguarda l’impiego dei certificati emessi da Identity Provider eIDAS, Eba conferma che, ad entrata in vigore degli standard, le comunicazione “server-to-server” tra Aspsp e Tpp autorizzati, così come quella tra Aspsp e i Psp che emettono strumenti di pagamento card-based, deve avvenire impiegando, per l’autenticazione delle parti, i certificati qualificati emessi da un provider conforme al regolamento (UE) 910/2014,altresì noto come eIDAS.
  • ALTRI ARTICOLI

     
    ESG

    La Dimensione del Relazionarsi

    Apprezzare, prendersi cura e sentirsi in contatto con gli altri, col nostro prossimo, con le generazioni future e la biosfera, ci aiuta a creare...

     
    Pagamenti

    Le carte di pagamento business rendono smart la contabilità aziendale

    Dai dati dell’ultimo Osservatorio Annuale Visa sui Pagamenti Digitali, realizzato in collaborazione con Ipsos, l’evidenza di come per piccole e...

     
    Credito

    Credito e Finanza, un impegno a tutto campo per la crescita

    Tre chiavi di lettura e tre prospettive di analisi per presentare l’orizzonte di temi e gli scenari di azioni strategiche che caratterizzanno...
    Il Salone dei Pagamenti 2023
    Il Salone dei Pagamenti è il più importante appuntamento nazionale di riferimento su Pagamenti e Innovazione...
    Icona Facebook Icona Twitter Icona LinkedIn
    Bancaforte TV
    Euro digitale: il futuro prende forma
    Si terrà il 21 e 22 marzo “Euro digitale: il futuro prende forma”, il seminario organizzato da ABI...
    Icona Facebook Icona Twitter Icona LinkedIn
    Banner Pubblicitario