Psd2, diritti d'accesso da verificare in modo sicuro
di Giorgio Ferrero (Ceo Preta) e John Broxis (Managing Director Preta)
-
14 Maggio 2018
Giorgio Ferrero e John Broxis di Preta ...
Con la Psd2 i prestatori di servizi di pagamento di radicamento del conto detti anche Aspsp (Account Servicing Payment Service Provider) hanno l'obbligo di consentire a parti terzi autorizzate l'accesso ai dati dei conti. Uno degli obblighi per gli Aspsp è quindi di individuare chi è autorizzato e per quale attività, perché la verifica poco accurata dei diritti d'accesso comporta il rischio di transazioni non autorizzate e di un successivo reclamo in ambito Psd2 o una condivisione non autorizzata di dati e un conseguente possibile reclamo legato al Regolamento sulla protezione dei dati personali (Gdpr).
I controlli per gli accessi ai conti
Nel corso dell'ultimo anno, il mercato ha raggiunto un ampio consenso sui principi relativi ai controlli necessari per gli accessi ai conti, controlli che si sviluppano in due fasi:
- controllo dell'identità tramite il certificato,
- controllo di ruoli e informazioni legate al passaporto tramite i registri delle autorità competenti (o directory operativa che funge da proxy).
A riguardo è stato fondamentale il lavoro dell'Euro Retail Payments Board (Erpb) che ha pubblicato un report a novembre 2017 e dei Gruppi di lavoro organizzati dall'Etsi Esi, che hanno portato agli standard Psd2 per i certificati eIdas.
Il processo si svolge come segue: qualsiasi Aspsp o Tpp che ha bisogno di un certificato lo richiede a un fornitore qualificato (Qtsp). Il Qtsp dovrebbe quindi effettuare i controlli standard di identità e i controlli aggiuntivi relativamente agli attributi qualificanti previsti dalla Psd2. Per esempio: il numero di registrazione e i ruoli che l'entità detiene nei registri nazionali pubblicati per ciascun paese dalle autorità competenti.
Il caso della revoca
Fin qui tutto bene, il certificato può essere emesso, ma la situazione si complica quando avviene una revoca: cosa succede se un Aspsp o un Tpp non ha più un'autorizzazione? Il rapporto dell'Erpb stabilisce quanto segue: "Considerando che l'autorità competente nazionale (Nca National Competent Authority) non ha l'obbligo di informare un Qtsp e che quest'ultimo non ha l'obbligo di controllare i registri dell'autorità competente, è evidente che per quanto si possa riporre fiducia nei certificati per l'identificazione, nel caso in cui un'autorità competente ritiri una licenza e il certificato non sia stato ancora revocato, vi è un periodo in cui i ruoli nel certificato non saranno aggiornati. Nel caso in cui si desideri verificare il ruolo aggiornato di un Aspsp o Tpp, bisogna quindi controllare il registro della Nca di quell'entità. Poiché coesisteranno 31 registri di Nca, sorge la necessità di una directory in formato standardizzato e leggibile automaticamente, contenente i dettagli dei Tpp come pubblicati dalle autorità competenti nazionali".
La soluzione di Preta
Preta
, attraverso l'iniziativa
Open Banking Europe, sta sviluppando la directory in formato standardizzato e leggibile automaticamente. Tale directory, che Preta sta realizzando insieme a un consorzio di banche e fornitori di servizi che ne stanno testando le funzionalità, costituisce un utile punto di riferimento per i vari soggetti: gli Aspsp possono servirsene per verificare se un Tpp è autorizzato ad accedere alle proprie interfacce; i Tpp possono utilizzarla per individuare le interfacce degli Aspsp di cui hanno bisogno per accedere ai conti dei loro clienti.
Obiettivo di Open Banking Europe è la distribuzione di informazioni chiave e di processi legati alla Psd2 per migliorare la comprensione degli aspetti tecnici e regolamentari e supportare i partecipanti nel processo di adeguamento ai requisiti della Psd2.
Per informazioni
clicca qui.
Nella foto Giorgio Ferrero, Ceo di Preta