Focus sulla Strong Customer Authentication

Uno degli ambiti su cui si focalizza maggiormente la PSD2 è quello che riguarda la sicurezza, alla luce della volontà del legislatore di rafforzare la tutela dei consumatori, promuovere l’innovazione tecnologica e sviluppare la sicurezza dei servizi di pagamento all’interno dell’Unione Europea.

L’art.97 della Direttiva prevede infatti che i prestatori di servizi di pagamento debbano applicare l’autenticazione forte del cliente (Strong Customer Authentication), ossia una procedura che consente al prestatore di verificare l’identità di un cliente di servizi di pagamento, nei seguenti casi:

a) quando il pagatore accede al suo conto di pagamento online;

b) quando il pagatore dispone un’operazione di pagamento elettronico;

c) quando il pagatore effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi.

A tal proposito, l’EBA ha pubblicato un report in tema di Strong Customer Authentication (SCA), allo scopo di fornire delle linee guida in materia di requisiti per l’autenticazione e le eccezioni nell’applicazione della SCA93_.

L’EBA intende rafforzare la sicurezza delle transazioni e la fiducia dei consumatori: in questo senso, nel report vengono inserite regole più stringenti in tema di autenticazione forte del cliente e di comunicazione sicura ai sensi della PSD2. Tali regole, emanate in collaborazione con la Banca Centrale Europea, vertono su quattro ambiti:

a) i requisiti della Strong Customer Authentication (SCA); b) le eccezioni dall’applicazione della SCA;

c) i requisiti in tema di sicurezza volti a proteggere la confidenzialità e l’integrità delle credenziali di accesso dell’utente nell’ambito dei servizi di pagamento;

d) i requisiti per una comunicazione sicura tra prestatori di servizi di pagamento e utenti. Passando al contenuto del documento, il primo capitolo è dedicato ai requisiti generali di autenticazione: innanzitutto, l’EBA stabilisce che i providers dei servizi di pagamento

93 _{EBA, “Final Report on Draft RTS on SCA and common and secure communication under Article 98 of}

92

devono possedere dei meccanismi di monitoraggio delle transazioni in modo da consentire loro di individuare operazioni non autorizzate o fraudolente. L’EBA precisa che tali meccanismi si basano su delle analisi riguardo ai seguenti fattori di rischio: il numero di elementi dell’autenticazione rubati o compromessi, l’ammontare di ogni transazione, la conoscenza preventiva di scenari di frode nella fornitura dei servizi di pagamento, segnali della presenza di virus in qualsiasi procedura di autenticazione. Il secondo capitolo si concentra invece sulle concrete misure di sicurezza nell’ambito della SCA: l’art.4 prevede che l’autenticazione debba basarsi su due o più elementi classificati come conoscenza, possesso e inerenza. L’EBA riprende dunque la definizione di Strong Customer Authentication adottata dalla PSD2, nella quale si legge che l’autenticazione forte del cliente è “un’autenticazione basata sull’uso di due o più

elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”.

Altri concetti chiave contenuti nel report dell’EBA in tema di autenticazione forte del cliente sono i seguenti:

Dynamic linking → l’art.5 del documento prevede che quando il prestatore di servizi di pagamento applica la SCA nell’ambito di un’operazione di pagamento elettronico a distanza (art.97 comma 2 PSD2), oltre ai requisiti previsti dall’art.4, egli deve adottare misure di sicurezza aggiuntive che soddisfino ciascuno dei seguenti requisiti:

a) egli deve informare il pagatore sull’ammontare della transazione e sul beneficiario; b) il codice di autenticazione generato deve essere specifico rispetto all’ammontare della transazione e al beneficiario;

c) il codice di autenticazione accettato dal prestatore deve corrispondere sia all’ammontare specifico della transazione, sia al beneficiario.

In base al comma 2 dell’art.5, i prestatori di servizi di pagamento (PSP) devono altresì adottare misure di sicurezza che assicurino la confidenzialità, l’integrità e l’autenticità delle voci seguenti:

a) dell’ammontare della transazione e dell’identità del beneficiario in tutte le fasi di autenticazione;

b) delle informazioni rese disponibili al pagatore durante tutte le fasi dell’autenticazione, inclusa la generazione, la trasmissione e l’utilizzo del codice di autenticazione.

93

Queste disposizioni consentono di rendere più sicure le operazioni di pagamento in quanto il fatto che il codice di autenticazione debba essere “specifico” rispetto all’ammontare e al beneficiario del pagamento fa sì che qualunque modifica riguardo all’ammontare della transazione o all’identità del beneficiario può incidere sulla validità del codice di autenticazione creato.

Il termine “dynamic link” si riferisce proprio al necessario collegamento che il codice di autenticazione deve avere con l’ammontare e il beneficiario del pagamento, pena l’invalidità del codice stesso.

Certificati → l’art.29 del documento dell’EBA introduce un obbligo per i Third Party Player (TPP), che consiste nell’identificazione dell’utente del servizio di pagamento mediante dei certificati emessi da soggetti qualificati secondo le disposizioni del regolamento eIDAS94.

La seconda parte del documento è dedicata alle esenzioni nell’ambito dell’applicazione della Strong Customer Authentication:

Transaction risk analysis → l’art.16 del Draft EBA dispone che i prestatori di servizi di pagamento siano esentati dall’applicazione della SCA se il pagatore ha avviato una transazione di pagamento elettronico remoto identificata dal prestatore come a basso rischio secondo i meccanismi di monitoraggio applicati all’art.2.

La tabella riportata nell’art.16 aiuta a comprendere il processo che porta all’esenzione dei prestatori dall’applicazione della SCA sulla base del rischio associato alla transazione. Dalla tabella si può notare come l’EBA operi una distinzione delle operazioni remote tra bonifici e carte di pagamento: affinché si possa applicare l’esenzione, occorre che l’ammontare della transazione non superi una determinata soglia di esenzione (ETV)95_.

Informazioni sui conti di pagamento → l’art.10 dei RTS fornisce indicazioni riguardo alle informazioni sui conti di pagamento: in dettaglio, il paragrafo 1 della norma dispone che i prestatori di servizi di pagamento (PSP) sono esentati dall’applicazione della SCA nel caso in cui l’utente (il pagatore) voglia accedere ad una o entrambe le seguenti informazioni:

a) l’estratto conto di uno o più conti di pagamento;

94 _{Si tratta del Regolamento UE n°910/2014 sull’identità digitale.}

95 _{EBA, “Final Report on Draft RTS on SCA and common and secure communication under Article 98 of}

94

b) i pagamenti effettuati negli ultimi 90 giorni attraverso uno o più conti di pagamento. Lo stesso articolo specifica al paragrafo 2 che i PSP non sono esclusi dall’applicazione della SCA laddove ricorra una delle seguenti condizioni:

a) il pagatore accede alle informazioni di cui al paragrafo 1 per la prima volta;

b) l’ultimo accesso da parte dell’utente alle informazioni di cui al paragrafo 1 tramite Strong Customer Authentication è avvenuto da più di 90 giorni.

Pagamenti contactless → un’altra esenzione dall’applicazione della SCA è illustrata nell’art.11, nel quale si legge che, nel caso in cui i PSP adottino meccanismi di monitoraggio delle transazioni al fine di identificare operazioni di pagamento non autorizzate o frodi, questi sono esentati dall’applicazione dell’autenticazione forte nel caso in cui il pagatore cominci una transazione elettronica “contactless”96 _{che soddisfi le}

due condizioni seguenti:

a) l’ammontare individuale della transazione contactless non deve superare i 50 euro; b) l’ammontare totale delle transazioni effettuate dall’ultima applicazione della SCA non deve superare i 150 euro, e il numero delle transazioni consecutive effettuate dall’ultima applicazione della SCA non deve essere superiore a 5.

Transazioni di basso valore → l’art.15 del Draft EBA si sofferma poi sulle transazioni di basso valore: qui la norma prevede l’esenzione dall’applicazione della SCA per i prestatori di servizi di pagamento (nel momento in cui il pagatore inizia una transazione elettronica remota) laddove siano soddisfatte le seguenti condizioni:

a) l’ammontare della transazione remota non deve eccedere i 30 euro;

b) l’ammontare complessivo delle transazioni elettroniche remote iniziate dal pagatore alla data dell’ultima applicazione della SCA non deve superare i 100 euro;

c) il numero delle transazioni elettroniche remote consecutive iniziate dal pagatore alla data dell’ultima applicazione dell’autenticazione forte non deve essere superiore a 5. Sicuramente la pubblicazione del report EBA sull’autenticazione forte del cliente costituisce un passo importante nell’ambito del rafforzamento della sicurezza bancaria nel sistema dei pagamenti, in quanto sollecita l’applicazione della SCA al fine di tutelare il consumatore dal rischio di subire frodi. Gli standard EBA infatti insistono molto sul necessario processo di monitoring del livello di rischio delle transazioni, che risulta poi la discriminante relativa all’applicazione della SCA97_.

96 _{Una transazione elettronica contactless è un’operazione nella quale il pagamento avviene mediante}

l’avvicinamento di una carta o di uno smartphone ad un terminal POS (point of sale).

95

Tuttavia, con l’ingresso di nuovi player nel mercato dei pagamenti, la PSD2 aumenta il rischio di disintermediazione degli operatori del mercato: infatti, le banche rischiano di essere superate nell’ambito delle interfacce di pagamento, dai nuovi soggetti terzi autorizzati ad operare nel mercato dei pagamenti98.

Gli istituti di credito dovranno dunque investire in soluzioni tecnologiche atte a contrastare la competizione con i nuovi competitor.

3.3 Orientamenti sulla valutazione del cyber risk a norma del processo