PSD2 e il nuovo standard tecnico RTS per l’autenticazione forte

Il 27 novembre 2017 la Commissione Europea ha pubblicato lo standard tecnico (RTS, Regulation Technical Standard) per la c.d. CSA, ‘Strong Customer Authentication’ (autenticazione forte), ossia la misura di sicurezza indicata nella direttiva PSD2 recentemente emanata (2015) per ridurre il rischio delle frodi nei pagamenti elettronici e aumentare la fiducia dei consumatori.  I prestatori dei servizi di pagamento dovranno applicare la CSA, per ridurre le frodi e per tutelare i consumatori. In un prossimo futuro, per eseguire un pagamento elettronico in Europa – tranne che per alcuni contesti esclusi dalla regolamentazione -, nella maggior parte dei casi si dovrà usare una combinazione di due codici di sicurezza (fra loro indipendenti). , ceo di Noon Pay e membro del Comitato Scientifico AICEL, ci spiega cosa è stato approvato e quali saranno gli im patti per i nostri webshops.

Cosa è l’autenticazione forte

Prima di approfondire principi dello standard tecnico emanato, è utile spendere due parole sul significato di autenticazione forte. L'autenticazione forte è una procedura basata sull'uso di due o più dei seguenti elementi, classificati come:

• conoscenza, ossia qualcosa che solo l'utente conosce (es. password statica, codice, numero identificativo personale);
• proprietà, ossia qualcosa che solo l'utente possiede (es. gettone, Smart card, telefono cellulare);
• ereditarietà, ossia qualcosa che l'utente è (es. caratteristiche biometriche, come un’impronta digitale).

Gli elementi devono essere reciprocamente indipendenti, cioè la violazione di uno non compromette l'altro. Almeno uno degli elementi dovrebbe essere non riutilizzabile e non replicabile (tranne che per inerenza) e non essere in grado di essere rubato furtivamente via Internet. La procedura di autenticazione avanzata deve essere progettata in modo tale da proteggere la riservatezza dei dati di autenticazione.

Il contesto

Lo standard tecnico RTS in oggetto di analisi, è parte integrante della direttiva PSD2 – recepita in Italia due mesi fa - che ha l’obiettivo di armonizzare ulteriormente il mercato attuale dei pagamenti elettronici europei introducendo:

• Nuovi ruoli (Third parties providers), per la gestione delle informazioni e disposizioni di pagamento;
• Nuovi servizi di pagamento;
• Nuove ripartizioni di responsabilità tra cliente e prestatore dei servizi di pagamento;
• Istituzione del Registro Elettronico Centrale Dell’Autorità Bancaria Europea;
• Applicazione di pratiche di tariffazione omogenee e coordinate tra gli stati;
• Nuova regolamentazione dei rapporti tra prestatori di servizi di pagamento.

In particolare, l’introduzione dei nuovi ruoli di Third parties Providers (AISP – Account Information Service Provider - e PISP – Payment Initiation Service Provider) permetterà la formalizzazione di un ruolo che nei tempi recenti alcuni soggetti di mercato hanno detenuto svolgendo da interfaccia primaria tra cliente e prestatore dei servizi di pagamento. Si parla di soggetti che propongono modalità di pagamento che si basano su strumenti di pagamento esistenti (carte oppure conti correnti, es. SOFORT). La formalizzazione di tale ruolo non può prescindere dalla regolamentazione della comunicazione che tale ruolo dovrà avere nei confronti degli altri operatori di mercato attuali. Da qui, la necessità di disciplinare la modalità tecnica attraverso la quale tali nuovi operatori dovranno comunicare al fine di preservare la sicurezza e tutelare i consumatori. Figura 1: Fonte: PA Perspectives on Nordic Financial Services, https://www.paconsulting.com/our-thinking/perspectives-on-nordic-financial-services. Lo standard quindi tende a focalizzarsi su:

• Imporre l’obbligo per le banche (e i PSP) di eseguire l'autenticazione a 2 fattori su tutte le transazioni di pagamento elettronico o essere soggetto a una specifica esenzione;
• Imporre l’obbligo per le banche di implementare API che consentano ai provider di terze parti di avviare pagamenti di bonifici e di ispezionare le informazioni dell'account.

Il contenuto dello standard tecnico RTS

Il contenuto dello standard ha l’obiettivo di disciplinare diversi aspetti:

• Obbligo di monitoraggio delle transazioni di pagamento attraverso un sistema interno al PSP che fornisca un report periodico verso EBA;
• Imposizione di verifica semestrale degli standard di sicurezza con l’esecuzione di un audit da parte di un terzo soggetto che produca un report da condividere con EBA;
• Modalità di pubblicità della documentazione a disposizione degli operatori;
• Indicazioni sui fattori base di rischio che devono essere inclusi nel sistema di monitoraggio interno antifrode e antiintrusione.
• Modalità sulla preservazione e conservazione dei codici della CSA (fino a spingersi ad indicare il numero di minuti per la durata della sessione di inattività da parte del consumatore);
• Generazione del codice CSA per singolo importo della transazione di pagamento e previsione di CSA per autorizzare un ammontare totale massimo di pagamenti ricorrenti;
• Eccezioni di contesto all’applicazione della CSA nei pagamenti elettronici;
• Obbligo di tracciabilità della transazione di pagamento anche se coinvolta in diversi e molteplici contesti.

In particolare, i contesti di eccezione per i quali la CSA può NON essere applicata, sono i seguenti:

• Accesso informativo al conto di pagamento per il saldo o per avere informazioni su un pagamento entro i 90 giorni dalla sua esecuzione;
• Pagamenti contactless in caso in cui:
  • l’importo sia minore di 50 EUR e
  • l’importo totale dei precedenti pagamenti avviati dal pagatore dopo l’ultima applicazione di autenticazione forte del cliente non sia superiore ai 150 EUR oppure che il numero delle transazioni non ecceda i 5 pagamenti.
• Pagamenti per i trasporti e parcheggi;
• Se il pagamento avviene verso un beneficiario conosciuto e incluso in una lista di beneficiari creata e autorizzata precedentemente dal pagatore;
• Per i pagamenti ricorrenti successivi al primo della serie;
• Sui pagamenti (solo bonifici) tra conti posseduti dallo stesso soggetto;
• Sui pagamenti avvenuti a distanza, c.d. remoti (e-commerce), se:
  • l’importo della transazione è inferiore a 30 EUR e
  • l’ammontare cumulativo delle precedenti transazioni di pagamento elettronico remoto avviate dal pagatore dopo l’ultima applicazione di autenticazione forte del cliente non ecceda 100 EUR oppure che il numero delle transazioni non ecceda i 5 pagamenti;
  • se la transazione in questione è stata classificata dal sistema di sicurezza interno come ‘basso rischio’. Tale rapporto di rischio deve essere compatibile con i livelli predeterminati indicati da EBA.

Considerazioni

Lo scopo di tale regolamentazione menziona due fondamentali finalità:

• contrastare le frodi nei pagamenti;
• incrementare la fiducia dei consumatori nei servizi di pagamento via internet.

Se si può condividere, apprezzare e sostenere tali obiettivi, si deve ugualmente ritenere che un terzo obiettivo ugualmente importante vada aggiunto:

• Assicurare il facile utilizzo nei diversi contesti degli strumenti di pagamento per i consumatori.

Per quanto riguarda i pagamenti a distanza (e-Commerce), la nostra comune esperienza di operatori del settore ha visto la necessità di semplificare l’esecuzione del pagamento anziché complicarlo. Si consideri ciò che è avvenuto dopo l’introduzione del 3DSecure[1]. È appurato che un aumento dei passaggi di sicurezza che il consumatore deve sostenere per completare una transazione determina inevitabilmente tassi di abbandono delle transazioni significativamente più elevati. Il fatto di imporre la CSA specificatamente per singolo importo e transazione, per transazioni maggiori di un certo importo o un certo numero di transazioni specifiche e per i pagamenti ricorrenti equivale ad introdurre un ulteriore passaggio nel flusso di pagamento rendendolo più complicato e meno diretto. Ma soprattutto tale approccio applicato in modo uniforme nei diversi contesti non sembra tenere conto delle molteplici configurazioni di contesto in cui un consumatore può trovarsi. Quanto detto prima si può applicare ai pagamenti fisici basati su carte, wallet, ecc. Stiamo procedendo sempre più velocemente verso una realtà di un utilizzo massivo degli strumenti elettronici in molteplici contesti della propria giornata. In una sola giornata può capitare di eseguire diversi piccoli o grandi pagamenti a contatto o contact-less. Se ciò è vero, le regole sulla applicazione della CSA sopra i 5 pagamenti giornalieri o sopra un predeterminato importo (100 se remote o 150 se contact-less) rischiano di inficiare non poco l’esperienza dei consumatori. Secondo quanto indicato dalla regolamentazione, ogni accesso e pagamento one-click eseguito tramite e-wallet dovrebbe essere autorizzato con autenticazione forte. Gli strumenti e-wallet, equiparati a ciò che sono i portafogli contenenti le carte nel mondo fisico, hanno proprio l’obiettivo di semplificare la gestione dei pagamenti proprio perché’ si presume il possesso dello stesso da parte del pagatore, quindi utilizzato in una modalità ‘protetta’ e conosciuta. In questo senso l’autenticazione forte sia nel caso in cui il consumatore acceda al proprio wallet o nel caso in cui effettui l’operazione di pagamento. Per le soluzioni wallet, l’esigenza di garantire la facilità di utilizzo per il consumatore è di fondamentale importanza dato che è proprio in base alla facilità di utilizzo che il consumatore deciderà o meno se utilizzare tali strumenti di pagamento innovativi (ciò a beneficio degli esercenti dal momento che gli e-wallet dovrebbero ridurre i casi di abbandono della transazione dovuti a requisiti di autenticazione forte impossibili, o comunque molto difficili, da rispettare ad esempio quando si effettuano pagamenti in mobilità “on the go”). In base a questo, si dovrebbe ritenere che le transazioni con un clic debbano essere consentite per le soluzioni e-wallet quando il titolare di carta è stato autenticato con autenticazione forte al momento della registrazione della carta (oppure al momento della prima transazione effettuata con il e-wallet) e quando e-il wallet consente di determinare che il rischio della transazione è basso sulla base di fattori quali il riconoscimento biometrico dell’impronta digitale sul dispositivo, l’importo della transazione, la geo-localizzazione, le abitudini di consumo, il profilo della transazione, etc. In generale, i principi dovrebbero essere invertiti: Il Risk Base Assesment/Authentication dovrebbe costituire la regola, mentre l’autenticazione forte dovrebbe rappresentare l’eccezione. Invece di prevedere l’autenticazione forte per ciascuna transazione di pagamento, si dovrebbe raccomandare di effettuare una valutazione del rischio relativo a un’operazione specifica tenendo conto di criteri quali, per esempio, i modelli di pagamento del cliente (comportamento), il valore delle relative operazioni, il tipo di prodotto e il profilo del beneficiario.

Conclusioni

Il Parlamento europeo e il Consiglio avranno circa 3 mesi di tempo per votare questo regolamento, ci si aspetta che il processo di approvazione abbia tempi rapidi e che tale regolamento verrà approvato in questa forma. Settembre 2019 è la data di scadenza per l'implementazione, salvo ritardi imprevisti. Non ci aspettiamo davvero che ci sia molto margine di manovra in quella data: molte delle banche (e Payment System Provider) più attive sono già sulla buona strada per implementarle comunque, e i ritardatari rischiano di trovarsi con opzioni restrittive. Ci si aspetta che il recepimento da parte degli stati membri di tale regolamentazione abbia spazio per definire alcuni aspetti fondamentali per adattare tale regolamentazione al proprio mercato interno anche in termini competitivi, es. PayPal e altri soggetti di questo tipo saranno a tale regolamentazione? Il contenuto di tale regolamentazione impone comportamenti e azioni che, da una prima analisi, rischiano di complicare l’utilizzo degli strumenti di pagamento per i consumatori e conseguentemente limitare la crescita del mercato dei pagamenti elettronici lasciando spazio al famigerato, rischioso e costoso denaro contante. Personalmente credo che, in questo caso, le organizzazioni politiche europee, nel sano intento di preservare e tutelare la sicurezza dei consumatori, si sono fatte prendere un po’ troppo la mano cercando di disciplinare micro contesti attraverso l’applicazione di Best Practices che potrebbero non essere sempre attuabili nei singoli paesi. In generale, le Best Practices non dovrebbero essere rese mai obbligatorie. In particolare per l’Italia, rendere le Best Practices obbligatorie significherebbe prevedere regole sulla sicurezza dei pagamenti via internet più̀ restrittive di quelle degli altri Stati Membri. Ciò̀ ostacolerebbe lo sviluppo dell’industria italiana dei pagamenti, con ciò̀ determinando l’adozione di procedure di autenticazione più̀ gravose che aumentano la difficoltà nei pagamenti (friction) e l’abbandono dell'acquisto e un sostanziale svantaggio competitivo per i PSP italiani che sarebbero soggetti a regole più̀ restrittive rispetto a quelle applicabili ai PSP stabiliti in altri Stati Membri. [1] Si tenga presente dove si afferma che “Supporting 3-D Secure is complicated and, at times, creates transaction failures. Perhaps the biggest disadvantage for merchants is that many users view the additional authentication step as a nuisance or obstacle, which results in a substantial increase in transaction abandonment and lost revenue’, https://en.wikipedia.org/wiki/3-D_Secure.  

---

D.Jegerson Devid has built a career in ePayments as well as in other critical components of the Banking and e-commerce industry. In his role, as CEO of Payments at noon, he brings his considerable global expertise in electronic payments to bear at the newly-launched e-commerce platform in the MENA region. His career began as a software developer in Italy, before working with game-changers in the ePayments space such as PayPal, Fastweb, and IWBank, Italy. Most recently, he was Head of Payments at UBI Banca, Italy, where he managed electronic payments and launched services such as UBI PAY Mobile systems for NFC, wallet, and mPOS. He is also the founder of peer-to-peer payment system Jiffy (SIA) and was instrumental in the launch of UBI Banca’s MyBank payment gateway. He contributed to launch PayPal in Italy and the first prepaid card with CartaFacile (BPM). Devid has also worked on European regulation for payment systems, defining evolution strategies for financial companies and payment institutions that come under the European Payment Service Directive (PSD2) and SEPA. His innovations have also won a number of industry awards, from Milano Finanza, Accenture, and others. He holds an MBA in business administration from MIP-Politecnico Di Milano, Italy, as well as an MSc. in Markets and Business Strategy from Università Cattolica del Sacro Cuore, Italy. He is author of the book: “I pagamenti elettronici. Dal baratto al portafogli digitali” (2016, goWare).