PSD2 e il nuovo standard tecnico RTS per l’autenticazione forte

Il 27 novembre 2017 la Commissione Europea ha pubblicato lo standard tecnico (RTS, Regulation Technical Standard) per la c.d. CSA, ‘Strong Customer Authentication’ (autenticazione forte), ossia la misura di sicurezza indicata nella direttiva PSD2 recentemente emanata (2015) per ridurre il rischio delle frodi nei pagamenti elettronici e aumentare la fiducia dei consumatori.  I prestatori dei servizi di pagamento dovranno applicare la CSA, per ridurre le frodi e per tutelare i consumatori. In un prossimo futuro, per eseguire un pagamento elettronico in Europa – tranne che per alcuni contesti esclusi dalla regolamentazione -, nella maggior parte dei casi si dovrà usare una combinazione di due codici di sicurezza (fra loro indipendenti). , ceo di Noon Pay e membro del Comitato Scientifico AICEL, ci spiega cosa è stato approvato e quali saranno gli im patti per i nostri webshops.

Cosa è l’autenticazione forte

Prima di approfondire principi dello standard tecnico emanato, è utile spendere due parole sul significato di autenticazione forte. L'autenticazione forte è una procedura basata sull'uso di due o più dei seguenti elementi, classificati come: Gli elementi devono essere reciprocamente indipendenti, cioè la violazione di uno non compromette l'altro. Almeno uno degli elementi dovrebbe essere non riutilizzabile e non replicabile (tranne che per inerenza) e non essere in grado di essere rubato furtivamente via Internet. La procedura di autenticazione avanzata deve essere progettata in modo tale da proteggere la riservatezza dei dati di autenticazione.

Il contesto

Lo standard tecnico RTS in oggetto di analisi, è parte integrante della direttiva PSD2 – recepita in Italia due mesi fa - che ha l’obiettivo di armonizzare ulteriormente il mercato attuale dei pagamenti elettronici europei introducendo: In particolare, l’introduzione dei nuovi ruoli di Third parties Providers (AISP – Account Information Service Provider - e PISP – Payment Initiation Service Provider) permetterà la formalizzazione di un ruolo che nei tempi recenti alcuni soggetti di mercato hanno detenuto svolgendo da interfaccia primaria tra cliente e prestatore dei servizi di pagamento. Si parla di soggetti che propongono modalità di pagamento che si basano su strumenti di pagamento esistenti (carte oppure conti correnti, es. SOFORT). La formalizzazione di tale ruolo non può prescindere dalla regolamentazione della comunicazione che tale ruolo dovrà avere nei confronti degli altri operatori di mercato attuali. Da qui, la necessità di disciplinare la modalità tecnica attraverso la quale tali nuovi operatori dovranno comunicare al fine di preservare la sicurezza e tutelare i consumatori. Figura 1: Fonte: PA Perspectives on Nordic Financial Services, https://www.paconsulting.com/our-thinking/perspectives-on-nordic-financial-services. Lo standard quindi tende a focalizzarsi su:

Il contenuto dello standard tecnico RTS

Il contenuto dello standard ha l’obiettivo di disciplinare diversi aspetti: In particolare, i contesti di eccezione per i quali la CSA può NON essere applicata, sono i seguenti:

Considerazioni

Lo scopo di tale regolamentazione menziona due fondamentali finalità: Se si può condividere, apprezzare e sostenere tali obiettivi, si deve ugualmente ritenere che un terzo obiettivo ugualmente importante vada aggiunto: Per quanto riguarda i pagamenti a distanza (e-Commerce), la nostra comune esperienza di operatori del settore ha visto la necessità di semplificare l’esecuzione del pagamento anziché complicarlo. Si consideri ciò che è avvenuto dopo l’introduzione del 3DSecure[1]. È appurato che un aumento dei passaggi di sicurezza che il consumatore deve sostenere per completare una transazione determina inevitabilmente tassi di abbandono delle transazioni significativamente più elevati. Il fatto di imporre la CSA specificatamente per singolo importo e transazione, per transazioni maggiori di un certo importo o un certo numero di transazioni specifiche e per i pagamenti ricorrenti equivale ad introdurre un ulteriore passaggio nel flusso di pagamento rendendolo più complicato e meno diretto. Ma soprattutto tale approccio applicato in modo uniforme nei diversi contesti non sembra tenere conto delle molteplici configurazioni di contesto in cui un consumatore può trovarsi. Quanto detto prima si può applicare ai pagamenti fisici basati su carte, wallet, ecc. Stiamo procedendo sempre più velocemente verso una realtà di un utilizzo massivo degli strumenti elettronici in molteplici contesti della propria giornata. In una sola giornata può capitare di eseguire diversi piccoli o grandi pagamenti a contatto o contact-less. Se ciò è vero, le regole sulla applicazione della CSA sopra i 5 pagamenti giornalieri o sopra un predeterminato importo (100 se remote o 150 se contact-less) rischiano di inficiare non poco l’esperienza dei consumatori. Secondo quanto indicato dalla regolamentazione, ogni accesso e pagamento one-click eseguito tramite e-wallet dovrebbe essere autorizzato con autenticazione forte. Gli strumenti e-wallet, equiparati a ciò che sono i portafogli contenenti le carte nel mondo fisico, hanno proprio l’obiettivo di semplificare la gestione dei pagamenti proprio perché’ si presume il possesso dello stesso da parte del pagatore, quindi utilizzato in una modalità ‘protetta’ e conosciuta. In questo senso l’autenticazione forte sia nel caso in cui il consumatore acceda al proprio wallet o nel caso in cui effettui l’operazione di pagamento. Per le soluzioni wallet, l’esigenza di garantire la facilità di utilizzo per il consumatore è di fondamentale importanza dato che è proprio in base alla facilità di utilizzo che il consumatore deciderà o meno se utilizzare tali strumenti di pagamento innovativi (ciò a beneficio degli esercenti dal momento che gli e-wallet dovrebbero ridurre i casi di abbandono della transazione dovuti a requisiti di autenticazione forte impossibili, o comunque molto difficili, da rispettare ad esempio quando si effettuano pagamenti in mobilità “on the go”). In base a questo, si dovrebbe ritenere che le transazioni con un clic debbano essere consentite per le soluzioni e-wallet quando il titolare di carta è stato autenticato con autenticazione forte al momento della registrazione della carta (oppure al momento della prima transazione effettuata con il e-wallet) e quando e-il wallet consente di determinare che il rischio della transazione è basso sulla base di fattori quali il riconoscimento biometrico dell’impronta digitale sul dispositivo, l’importo della transazione, la geo-localizzazione, le abitudini di consumo, il profilo della transazione, etc. In generale, i principi dovrebbero essere invertiti: Il Risk Base Assesment/Authentication dovrebbe costituire la regola, mentre l’autenticazione forte dovrebbe rappresentare l’eccezione. Invece di prevedere l’autenticazione forte per ciascuna transazione di pagamento, si dovrebbe raccomandare di effettuare una valutazione del rischio relativo a un’operazione specifica tenendo conto di criteri quali, per esempio, i modelli di pagamento del cliente (comportamento), il valore delle relative operazioni, il tipo di prodotto e il profilo del beneficiario.

Conclusioni

Il Parlamento europeo e il Consiglio avranno circa 3 mesi di tempo per votare questo regolamento, ci si aspetta che il processo di approvazione abbia tempi rapidi e che tale regolamento verrà approvato in questa forma. Settembre 2019 è la data di scadenza per l'implementazione, salvo ritardi imprevisti. Non ci aspettiamo davvero che ci sia molto margine di manovra in quella data: molte delle banche (e Payment System Provider) più attive sono già sulla buona strada per implementarle comunque, e i ritardatari rischiano di trovarsi con opzioni restrittive. Ci si aspetta che il recepimento da parte degli stati membri di tale regolamentazione abbia spazio per definire alcuni aspetti fondamentali per adattare tale regolamentazione al proprio mercato interno anche in termini competitivi, es. PayPal e altri soggetti di questo tipo saranno a tale regolamentazione? Il contenuto di tale regolamentazione impone comportamenti e azioni che, da una prima analisi, rischiano di complicare l’utilizzo degli strumenti di pagamento per i consumatori e conseguentemente limitare la crescita del mercato dei pagamenti elettronici lasciando spazio al famigerato, rischioso e costoso denaro contante. Personalmente credo che, in questo caso, le organizzazioni politiche europee, nel sano intento di preservare e tutelare la sicurezza dei consumatori, si sono fatte prendere un po’ troppo la mano cercando di disciplinare micro contesti attraverso l’applicazione di Best Practices che potrebbero non essere sempre attuabili nei singoli paesi. In generale, le Best Practices non dovrebbero essere rese mai obbligatorie. In particolare per l’Italia, rendere le Best Practices obbligatorie significherebbe prevedere regole sulla sicurezza dei pagamenti via internet più̀ restrittive di quelle degli altri Stati Membri. Ciò̀ ostacolerebbe lo sviluppo dell’industria italiana dei pagamenti, con ciò̀ determinando l’adozione di procedure di autenticazione più̀ gravose che aumentano la difficoltà nei pagamenti (friction) e l’abbandono dell'acquisto e un sostanziale svantaggio competitivo per i PSP italiani che sarebbero soggetti a regole più̀ restrittive rispetto a quelle applicabili ai PSP stabiliti in altri Stati Membri. [1] Si tenga presente dove si afferma che “Supporting 3-D Secure is complicated and, at times, creates transaction failures. Perhaps the biggest disadvantage for merchants is that many users view the additional authentication step as a nuisance or obstacle, which results in a substantial increase in transaction abandonment and lost revenue’, https://en.wikipedia.org/wiki/3-D_Secure.  
Devid Jegerson D.Jegerson Devid has built a career in ePayments as well as in other critical components of the Banking and e-commerce industry. In his role, as CEO of Payments at noon, he brings his considerable global expertise in electronic payments to bear at the newly-launched e-commerce platform in the MENA region. His career began as a software developer in Italy, before working with game-changers in the ePayments space such as PayPal, Fastweb, and IWBank, Italy. Most recently, he was Head of Payments at UBI Banca, Italy, where he managed electronic payments and launched services such as UBI PAY Mobile systems for NFC, wallet, and mPOS. He is also the founder of peer-to-peer payment system Jiffy (SIA) and was instrumental in the launch of UBI Banca’s MyBank payment gateway. He contributed to launch PayPal in Italy and the first prepaid card with CartaFacile (BPM). Devid has also worked on European regulation for payment systems, defining evolution strategies for financial companies and payment institutions that come under the European Payment Service Directive (PSD2) and SEPA. His innovations have also won a number of industry awards, from Milano Finanza, Accenture, and others. He holds an MBA in business administration from MIP-Politecnico Di Milano, Italy, as well as an MSc. in Markets and Business Strategy from Università Cattolica del Sacro Cuore, Italy. He is author of the book: “I pagamenti elettronici. Dal baratto al portafogli digitali” (2016, goWare).
Oltre 1096 Aziende associate
Più di 277 Certificazioni
Da più di 14 anni nel settore
Sono 954 i negozi

Dal blog di AICEL

Gli ultimi articoli pubblicati
Corso eCommerce per Agenzie e Consulenti

Corso eCommerce per Agenzie e Consulenti

Al via il nuovo Corso Certifico - L'e-commerce fatto con competenza - Due giorni di formazione su Codice Consumo, Privacy, gdpr

Scopri di pIù
Rilasciato Certificato SonoSicuro n° 578 - bottegadelfungo.it

Rilasciato Certificato SonoSicuro n° 578 - bottegadelfungo.it

bottegadelfungo.it è un negozio conforme alle disposizioni di legge e ha ottenuto il Certificato SonoSicuro

Scopri di pIù
eMailchef: Nuovi Piani Tariffari

eMailchef: Nuovi Piani Tariffari

eMailchef rivede e aggiorna la propria offerta. Confermata la scontistica per i Soci AICEL

Scopri di pIù
Finanziamenti e Bandi aperti

Finanziamenti e Bandi aperti

Scopri di più
Formazione AICEL

Formazione AICEL

Scopri di più
Sala stampa

Sala stampa

Scopri di più
Come fare per

Come fare per [Guide]

Scopri di più
© Aicel - Associazione Italiana Commercio Elettronico C.F. 93022240175 | Privacy