PSD2 e il nuovo standard tecnico RTS per l’autenticazione forte

4 dicembre 2017
By

Il 27 novembre 2017 la Commissione Europea ha pubblicato lo standard tecnico (RTS, Regulation Technical Standard) per la c.d. CSA, ‘Strong Customer Authentication’ (autenticazione forte), ossia la misura di sicurezza indicata nella direttiva PSD2 recentemente emanata (2015) per ridurre il rischio delle frodi nei pagamenti elettronici e aumentare la fiducia dei consumatori.

L’autenticazione forte è una procedura basata sull’uso di due o più dei seguenti elementi, classificati come conoscenza (una cosa che sai), proprietà (una cosa che hai), e ereditarietà (una cosa che sei).

Lo standard tecnico RTS è parte integrante della direttiva PSD2 che ha l’obiettivo di armonizzare ulteriormente il mercato attuale dei pagamenti elettronici europei. Tra le varie innovazioni introdotte, l’introduzione dei nuovi ruoli di Third parties Providers (AISP – Account Information Service Provider – e PISP – Payment Initiation Service Provider) permetterà la formalizzazione di un ruolo che nei tempi recenti alcuni soggetti di mercato hanno detenuto svolgendo da interfaccia primaria tra cliente e prestatore dei servizi di pagamento. Da qui, la necessità di disciplinare la modalità tecnica attraverso la quale tali nuovi operatori dovranno comunicare al fine di preservare la sicurezza e tutelare i consumatori.

Tra i contenuti che standard ha l’obiettivo di disciplinare spiccano in particolare i contesti di eccezione per i quali la CSA può NON essere applicata. Tra i più importanti:

  • Pagamenti contact-less in caso in cui:
    • l’importo sia minore di 50 EUR e
    • l’importo totale dei precedenti pagamenti avviati dal pagatore dopo l’ultima applicazione di autenticazione forte del cliente non sia superiore ai 150 EUR oppure che il numero delle transazioni non ecceda i 5 pagamenti.
  • Sui pagamenti avvenuti a distanza, c.d. remoti (e-commerce), se:
    • l’importo della transazione è inferiore a 30 EUR e
    • l’ammontare cumulativo delle precedenti transazioni di pagamento elettronico remoto avviate dal pagatore dopo l’ultima applicazione di autenticazione forte del cliente non ecceda 100 EUR oppure che il numero delle transazioni non ecceda i 5 pagamenti;
    • se la transazione in questione è stata classificata dal sistema di sicurezza interno come ‘basso rischio’. Tale rapporto di rischio deve essere compatibile con i livelli predeterminati indicati da EBA.

Lo scopo di tale regolamentazione menziona due fondamentali finalità:

  • contrastare le frodi nei pagamenti;
  • incrementare la fiducia dei consumatori nei servizi di pagamento via internet.

Se si può condividere, apprezzare e sostenere tali obiettivi, si deve ugualmente ritenere che un terzo obiettivo ugualmente importante vada aggiunto:

  • Assicurare il facile utilizzo nei diversi contesti degli strumenti di pagamento per i consumatori.

In generale, i principi dovrebbero essere invertiti: Il Risk Base Assesment/Authentication dovrebbe costituire la regola, mentre l’autenticazione forte dovrebbe rappresentare l’eccezione. Invece di prevedere l’autenticazione forte per ciascuna transazione di pagamento, si dovrebbe raccomandare di effettuare una valutazione del rischio relativo a un’operazione specifica tenendo conto di criteri quali, per esempio, i modelli di pagamento del cliente (comportamento), il valore delle relative operazioni, il tipo di prodotto e il profilo del beneficiario.

Il contenuto di tale regolamentazione impone comportamenti e azioni che, da una prima analisi, rischiano di complicare l’utilizzo degli strumenti di pagamento per i consumatori e conseguentemente limitare la crescita del mercato dei pagamenti elettronici lasciando spazio al famigerato, rischioso e costoso denaro contante.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Orario e Informazioni

0303580378
Lun-Ven: 10:00-12:00, 14:30-17:30

RSS Corsi AICEL

  • Si è verificato un errore; probabilmente il feed non è attivo. Riprova più tardi.

Seguici su Twitter

%d blogger hanno fatto clic su Mi Piace per questo: