Novità PSD2: Strong Customer Authentication e Dynamic Linking
La Direttiva (EU) 2015/2366 del Parlamento e del Consiglio Europeo del 25 novembre 2015, relativa ai servizi di pagamento nel mercato interno, meglio nota come Payment Services Directive 2 (PSD2) ha introdotto sostanziali novità nell’ambito dell’autenticazione del cliente di prestatori di servizi di pagamento.
Strong Customer Authentication
Viene introdotto il concetto di “autenticazione forte del cliente” (strong customer authentication, o SCA), definita come “un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”[1].
In particolar modo, si fa riferimento a:
- Qualcosa che solo l’utente conosce: pin o password;
- Qualcosa che solo l’utente possiede: token o smartphone;
- Qualcosa che caratterizza l’utente: credenziali biometriche, come l’impronta digitale o lo scan dell’iride.
Scopo della SCA è quello di rafforzare le procedure di sicurezza applicate ai consumatori di servizi di pagamento online/pagamenti elettronici. A tal proposito, la PSD2 dispone che “gli Stati Membri provvedono a che un prestatore di servizi di pagamento applichi l’autenticazione forte del cliente quando il pagatore:
- a) accede al suo conto di pagamento on line;
- b) dispone un’operazione di pagamento elettronico;
- c) effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi.”[2]
La Commissione Europea ha adottato i Regulatory Technical Standards (RTS) sulla base delle indicazioni fornite dall’Autorità Bancaria Europea (EBA), ente con compiti di vigilanza sul sistema bancario comunitario.
I RTS richiedono alle banche e agli altri fornitori di servizi di pagamento di predisporre l’infrastruttura necessaria per assicurare piena compliance con i requisiti SCA. Consumatori e commercianti dovranno essere equipaggiati ed adeguatamente formati per essere in grado di operare in un ambiente SCA[3].
Tale normativa risponde appunto all’esigenza di costruire un quadro comune europeo nell’ambito dei pagamenti retail in grado di considerare l’elevata innovazione tecnologica che si è avuta negli ultimi anni, andando a disciplinare gli aspetti maggiormente impattanti sull’operatività di tutti i giorni.
Al contempo, vi sono delle specifiche esenzioni dall’applicazione della SCA, al fine di evitare un eccessivo appesantimento degli obblighi per consumatori e prestatori di servizi di pagamento. In modo particolare, beneficiano di tale esenzione:
- Transazioni il cui importo è inferiore ai 30 euro (su base cumulativa EUR 100 o più di 5 transazioni consecutive, dall’ultima applicazione della SCA)
- Pagamenti verso ‘trusted beneficiaries’ (white lists)
- Pagamenti presso ‘unattended terminals’ per il trasporto e il parcheggio;
- Pagamenti contactless (fino a EUR 50; su base cumulativa EUR 150 o più di 5 transazioni consecutive, dall’ultima applicazione della SCA);
- Pagamenti classificati a basso rischio in base a transaction risk analysis[4]
Inoltre, ai sensi dell’art 17 dell’RTS, ai prestatori di servizi di pagamento è consentito non applicare la SCA nei confronti di clientela corporate, laddove utilizzino processi o protocolli di pagamento dedicati – resi disponibili unicamente a clienti diversi dai consumatori – nel caso in cui le autorità abbiano accertato che tali processi o protocolli garantiscano i livelli di sicurezza previsti dalla direttiva PSD[5].
Dynamic Linking
Oltre alla SCA, la PSD2 ha introdotto una ulteriore fattore di sicurezza volto a proteggere il buyer tramite il c.d. Collegamento Dinamico (Dynamic Linking).
Le transazioni di pagamento elettronico da remoto, infatti, sono soggette a un maggiore rischio di fronte rispetto agli strumenti di pagamento tradizionali. Pertanto, si è reso necessario introdurre dei requisiti aggiuntivi per la transazione, al fine di assicurare che gli elementi colleghino in modo dinamico l’operazione all’importo e al beneficiario specificati dal pagatore al momento di disporre l’operazione. Il collegamento dinamico è possibile attraverso la generazione di codici di autenticazione soggetti a una serie di rigorosi requisiti di sicurezza. Tali codici dovrebbero essere basati su soluzioni quali la generazione e la convalida di password monouso, firme elettroniche o altre conferme della validità basate sulla crittografia che utilizzano chiavi o materiale crittografico.[6]
Tramite il Collegamento Dinamico, per effettuare la transazione sarà dunque necessaria l’autenticazione della singola operazione di pagamento tramite un codice univoco associato specificamente a quella transazione e alle sue caratteristiche, quali l’importo ed il beneficiario.
Tutte queste novità saranno pienamente operative dal 14 settembre 2019, data a partire dalla quale troverà piena applicazione la PSD2 e che segnerà un evento fondamentale nell’innovazione del sistema dei pagamenti e delle connesse procedure di sicurezza.
[1] Art. 4 (30) della Direttiva (EU) 2015/2366
[2] Art. 97(1) della Direttiva (EU) 2015/2366
[3] European Commission – Fact Sheet: Payment Services Directive (PSD2): Regulatory Technical Standards (RTS) enabling consumers to benefit from safer and more innovative electronic payments, Novembre 2017, disponibile al seguente link: http://europa.eu/rapid/press-release_MEMO-17-4961_en.htm
[4] Banca d’Italia – Eurosistema, G. Giambelluca – PSD2 e le nuove regole sulla sicurezza, Roma dicembre 2018, disponibile al seguente link (http://www.dt.tesoro.it/export/sites/sitodt/modules/documenti_it/antifrode_mezzi_pagamento/antifrode_mezzi_pagamento/Gipaf_Giambelluca.pdf)
[5] Banca d’Italia, Comunicazione della Banca d’Italia in materia di accesso ai conti di pagamento (previsto dalla Direttiva PSD2): istruzioni per l’esenzione dall’obbligo di realizzare la procedura di contingency (“fall-back solution”), disponibile al link )
[6] Regolamento Delegato (UE) 2018/389 del 27 novembre 2017 che integra la direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione per l’autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri, considerando (4) e (5).
Francesco Cimino, Deputy Director dell’area Banking&Finance, 28 anni, laureato in giurisprudenza nel 2015 presso l’Università degli Studi Roma Tre con tesi in Diritto Commerciale dal titolo “Compliance nelle banche e nelle società finanziarie“. Ha conseguito un International Master in Export Compliance con project work dal titolo “Corporate compliance towards sanctions era: embedding banking approach in non-financial corporations“. E’ accreditato come Export Compliance Officer presso European Institute for Export Compliance. Ha lavorato come junior associate presso studio legale internazionale Allen&Overy (sede di Roma) nel dipartimento di International Capital Markets, curando attività di Debt Capital Markets e Regulatory Banking&Finance. Attualmente lavora nella Direzione Finanza di una grande corporate italiana.