Newsletter

Clicking moves left

Gli Speciali 2017

 

Forum HR

Cultura e regole nella gestione delle risorse umane, evoluzione sociale e digitale, organzizazione, leve motivazionali, contratti, lavoro...

Unione Bancaria e Basilea 3

L’evento dell'ABI su risk management, capitale e vigilanza europea. 120 relatori, 12 sessioni e una tavola rotonda per fare il punto sulla...

Banche e Sicurezza

Le banche tra sicurezza fisica e digitale, sotto il ritmo incessante della trasformazione tecnologica. Come difendersi dalle nuove minacce?

Funding & Capital Markets

I contenuti della IV edizione dell'evento ABI sugli strumenti di funding a disposizione di banche e imprese, sul mercato dei capitali e...

Dimensione Cliente

Il cliente non cerca più prodotti o servizi ma una Customer Journey. Si muove da questo imperativo la nuova edizione del convegno dedicato...

Forum ABI Lab

Bank to the future - Il viaggio nell'ecosistema digitale di ABI Lab nelle 2 giornate di Milano del 21 e 22 marzo - Le videointerviste e i...

Clicking moves right

Home > Sicurezza

Sicurezza
Invia Stampa
Strong customer authentication, le nuove regole dell’EBA

Strong customer authentication, le nuove regole dell’EBA

Nel draft finale sugli Standard tecnici normativi l'Autorità bancaria europea apporta diverse modifiche rispetto alla versione in consultazione sui criteri di autenticazione forte del cliente e l'accesso ai conti. Ecco cosa cambia …
Mattia Schieppati
Con l'annunciato ritardo di un mese rispetto alle previsioni, ritardo dovuto al numero record di richieste di modifica raccolto dalla consultazione online cui era stato sottoposto il regolamento (224 per l'esattezza), l'Autorità bancaria europea ha pubblicato la versione finale degli Standard tecnici normativi (Regulatory Technical Standards - RTS) relativi alla Strong Authentication contenuti nella PSD2 (Payment Services Directive, seconda versione). Standard che, come indica il comunicato dell'Eba che accompagna il documento, «aprono la strada a un mercato aperto e sicuro per i pagamenti retail all'interno dell'Unione europea» e che riguardano le modalità di esecuzione dei pagamenti digitali con l'obiettivo di rendere più sicure le transazioni e tutelare i consumatori (qui il comunicato finale e il download del draft integrale).
Il tema merita un piccolo riassunto: con l'introduzione della nuova Direttiva sui servizi di pagamento (PSD2, pubblicata il 23 dicembre 2015 sull’Official Journal dell’Unione europea e che entrerà in vigore dal gennaio 2018), l'Eba ha avuto il mandato, tra gli altri, di specificare i requisiti delle procedure di autenticazione forte del cliente e delle relative esenzioni d’uso, ponendo a vecchi e nuovi fornitori di servizi di pagamento (oltre alle banche, principalmente i Tpp - Third Party Providers) regole più stringenti relative alla necessità di utilizzo della "strong customer authentication", ovvero autenticazione del soggetto che effettua la transazione basate non più su un solo elemento identificativo (il pin o la password, ecc.).

Tre set di codici

La definizione di strong customer authentication adottata dalla PSD2 si basa sull’uso di due o più fattori di autenticazione, che  comprende differenti elementi di categorizzazione dei codici riservati dell’utente, riconducibili alle seguenti 3 casistiche :
  • codici attinenti la conoscenza personale, categoria knowledge;
  • codici relativi a un elemento di possesso, categoria possession;
  • codici legati a caratteristiche individuali del singolo utente, categoria inherence.
Questi tre set sono indipendenti: anche se uno dovesse essere scoperto da un soggetto terzo, gli altri rimangono non correlati e quindi non deducibili.

Sicuri sì, ma a leggero discapito della facilità d’uso ...

Sistemi più sicuri, quindi, ma con un problema: il percorso di acquisto di un prodotto online potrebbe diventare in questo modo per l'utente meno rapido e immediato. E nonostante tutti i report dicano che quel che più chiede il cliente quando fa acquisti online sia la tanto sbandierata "sicurezza", alla prova dei fatti poi i sistemi di pagamento che già oggi prevedono alte soglie di strong authentication sono quelli che registrano la maggiore quota di abbandono, ovvero di transazioni non portate a termine proprio perché il cliente si "scoccia" a dover effettuare più di un solo step di autenticazione.
Secondo un articolo pubblicato da Milano Finanza, il 61% dei consumatori europei ritiene che ulteriori passaggi nella fase di check-out in ambito e-commerce li indurrà ad abbandonare l’acquisto; il che l’impatto sull’e-commerce verso siti extra potrebbe essere molto forte, mettendo a rischio 11,2 miliardi di euro di vendite online all'anno in Europa. E sono in tanti i player che, a fronte di un possibile innalzamento degli standard di sicurezza, hanno temuto il peggio e si sono affrettati a inviare all'Eba richieste e proposte di deroga o di "alleggerimento" dei termini molto stringenti previsti dalla bozza di direttiva iniziale. Pensiamo per esempio a come tutti i big dell'e-commerce - Amazon, Google Pay, Apple Store … - siano arrivati ormai a proporre la facilissima via dell'acquisto con un solo click. Cosa significherebbe per loro introdurre la strong customer authentication anche per transazioni di piccolo importo?

Conciliazione e punti di equilibrio complessi

Senza arroccamenti né rigidità, i 18 mesi di studi e analisi svolte dall'Eba hanno portato all'introduzione di alcune delle deroghe richieste per l’applicazione della strong customer autentication, sia per i pagamenti da remoto sia per le modalità di accesso ai conti concorrenti bancari da parte di soggetti terzi che forniscono servizi di pagamento. «Gli Rts contenuti nel documento finale rappresentano il risultato di difficili compromessi tra i vari, e a volte contrastanti, obiettivi della PSD2», scrive Eba, «per esempio conciliare la necessità di sicurezza con la comodità del cliente, assicurando una "business model neutrality" e al contempo contribuire all'integrazione del mercato dei pagamenti europeo, facilitando la concorrenza e promuovendo l'innovazione nei servizi di pagamento».

Le deroghe introdotte

Ecco gli elementi di deroga più significativi introdotti dall'ultimo draft Eba.
  • Il prestatore dei servizi di pagamento (p.e. una banca) può essere esentato dall’applicare la strong authentication del cliente qualora si basi su una specifica analisi del rischio associato alla transazione stessa (Tra - Transaction risk analysis) da cui emerga un basso rischio di frode associato alla transazione. Distinguendo tra due tipologie di pagamento remoto, ossia quello che si compie mediante una carta utilizzata su Internet e quello che si ottiene disponendo un bonifico (p.e. anche tramite un dispositivo mobile), Eba dispone che l’applicazione dell’esenzione basata sulla Tra sia possibile per specifici limiti d’importo, sulla base del rispetto di specifici tassi di frode, ossia osservando la conformità a una tabella di scoring prevista negli standard.
  • Un'ulteriore deroga è stata inoltre prevista per quelle transazioni che si compiono su terminali non presidiati, finalizzate al pagamento di parcheggi (per esempio presso i parcometri) e titoli di trasporto.
  • Rispetto ai limiti d’importo relativi alle operazioni di basso valore che si compiono da remoto, il tetto che fa scattare l'obbligo di strong customer authentication per singola transazione è passato ; inoltre, la strong customer authentication si applica per importi complessivi associati a più transazioni non superiori ai 100 euro oppure dopo 5 pagamenti consecutivi effettuati in maniera più “light”.
  • Sono state confermate le esenzioni per i pagamenti contactless su terminali Pos, per transazioni singole inferiori a 50 euro e nei casi in cui l’importo complessivo delle transazioni dall’ultima volta in cui è stata applicata l’autenticazione forte non superi i 150 euro o non siano stati effettuati più di 5 pagamenti consecutivi dal singolo individuo.
  • Per quanto attiene l’annoso tema dell’accesso ai conti, Eba ha precisato che vi è l’obbligo per gli Aspsp (ossia per i prestatori di servizi di pagamento che forniscono e amministrano un conto di pagamento, come le banche) di proporre almeno un’interfaccia per gli Aisp (prestatori di servizi di pagamento che erogano servizi di informazione sui conti – o account information service provider), i Pisp (prestatori di servizi di pagamento che offrono servizi di inizializzazione di ordini di pagamento - o payment initiation service provider) e per i Psp che emettono strumenti di pagamento basati su carte (le cc.dd. “decoupled debit cards”), soggetti per cui è previsto che siano garantiti i medesimi livelli di servizio offerti dagli Aspsp ai propri clienti.
  • Per quanto riguarda l’impiego dei certificati emessi da Identity Provider eIDAS, Eba conferma che, ad entrata in vigore degli standard, le comunicazione “server-to-server” tra Aspsp e Tpp autorizzati, così come quella tra Aspsp e i Psp che emettono strumenti di pagamento card-based, deve avvenire impiegando, per l’autenticazione delle parti, i certificati qualificati emessi da un provider conforme al regolamento (UE) 910/2014,altresì noto come eIDAS.
10 Marzo 2017

Articoli correlati

 

  • Verso la cyber defence

    Per rendere più efficace la protezione dagli attacchi informatici le banche devono passare da una strategia di prevenzione a un approccio basato...

Nuovo Contratto bancari

Sullo scaffale

Elenco degli Sportelli Bancari 2017

Elenco degli Sportelli Bancari 2017

In 640 pagine, il panorama più esauriente delle 28.000 filiali e dei 1.400 negozi finanziari operanti in Italia, contenente le principali informazioni ...

Convegni ABI

Forum Bancassicurazione 2017

Forum Bancassicurazione 2017

Roma, 28 e 29 settembre 2017