PSD2 e il nuovo standard tecnico RTS per l’autenticazione forte qui

Il 27 novembre 2017 la Commissione Europea ha pubblicato lo standard tecnico (RTS, Regulation Technical Standard) per la c.d. CSA, ‘Strong Customer Authentication’ (autenticazione forte), ossia la misura di sicurezza indicata nella direttiva PSD2 recentemente emanata (2015) per ridurre il rischio delle frodi nei pagamenti elettronici e aumentare la fiducia dei consumatori.

L’autenticazione forte è una procedura basata sull’uso di due o più dei seguenti elementi, classificati come conoscenza (una cosa che sai), proprietà (una cosa che hai), e ereditarietà (una cosa che sei).

Lo standard tecnico RTS è parte integrante della direttiva PSD2 che ha l’obiettivo di armonizzare ulteriormente il mercato attuale dei pagamenti elettronici europei. Tra le varie innovazioni introdotte, l’introduzione dei nuovi ruoli di Third parties Providers (AISP – Account Information Service Provider – e PISP – Payment Initiation Service Provider) permetterà la formalizzazione di un ruolo che nei tempi recenti alcuni soggetti di mercato hanno detenuto svolgendo da interfaccia primaria tra cliente e prestatore dei servizi di pagamento. Da qui, la necessità di disciplinare la modalità tecnica attraverso la quale tali nuovi operatori dovranno comunicare al fine di preservare la sicurezza e tutelare i consumatori.

Tra i contenuti che standard ha l’obiettivo di disciplinare spiccano in particolare i contesti di eccezione per i quali la CSA può NON essere applicata. Tra i più importanti:

Pagamenti contact-less in caso in cui:
- l’importo sia minore di 50 EUR e
- l’importo totale dei precedenti pagamenti avviati dal pagatore dopo l’ultima applicazione di autenticazione forte del cliente non sia superiore ai 150 EUR oppure che il numero delle transazioni non ecceda i 5 pagamenti.
Sui pagamenti avvenuti a distanza, c.d. remoti (e-commerce), se:
- l’importo della transazione è inferiore a 30 EUR e
- l’ammontare cumulativo delle precedenti transazioni di pagamento elettronico remoto avviate dal pagatore dopo l’ultima applicazione di autenticazione forte del cliente non ecceda 100 EUR oppure che il numero delle transazioni non ecceda i 5 pagamenti;
- se la transazione in questione è stata classificata dal sistema di sicurezza interno come ‘basso rischio’. Tale rapporto di rischio deve essere compatibile con i livelli predeterminati indicati da EBA.

Lo scopo di tale regolamentazione menziona due fondamentali finalità:

contrastare le frodi nei pagamenti;
incrementare la fiducia dei consumatori nei servizi di pagamento via internet.

Se si può condividere, apprezzare e sostenere tali obiettivi, si deve ugualmente ritenere che un terzo obiettivo ugualmente importante vada aggiunto:

Assicurare il facile utilizzo nei diversi contesti degli strumenti di pagamento per i consumatori.

In generale, i principi dovrebbero essere invertiti: Il Risk Base Assesment/Authentication dovrebbe costituire la regola, mentre l’autenticazione forte dovrebbe rappresentare l’eccezione. Invece di prevedere l’autenticazione forte per ciascuna transazione di pagamento, si dovrebbe raccomandare di effettuare una valutazione del rischio relativo a un’operazione specifica tenendo conto di criteri quali, per esempio, i modelli di pagamento del cliente (comportamento), il valore delle relative operazioni, il tipo di prodotto e il profilo del beneficiario.

Il contenuto di tale regolamentazione impone comportamenti e azioni che, da una prima analisi, rischiano di complicare l’utilizzo degli strumenti di pagamento per i consumatori e conseguentemente limitare la crescita del mercato dei pagamenti elettronici lasciando spazio al famigerato, rischioso e costoso denaro contante.

Articoli Correlati

Devid Jegerson

Dr. Devid Jegerson COO, InvestBank Devid vanta una grande esperienza nel campo dei pagamenti digitali, del settore bancario e in altri componenti critici del settore dell'e-commerce. La sua carriera comprende 4,5 start-up, il lancio sul mercato della prima carta prepagata ricaricabile(2002), il primo conto bancario Revolut eMoney (2006), un intero gateway di pagamento eCommerce con acquisizione licenza (2008), il primo sistema P2P europeo simile a Venmo (2014) e la prima piattaforma di pagamento cloud in Medio Oriente (2016). La sua carriera è stata rivoluzionaria nel settore dei pagamenti e del settore bancario, in realtà come noon.com negli Emirati Arabi Uniti, PayPal, Fastweb e IWBank in Italia. Recentemente, come parte del team fondatore e CEO of Payments di noon.com, ha portato la sua notevole esperienza globale nei pagamenti elettronici a supporto della piattaforma cloud di e-commerce appena lanciata nella regione MENA. In precedenza è stato Responsabile Pagamenti presso una primaria banca italiana, gestendo i pagamenti elettronici e lanciando servizi come i sistemi UBI PAY Mobile per NFC, wallet e mPOS. Inoltre, ha lavorato alla regolamentazione europea PSD2 per i sistemi di pagamento; ha anche fatto parte del team fondatore del sistema di pagamento peer-to-peer Jiffy (ora parte di NPSS della Banca Centrale degli Emirati Arabi Uniti) che è stato determinante nel lancio della Banca Digitale di UBI Banca. Membro del consiglio di amministrazione di Webidoo, Etisalat UAE Trade Connect e altre società, attraverso un approccio visionario e strategico unito a straordinarie capacità di esecuzione, nel suo ruolo di COO, sta guidando la strategia di turnaround in InvestBank, UAE. Ha conseguito un dottorato di ricerca nell’ambito della accettazione e diffusione delle criptovalute all'Università di Abu Dhabi, un EMBA presso il MIP-Politecnico di Milano, Italia, e un Master in Mercati e Strategie d'Impresa presso l'Università Cattolica del Sacro Cuore, Italia. È autore del libro: “Pagamenti elettronici. Dal baratto ai portafogli digitali.” (2016, goWare) e numerosi articoli di ricerca pubblicati su giornali scientifici.

Non ci sono ancora commenti

Lascia un Commento

Ultime Notizie

Ddl AI in Senato: oltre 400 emendamenti ai 25 articoli

Sono oltre 400 gli emendamenti ai 25 articoli del ddl AI in Senato. Si discute di fondi per il trasferimento tecnologico, autorità di sorveglianza, sicurezza dei dati e ambiti di applicazione

AI e ricerche su Google, nuove tappe di innovazione

Google è il numero uno per indirizzare visite ai siti ma evolve grazie all’AI applicata alla ricerca: saranno sempre più importanti le interazioni con l’utente per affinare i risultati, attraverso l’uso dell’Intelligenza artificiale, e gli UGC, ovvero i contenuti generati dagli stessi utenti

Pagamenti digitali: in Italia 9 su 10 sono contactless

Secondo i dati dell’Osservatorio Innovative Payments del Politecnico di Milano, i pagamenti digitali in Italia hanno raggiunto quota 223 miliardi di euro nei primi sei mesi del 2024, registrando un +8,6% rispetto al 2023. In negozio, quasi 9 transazioni con carta su 10 sono in modalità contactless

Recensioni online: stop alla pubblicità occulta e attenzione alle truffe

Approvato il Decreto Legge Pmi che introduce nuove regole per le recensioni online: pubblicazione consentita solo dopo avere usufruito effettivamente del prodotto o del servizio, principi di trasparenza e imparzialità e nuove sanzioni

L’Ai e il ruolo dell’energia nucleare per alimentarla

L’intelligenza artificiale, come quella utilizzata da ChatGPT, richiede enormi quantità di energia. Le grandi aziende tecnologiche, come Microsoft, Google e Amazon, stanno esplorando il nucleare come fonte sostenibile per alimentare i data center

Articoli Correlati

Social marketing, nuova sanzione del Garante

Recepimento Psd2 e IFR, cosa cambia nel mondo dei pagamenti

Lascia un Commento