Gli RTS (Regulatory Technical Standards) di EBA per l’implementazione della Strong Customer Authenti
23 Marzo 2017. La PSD2, la nuova direttiva sui pagamenti che entrerà in vigore dal 13 Gennaio 2018, richiede l’utilizzo della SCA (o Strong Customer Authentication) per tutta una serie di servizi, quali:
L’accesso online ad un conto di pagamento
L’inizializzazione di una operazione di pagamento
Ogni operazione di pagamento in remoto da cui possa scaturire un rischio di frode o altri abusi.
La SCA è un requisito obbligatorio della PSD2 e richiede il rispetto di 3 condizioni:
che un un pagatore sia identificato attraverso almeno due dei tre elementi elencati di seguito:
* Conoscenza: Qualcosa che l’utente conosce (password, domanda di sicurezza, …)
* Possesso: Qualcosa che l’utente possiede (un dispositivo quale lo smartphone, una chiavetta per le password, …)
* Inerenza: Qualcosa che l’utente è (impronta digitale ed altri sistemi di autenticazione basati sulla biometria)
Che gli elementi suddetti siano indipendenti l’uno dall’alto in modo che la compromissione di uno non influenzi l’altro
I dati di autenticazione devono essere adeguatamente protetti. L’utilizzo di almeno due dei tre requisiti di conoscenza, possesso e inerenza, infatti, porta alla generazione di un codice di autenticazione che deve essere reso disponibile all’utente al momento del bisogno (accesso al conto di pagamento, inizializzazione di un’operazione, …).
In aggiunta, se un pagatore avvia una transazione elettronica, il protocollo di SCA deve includere elementi dinamici che leghino il pagatore ad uno specifico importo e beneficiario. Gli RTS definiscono, quindi, che il codice di autenticazione sia specifico per l’importo e che siano noti al pagatore sia l’importo che il beneficiario.
L’EBA (European Banking Authority), ricevuto mandato di definire le procedure attuative per l’implementazione, ha cercato di commisurare le necessità dei diversi player di mercato ed in particolare di cercare di preservare per quanto possibile una buona UX e di adottare un approccio basato sulla rischiosità dell’operazione di pagamento.
La mia personale opinione è che gli standard tecnici presentino aspetti positivi e negativi, opportunità e rischi per gli incumbents, luci ed ombre. Forse più ombre che luci. Ma non abbastanza “ombre” da rimandare ulteriormente la definizione delle procedure attuative e l’entrata in vigore della normativa (e ci vorranno comunque altri 18 mesi).
La notizia positiva è che gli RTS escludono dal perimetro alcune attività considerate a basso rischio (come la Payment account information) o che abbiano basso valore (come le microtransazioni) o per le quali la velocità sia critica e gli importi bassi (pagamenti di parcheggi e colonnine unattended). Altra notizia, a mio modo di vedere, positiva è che lo “screen scraping” per ottenere i dati di accesso ad un conto di pagamento sarà bandito: non farlo avrebbe consentito ritardi e giustificazioni nel mettere a disposizione API (o interfacce analoghe) da parte dei possessori dei dati, principalmente le banche. Certo, la mancanza di uno standard di esposizione dei dati potrebbe rallentare il progresso e l’avvento di nuovi modelli di business, ma è anche vero che in questo modo si evita una “commoditizzazione” dei servizi di accesso ai conti e che solo i più bravi saranno in grado di portare una soluzione convincente sul mercato.
Dal punto di vista delle ombre, i requisiti sistemici necessari per beneficiare dell’esenzione dalla SCA potrebbero essere molto pesanti per i sistemi dei PSP. In particolare, i requisiti di esclusione di determinate transazioni basati sulla TRA (Transaction Risk Analysis) sono stringenti al punto che alcuni Payment Service Providers potrebbero decidere di non adottare l’esenzione anche per transazioni che ne potrebbero beneficiare. Analogamente, i limiti per l’esenzione per le transazioni C-less non devono eccedere 150Eur o 5 transazioni e lo stesso principio per Low value trx.
In tutti questi casi, il principale rischio è che gli operatori meno virtuosi si autosegnalino al mercato. Se so che una determinata banca non utilizza l’esenzione dalla SCA (ad esempio, se non mi viene mai riconosciuta l’esenzione per una transazione che potenzialmente potrebbe beneficiarne), so anche che i suoi tassi di frode sono (verosimilmente) più alti della media. Un’informazione preziosa per un frodatore.
Non so dire ad oggi quanto questi timori siano fondati. Se dovessero essere necessari cambiamenti, si può sempre pensare ad una PSD3. Per il momento, godiamoci le attuali certezze e diamo il benvenuto alla PSD2.