PSD2 e il nuovo standard tecnico RTS per l’autenticazione forte qui

Il 27 novembre 2017 la Commissione Europea ha pubblicato lo standard tecnico (RTS, Regulation Technical Standard) per la c.d. CSA, ‘Strong Customer Authentication’ (autenticazione forte), ossia la misura di sicurezza indicata nella direttiva PSD2 recentemente emanata (2015) per ridurre il rischio delle frodi nei pagamenti elettronici e aumentare la fiducia dei consumatori.

L’autenticazione forte è una procedura basata sull’uso di due o più dei seguenti elementi, classificati come conoscenza (una cosa che sai), proprietà (una cosa che hai), e ereditarietà (una cosa che sei).

Lo standard tecnico RTS è parte integrante della direttiva PSD2 che ha l’obiettivo di armonizzare ulteriormente il mercato attuale dei pagamenti elettronici europei. Tra le varie innovazioni introdotte, l’introduzione dei nuovi ruoli di Third parties Providers (AISP – Account Information Service Provider – e PISP – Payment Initiation Service Provider) permetterà la formalizzazione di un ruolo che nei tempi recenti alcuni soggetti di mercato hanno detenuto svolgendo da interfaccia primaria tra cliente e prestatore dei servizi di pagamento. Da qui, la necessità di disciplinare la modalità tecnica attraverso la quale tali nuovi operatori dovranno comunicare al fine di preservare la sicurezza e tutelare i consumatori.

Tra i contenuti che standard ha l’obiettivo di disciplinare spiccano in particolare i contesti di eccezione per i quali la CSA può NON essere applicata. Tra i più importanti:

Pagamenti contact-less in caso in cui:
- l’importo sia minore di 50 EUR e
- l’importo totale dei precedenti pagamenti avviati dal pagatore dopo l’ultima applicazione di autenticazione forte del cliente non sia superiore ai 150 EUR oppure che il numero delle transazioni non ecceda i 5 pagamenti.
Sui pagamenti avvenuti a distanza, c.d. remoti (e-commerce), se:
- l’importo della transazione è inferiore a 30 EUR e
- l’ammontare cumulativo delle precedenti transazioni di pagamento elettronico remoto avviate dal pagatore dopo l’ultima applicazione di autenticazione forte del cliente non ecceda 100 EUR oppure che il numero delle transazioni non ecceda i 5 pagamenti;
- se la transazione in questione è stata classificata dal sistema di sicurezza interno come ‘basso rischio’. Tale rapporto di rischio deve essere compatibile con i livelli predeterminati indicati da EBA.

Lo scopo di tale regolamentazione menziona due fondamentali finalità:

contrastare le frodi nei pagamenti;
incrementare la fiducia dei consumatori nei servizi di pagamento via internet.

Se si può condividere, apprezzare e sostenere tali obiettivi, si deve ugualmente ritenere che un terzo obiettivo ugualmente importante vada aggiunto:

Assicurare il facile utilizzo nei diversi contesti degli strumenti di pagamento per i consumatori.

In generale, i principi dovrebbero essere invertiti: Il Risk Base Assesment/Authentication dovrebbe costituire la regola, mentre l’autenticazione forte dovrebbe rappresentare l’eccezione. Invece di prevedere l’autenticazione forte per ciascuna transazione di pagamento, si dovrebbe raccomandare di effettuare una valutazione del rischio relativo a un’operazione specifica tenendo conto di criteri quali, per esempio, i modelli di pagamento del cliente (comportamento), il valore delle relative operazioni, il tipo di prodotto e il profilo del beneficiario.

Il contenuto di tale regolamentazione impone comportamenti e azioni che, da una prima analisi, rischiano di complicare l’utilizzo degli strumenti di pagamento per i consumatori e conseguentemente limitare la crescita del mercato dei pagamenti elettronici lasciando spazio al famigerato, rischioso e costoso denaro contante.

Devid Jegerson

Dr. Devid Jegerson COO, InvestBank Devid vanta una grande esperienza nel campo dei pagamenti digitali, del settore bancario e in altri componenti critici del settore dell'e-commerce. La sua carriera comprende 4,5 start-up, il lancio sul mercato della prima carta prepagata ricaricabile(2002), il primo conto bancario Revolut eMoney (2006), un intero gateway di pagamento eCommerce con acquisizione licenza (2008), il primo sistema P2P europeo simile a Venmo (2014) e la prima piattaforma di pagamento cloud in Medio Oriente (2016). La sua carriera è stata rivoluzionaria nel settore dei pagamenti e del settore bancario, in realtà come noon.com negli Emirati Arabi Uniti, PayPal, Fastweb e IWBank in Italia. Recentemente, come parte del team fondatore e CEO of Payments di noon.com, ha portato la sua notevole esperienza globale nei pagamenti elettronici a supporto della piattaforma cloud di e-commerce appena lanciata nella regione MENA. In precedenza è stato Responsabile Pagamenti presso una primaria banca italiana, gestendo i pagamenti elettronici e lanciando servizi come i sistemi UBI PAY Mobile per NFC, wallet e mPOS. Inoltre, ha lavorato alla regolamentazione europea PSD2 per i sistemi di pagamento; ha anche fatto parte del team fondatore del sistema di pagamento peer-to-peer Jiffy (ora parte di NPSS della Banca Centrale degli Emirati Arabi Uniti) che è stato determinante nel lancio della Banca Digitale di UBI Banca. Membro del consiglio di amministrazione di Webidoo, Etisalat UAE Trade Connect e altre società, attraverso un approccio visionario e strategico unito a straordinarie capacità di esecuzione, nel suo ruolo di COO, sta guidando la strategia di turnaround in InvestBank, UAE. Ha conseguito un dottorato di ricerca nell’ambito della accettazione e diffusione delle criptovalute all'Università di Abu Dhabi, un EMBA presso il MIP-Politecnico di Milano, Italia, e un Master in Mercati e Strategie d'Impresa presso l'Università Cattolica del Sacro Cuore, Italia. È autore del libro: “Pagamenti elettronici. Dal baratto ai portafogli digitali.” (2016, goWare) e numerosi articoli di ricerca pubblicati su giornali scientifici.

Non ci sono ancora commenti

Lascia un Commento

Ultime Notizie

Dsa, la norma europea messa alla prova

Dopo quasi un anno dalla sua entrata in vigore, si iniziano a valutare i primi risultati dell’applicazione del Digital Service Act europeo

Telegram nel mirino UE per privacy e sicurezza

La piattaforma di messaggistica end-to-end è finita sotto inchiesta per aver agevolato reati online causati dalla sua politica aziendale, che ora forse sta cambiando

Ikea lancia il marketplace dell’usato Preowned

Dare una seconda vita ai prodotti usati: con questo scopo il colosso svedese crea un marketplace per i clienti che intendono rivendere precedenti acquisti. I primi test a Oslo e Madrid dureranno fino al termine del 2024

E-commerce: Poste e DHL in tutta Italia con 10mila locker

È stato installato a Roma il primo dei 10mila locker che saranno distribuiti su tutto il territorio nazionale allo scopo di agevolare le operazioni di deposito e ritiro pacchi per acquisti fatti online. La joint venture di Poste Italiane e DHL punta ad agevolare la fase di consegna per il mondo e-commerce

Ecommerce cinesi: l’Ue vuole imporre dazi doganali

L’Europa si sta preparando alla lotta contro le spedizioni in massa di prodotti di scarsa qualità, venduti a basso costo e provenienti da ecommerce cinesi quali Temu, Shein e AliExpress, attraverso l’applicazione di dazi doganali

Social marketing, nuova sanzione del Garante

Recepimento Psd2 e IFR, cosa cambia nel mondo dei pagamenti

Lascia un Commento