PSD2 e il nuovo standard tecnico RTS per l’autenticazione forte qui

Il 27 novembre 2017 la Commissione Europea ha pubblicato lo standard tecnico (RTS, Regulation Technical Standard) per la c.d. CSA, ‘Strong Customer Authentication' (autenticazione forte), ossia la misura di sicurezza indicata nella direttiva PSD2 recentemente emanata (2015) per ridurre il rischio delle frodi nei pagamenti elettronici e aumentare la fiducia dei .

L'autenticazione forte è una procedura basata sull'uso di due o più dei seguenti elementi, classificati come conoscenza (una cosa che sai), proprietà (una cosa che hai), e ereditarietà (una cosa che sei).

Lo standard tecnico RTS è parte integrante della direttiva PSD2 che ha l'obiettivo di armonizzare ulteriormente il mercato attuale dei pagamenti elettronici europei. Tra le varie innovazioni introdotte, l'introduzione dei nuovi ruoli di Third parties Providers (AISP – Account Information Service Provider – e PISP – Payment Initiation Service Provider) permetterà la formalizzazione di un ruolo che nei tempi recenti alcuni soggetti di mercato hanno detenuto svolgendo da interfaccia primaria tra cliente e prestatore dei servizi di pagamento. Da qui, la necessità di disciplinare la modalità tecnica attraverso la quale tali nuovi operatori dovranno comunicare al fine di preservare la sicurezza e tutelare i consumatori.

Tra i contenuti che standard ha l'obiettivo di disciplinare spiccano in particolare i contesti di eccezione per i quali la CSA può NON essere applicata. Tra i più importanti:

  • Pagamenti contact-less in caso in cui:
    • l'importo sia minore di 50 EUR e
    • l'importo totale dei precedenti pagamenti avviati dal pagatore dopo l'ultima applicazione di autenticazione forte del cliente non sia superiore 150 EUR oppure che il numero delle transazioni non ecceda i 5 pagamenti.
  • Sui pagamenti avvenuti a distanza, c.d. remoti (e-commerce), se:
    • l'importo della transazione è inferiore a 30 EUR e
    • l'ammontare cumulativo delle precedenti transazioni di pagamento elettronico remoto avviate dal pagatore dopo l'ultima applicazione di autenticazione forte del cliente non ecceda 100 EUR oppure che il numero delle transazioni non ecceda i 5 pagamenti;
    • se la transazione in questione è stata classificata dal sistema di sicurezza interno come ‘basso rischio'. Tale rapporto di rischio deve essere compatibile con i livelli predeterminati indicati da EBA.

Lo scopo di tale regolamentazione menziona due fondamentali finalità:

  • contrastare le frodi nei pagamenti;
  • incrementare la fiducia dei consumatori nei servizi di pagamento via internet.

Se si può condividere, apprezzare e sostenere tali obiettivi, si deve ugualmente ritenere che un terzo obiettivo ugualmente importante vada aggiunto:

  • Assicurare il facile utilizzo nei diversi contesti degli strumenti di pagamento per i consumatori.

In generale, i principi dovrebbero essere invertiti: Il Risk Base Assesment/Authentication dovrebbe costituire la regola, mentre l'autenticazione forte dovrebbe rappresentare l'eccezione. Invece di prevedere l'autenticazione forte per ciascuna transazione di pagamento, si dovrebbe raccomandare di effettuare una valutazione del rischio relativo a un'operazione specifica tenendo conto di criteri quali, per esempio, i modelli di pagamento del cliente (comportamento), il valore delle relative operazioni, il tipo di prodotto e il profilo del beneficiario.

Il contenuto di tale regolamentazione impone comportamenti e azioni che, da una prima analisi, rischiano di complicare l'utilizzo degli strumenti di pagamento per i consumatori e conseguentemente limitare la crescita del mercato dei pagamenti elettronici lasciando spazio al famigerato, rischioso e costoso denaro contante.

Devid Jegerson

Dr. Devid Jegerson COO, InvestBank Devid vanta una grande esperienza nel campo dei pagamenti digitali, del settore bancario e in altri componenti critici del settore dell'e-commerce. La sua carriera comprende 4,5 start-up, il lancio sul mercato della prima carta prepagata ricaricabile(2002), il primo conto bancario Revolut eMoney (2006), un intero gateway di pagamento eCommerce con acquisizione licenza (2008), il primo sistema P2P europeo simile a Venmo (2014) e la prima piattaforma di pagamento cloud in Medio Oriente (2016). La sua carriera è stata rivoluzionaria nel settore dei pagamenti e del settore bancario, in realtà come noon.com negli Emirati Arabi Uniti, PayPal, Fastweb e IWBank in Italia. Recentemente, come parte del team fondatore e CEO of Payments di noon.com, ha portato la sua notevole esperienza globale nei pagamenti elettronici a supporto della piattaforma cloud di e-commerce appena lanciata nella regione MENA. In precedenza è stato Responsabile Pagamenti presso una primaria banca italiana, gestendo i pagamenti elettronici e lanciando servizi come i sistemi UBI PAY Mobile per NFC, wallet e mPOS. Inoltre, ha lavorato alla regolamentazione europea PSD2 per i sistemi di pagamento; ha anche fatto parte del team fondatore del sistema di pagamento peer-to-peer Jiffy (ora parte di NPSS della Banca Centrale degli Emirati Arabi Uniti) che è stato determinante nel lancio della Banca Digitale di UBI Banca. Membro del consiglio di amministrazione di Webidoo, Etisalat UAE Trade Connect e altre società, attraverso un approccio visionario e strategico unito a straordinarie capacità di esecuzione, nel suo ruolo di COO, sta guidando la strategia di turnaround in InvestBank, UAE. Ha conseguito un dottorato di ricerca nell’ambito della accettazione e diffusione delle criptovalute all'Università di Abu Dhabi, un EMBA presso il MIP-Politecnico di Milano, Italia, e un Master in Mercati e Strategie d'Impresa presso l'Università Cattolica del Sacro Cuore, Italia. È autore del libro: “Pagamenti elettronici. Dal baratto ai portafogli digitali.” (2016, goWare) e numerosi articoli di ricerca pubblicati su giornali scientifici.

Non ci sono ancora commenti

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato.

CONTATTI

Via Lana, 5 | 25020 FLERO (BS)

Tel 030.358.03.78
redazione@lineaecommerce.it

LINEAeCOMMERCE

Lo spazio dedicato all'informazione, alle notizie e a tutti gli aggiornamenti sul mondo del commercio elettronico

CHI SIAMO

Linea ecommerce è un prodotto editoriale curato da Aicel (Associazione italiana commercio elettronico) con l'obiettivo di fare cultura e informazione sul mondo delle vendite online di beni e servizi, sugli sviluppi normativi del settore e più in generale sul digitale. Un canale per essere sempre aggiornati riguardo all'evoluzione dell'ecommerce e alle sue tendenze.