STRONG CUSTOMER AUTHENTICATION, SICUREZZA E TRUST DELLE TRANSAZIONI FINANZIARIE: QUALI TECNOLOGIE PER ADEGUARSI A PSD2?

Torniamo a parlare di PSD2 concentrando l’attenzione su quegli strumenti di cui i nuovi e i vecchi soggetti operanti all’interno del mercato dei pagamenti europeo dovranno dotarsi entro settembre 2019, quando entreranno in vigore gli standard tecnici della Direttiva.

mail_vector_icon_white  Non perdere le ultime novità dal mondo del Digital Trust: iscriviti alla Newsletter »

PSD2 REGOLE FORTI PER TUTTI I SOGGETTI CHE OPERANO NEI PAGAMENTI, MAGGIOR CONCORRENZA E TRANSAZIONI PIÙ SICURE

PSD2_Payment_Services_Directive_opt2La PSD2 (Payment Service Directive) nasce con un duplice obiettivo: ampliare il mercato europeo dei pagamenti, consentendo l’ingresso di nuovi soggetti e una maggiore concorrenza; tutelare gli utenti finali obbligando banche e nuovi operatori finanziari ad adottare nuovi strumenti e tecnologie in grado di aumentare la sicurezza delle transazioni.

A tal proposito, in un articolo pubblicato recentemente da Azienda banca, Carmine AulettaChief Innovation Officer di InfoCert ‒ ha affermato che «la Direttiva impone regole forti a tutti i soggetti che operano nei pagamenti. Questi requisiti si aggiungono ad un ampliamento dello scenario competitivo che prevede l’ingresso di nuovi players: le startup, con cui nel medio termine le banche finiranno per collaborare, e i giganti di internet, che rappresentano la vera minaccia per gli attuali incumbent».

LEGGI ANCHE: “I nuovi servizi a vantaggio del cliente realizzabili grazie alla PSD2

Parliamo di colossi tecnologici quali Google, Amazon, Facebook e Apple, che potrebbero presto entrare nel mercato dei pagamenti e dei dati bancari sottraendo importanti fette di mercato a banche e istituti finanziari. La sfida riguarderà in particolare i clienti più giovani e i cosiddetti millennials, abituati al web e tutte le novità tecnologiche in grado di velocizzare operazioni e attività quotidiane, pagamenti compresi.

Le banche tradizionali dovranno quindi competere con società tecnologicamente avanzati e naturalmente orientate a venire incontro alle esigenze di clienti di cui conoscono già bene i comportamenti e le richieste in termini di user experience.

TRANSAZIONI SICURE CON CERTIFICATI DI AUTENTICAZIONE QUALIFICATI PER SITI WEB E SIGILLI ELETTRONICI

Qualified Website Authentication Certificate

Sul fronte della sicurezza delle transazioni la PSD2 segue quanto stabilito dal Regolamento eIDAS in tema di Trust Services e Identità Digitale. Riferendosi ai nuovi operatori introdotti dalla direttiva, PISP (Payment Initiation Service Provider) e AISP (Account Information Service Provider), Auletta ricorda che «questi soggetti dovranno dotarsi di strumenti per garantire la loro identità da un lato e l’autenticità e riservatezza dei dati relativi alla transazione dall’altro».

Gli strumenti in questione sono quelli introdotti da eIDAS, in primo luogo QWAC (Qualified Website Authentication Certificate) e Sigilli Elettronici (Electronic Seals). Banche e nuovi operatori dovranno dotarsene certamente entro settembre 2019, all’entrata in vigore degli standard tecnici della PSD2.

«I nuovi player, una volta autorizzati a operare dagli Organismi di Vigilanza nazionali, dovranno rivolgersi a un QTSP (Qualified Trust Service Provider) come InfoCert per certificare la loro identità e poter interagire con gli altri attori dell’ecosistema dei pagamenti» aggiunge Auletta.

LEGGI ANCHE: “PSD2: il ruolo chiave dei Trust Services

STRONG CUSTOMER AUTHENTICATION: TOKEN, SMS E TOUCH ID DESTINATI AD ESSER RIMPIAZZATI

touch id

Tre soluzioni finalizzate alla SCA (Strong Customer Authentication) nell’ambito dei pagamenti oggi molto utilizzate sono destinate ad esser rimpiazzate a causa dei nuovi requisiti imposti dalla PSD2: Token, codici inviati via SMS e TouchID sullo smartphone.

Come riporta il CIO di InfoCert «i token non garantiscono il dynamic linking, il legame dinamico tra il codice autorizzativo e una specifica transazione, che impedisce ad esempio frodi di tipo man-in-the-middle. Ogni codice temporaneo potrà autorizzare solo la transazione per cui è stato generato e tutti gli operatori dovranno adeguare tecnologie e soluzioni. Gli SMS diventeranno obsoleti per le note vulnerabilità del protocollo SS7, il TouchID in quanto non è in grado di garantire che chi autorizza una transazione sia il legittimo titolare del conto».

INFOCERT PER PSD2

In entrambi gli ambiti, sicurezza e Trust delle transazioni finanziarie e Strong Customer Authentication, InfoCert mette a disposizione soluzioni che garantiscono piena compliance alla nuova Direttiva.

6 giugno 2018

InfoCert PSD2