LA SECONDA DIRETTIVA EUROPEA IN MATERIA DI SERVIZI DI PAGAMENTO E LE SINERGIE CON IL REGOLAMENTO EIDAS

A circa 10 anni dall’adozione della PSD, che ha contribuito concretamente a favorire la creazione del mercato europeo dei pagamenti elettronici, la nuova PSD2 (Direttiva UE 2015/2366) rappresenta un passo ulteriore nella direzione dell’armonizzazione del mercato dei pagamenti a livello europeo, in un contesto ormai profondamente cambiato a causa dell’evoluzione digitale.

Tra i principali obiettivi della nuova Direttiva vi è quello di aumentare la sicurezza dei servizi di pagamento, definita dallo stesso legislatore europeo quale “condizione fondamentale per il buon funzionamento del relativo mercato”, al fine di rafforzare la fiducia dei consumatori relativamente alle transazioni effettuate online e garantire la protezione degli stessi dal rischio di subire frodi o altri abusi.

In relazione a questi obiettivi è centrale il ruolo che la Direttiva assegna ai cosiddetti trust services, i servizi fiduciari regolamentati da eIDAS.

Prendiamo, a titolo di esempio, uno dei punti cardine della Direttiva: quello dell’identificazione certa. Il tema ha due declinazioni, dal momento che la direttiva prevede che debbano essere identificati in modo certo sia il pagatore, sia i prestatori dei servizi di pagamento.

IDENTIFICAZIONE CERTA DEL PAGATORE: STRONG CUSTOMER AUTHENTICATION

strong autentichationDal punto di vista dell’identificazione del pagatore, attraverso uno specifico regolamento tecnico definito da EBA (European Banking Authority), è stata introdotta l’obbligatorietà della strong customer authentication, che prevede l’obbligo, da parte dei prestatori di servizi di pagamento (PISP e AISP), di garantire l’accesso ai conti di pagamento o l’esecuzione di disposizioni attraverso un’autenticazione forte, basata su un sistema a due fattori.

Si tratta di un provvedimento accolto con poco entusiasmo dai prestatori dei servizi, che, pur convenendo sulla assoluta necessità della misura, vedono in essa una minaccia alla user experience del pagatore, abituato a sistemi agili di “one click pay” come quelli offerti, ad esempio, da Amazon.

Esistono però soluzioni trust che garantiscono la piena applicazione di quanto richiesto dalla normativa senza minare le abitudini acquisite dai pagatori.

SECURE TRANSACTION SERVICE, LA SOLUZIONE PSD2 COMPLIANT DI INFOCERT CHE GARANTISCE LA SICUREZZA DELLE TRANSAZIONI ON LINE SENZA INCIDERE SULLA USER EXPERIENCE DEL PAGATORE

mobile paymentInfoCert ha raggiunto una sintesi tra semplicità d’uso, sicurezza e affidabilità brevettando Secure Transaction Service (STS), «una piattaforma integrabile nelle App di pagamento mobile che consente di distribuire su più soggetti, tra loro indipendenti, l’autorizzazione di una transazione, garantendo al contempo l’autenticazione forte del cliente attraverso una OTP “silente”» ci spiega Denny Bellotto, Process & Compliance Consultant in InfoCert.

In sostanza STS può rende un’app di pagamento auto-consistente dal punto di vista della sicurezza liberando gli utenti dalla necessità di utilizzare ulteriori software o lettori hardware. La soluzione consente inoltre controlli molteplici, legando insieme identità del pagatore, volontà di disporre il pagamento e importo della transazione, garantendo così il cosiddetto “dynamic linking” (altro requisito previsto dalla PSD2).

L’IDENTIFICAZIONE CERTA DEI PRESTATORI DI SERVIZI DI PAGAMENTO: SIGILLI ELETTRONICI QUALIFICATI E CERTIFICATI DI AUTENTICAZIONE PER SITI WEB

sigillo elettronicoSul fronte dell’identificazione certa dei prestatori dei servizi di pagamento, invece, la novità introdotta da PSD2 è quella di richiedere a PISP e AISP di qualificarsi sempre in maniera chiara e univoca, sulla base di certificati, così che sia possibile tracciare in modo completo qualsiasi tentativo di accesso ai conti di pagamento dell’utente. Non saranno più possibili, in sostanza, pratiche come lo screen scraping, ossia l’accesso ai dati contenuti su un sito web, ad esempio l’internet banking, attraverso l’uso di applicazioni software che “simulano” di essere l’utente.

In questo caso la Direttiva chiama in causa due servizi trust regolati da eIDAS che InfoCert ha già ha reso disponibili sul mercato: il sigillo elettronico qualificato (qualified electronic seal) e i certificati di autenticazione per i siti web.

LA PSD2 HA CREATO UN CONTESTO ESTREMAMENTE SFIDANTE, CHE RICHIEDE UN GRANDE SFORZO DI ADEGUAMENTO MA OFFRE ANCHE MOLTE OPPORTUNITÀ

Saper scegliere le soluzioni più appropriate e affidarsi al partner giusto sarà fondamentale per coglierle.

05 luglio 2017

InfoCert società del Gruppo Tecnoinvestimenti

www.infocert.it