Di Denny Bellotto – Technical Account Manager at InfoCert

La Direttiva PSD2 ha definito, per la prima volta a livello comunitario, i requisiti alla base dello scambio di dati e informazioni tra le terze parti autorizzate (i c.d. “TPPs – Third Party Providers”) e le banche (ASPSPs) nell’erogazione dei servizi di accesso ai conti (XS2A – Access to Account) quali, ad esempio, i servizi Payment Initiation (erogati dai c.d. PISPs) e Account Information (erogati dai c.d. AISPs). 

Come noto, obiettivo di queste misure è quello di definire un framework normativo comune per promuovere lo sviluppo e la competizione tra i player che operano nel mercato europeo dei pagamenti digitali e dei servizi Open Banking ad esso connessi, mettendo al centro la protezione e sicurezza dei consumatori finali. 

A tale scopo EBA – European Banking Authority – ha definito, per dare esecuzione a quanto stabilito dalla stessa Direttiva, una serie composita di norme tecniche di regolamentazione (RTS – Regulatory Technical Standards) riguardanti l’autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri, rese poi applicabili direttamente in tutti gli stati membri attraverso il Regolamento Delegato (UE) n. 2018/389 della Commissione Europea. 

Alla luce di quanto previsto dalle RTS gli scambi di dati e informazioni tra TPPs e ASPSPs nell’ambito dei servizi XS2A devono soddisfare i seguenti requisiti di sicurezza

  • Gli AISPs e i PISPs devono comunicare in modo sicuro con gli ASPSPs per richiedere/ricevere informazioni sui conti e sulle operazioni di pagamento associate (Account Information) o per avviare un ordine di pagamento dal conto (Payment Initiation).
  • Gli AISPs e i PISPs devono sempre identificarsi presso gli ASPSPs, così che sia possibile tracciare in modo chiaro qualsiasi tentativo di accesso ai conti di pagamento dell’utente. 

Per poter rispondere a tali requisiti, ed in particolar modo quello legato all’identificazione certa, il legislatore ha previsto che i prestatori di servizi di accesso ai conti (i TPPs quindi, ma anche le banche quando a loro volta agiscono in qualità di prestatori di tali servizi per la propria clientela) debbano obbligatoriamente dotarsi di certificati qualificati normati dal Regolamento “eIDAS” Reg (UE) n. 910/2014, nel particolare: QWAC (Qualified Website Authentication Certificate) o QSeal (Qualified Electronic Seal Certificate). 

Tali certificati possono essere rilasciati alle organizzazioni (persone giuridiche) solamente da un Qualified Trust Service Provider (QTSP), autorizzato e riconosciuto nella “Trusted List” della Commissione Europea (EU Trusted List), previa verifica della richiesta e identificazione certa della persona giuridica richiedente (c.d. procedure di vetting). 

Al fine di garantire un’efficace applicazione di questi certificati nell’ambito delle transazioni e servizi XS2A normati dalla PSD2, EBA ha previsto che questi debbano contenere ulteriori attributi specifici (oltre a quelli previsti dal Regolamento eIDAS) quali:  

  • il ruolo del prestatore di servizi di pagamento (es. ASPSP, PISP, AISP, CBPIIs),  
  • l’indicazione della nazione dell’autorità di vigilanza che ha rilasciato l’autorizzazione ad operare sul mercato (c.d. NCA –National Competent Authority), 
  • il numero di autorizzazione/iscrizione al registro nazionale (c.d. NCA Registration Number). 

ETSI, ente europeo di standardizzazione in ambito ICT, ha definito uno standard di riferimento (ETSI TS 119 495) per il rilascio di QWACs e QSEALCs per la PSD2, che copre i requisiti previsti dalle RTS nel rispetto dei principi di interoperabilità e mutuo riconoscimento dei servizi fiduciari previsti da eIDAS. 

Vediamo ora nel dettaglio caratteristiche e funzionalità di questi certificati.

Qualified Website Authentication Certificates – QWACs

I Qualified Website Authentication Certificates (QWACs) sono certificati che permettono l’instaurazione di un protocollo di comunicazione crittografico di tipo TLS (Transport Layer Security) tra due parti (client/server, server/server) garantendo segretezza, integrità e autenticità dei dati che vengono scambiati in rete. 

L’uso del protocollo TLS basato sui QWACs permette l’autenticazione (identificazione) tra le parti. 

Il protocollo prevede che, alla connessione, il server fornisca il proprio certificato digitale; se il certificato digitale è firmato da un’autorità di certificazione riconosciuta, e la decifratura della firma del certificato ha buon fine, sarà possibile utilizzare la chiave pubblica presente nello stesso per avviare una comunicazione sicura. 

L’autenticazione TLS può essere di tipo unilaterale (client/server), o bilaterale (server/server).  

In questo secondo caso, definito più comunemente “mutual authentication” (MA/TLS), entrambe le parti si autenticano a vicenda scambiandosi i relativi certificati. 

Attraverso la cifratura del canale di comunicazione è possibile prevenire attacchi di soggetti terzi che vogliano inserirsi fraudolentemente nella trasmissione di informazioni tra le due parti (c.d. “man in the middle”) al fine di entrare in possesso (c.d. sniffing) o manomettere (c.d. tampering) i dati che vengono scambiati (es. informazioni relative al conto corrente dell’utente, credenziali di accesso etc.). 

Riepilogando, alla luce di quanto stabilito dalle RTS PSD2, l’uso dei QWACs permette: 

  1. L’identificazione certa tra le parti (TPPs e ASPSPs) in comunicazione tra loro, nonché la conferma del ruolo, del numero di registrazione e del paese di autorizzazione dell’organizzazione.
  2. Segretezza e integrità dei dati e delle informazioni che vengono scambiate tra le parti nell’ambito dei servizi XS2A.

Qualified Electronic Seal Certificates – QSEALCs  

I Qualified Electronic Seal Certificates (QSEALCs) sono certificati di sigillo elettronico utilizzati per firmare dati e informazioni che vengono scambiati tra le parti (TPPs e ASPSPs), garantendo l’origine, autenticità e l’integrità delle stesse.  

Un certificato qualificato per sigilli elettronici permette, alle parti che fanno affidamento su di esso, di convalidare l’identità dell’organizzazione titolare del certificato e, di conseguenza, ottenere prova dell’origine e autenticità dei dati firmati a mezzo dello stesso

I meccanismi crittografici di apposizione del sigillo garantiscono inoltre l’integrità dei dati firmati, assicurando quindi che questi non possano essere alterati dopo la trasmissione. 

Nel contesto dei servizi di accesso ai conti previsti dalla PSD2, l’utilizzo di un QSEALC fornisce una evidenza legale forte (fondata giuridicamente sul Regolamento eIDAS) che rende i dati firmati e trasmessi in una transazione XS2A opponibili ai terzi in caso di controversie, sospetta frode o indagini giudiziarie. 

Senza l’uso di un QSEALC diventerebbe quindi molto complicato per TPPs e ASPSPs fornire prova del loro corretto operato e stabilire le reciproche responsabilità nel caso di controversia legata ad una transazione di Account Information/Payment Initiation. 

Riepilogando, alla luce di quanto stabilito dalle RTS PSD2, l’uso dei QSEALCs permette: 

  1. L’identificazione dell’organizzazione titolare del certificato, nonché la conferma del ruolo, del numero di registrazione e del paese di autorizzazione di quest’ultima. 
  2. Autenticità, integrità delle informazioni che vengono firmate e scambiate nell’ambito dei servizi XS2A. 

Autore: