PSD2: l’autenticazione forte può attendere

La Banca d’Italia, con comunicazione dello scorso 1 agosto, ha deciso di concedere un tempo maggiore all’industria finanziaria italiana per completare gli adeguamenti richiesti dalla normativa in tema di sicurezza delle transazioni online effettuate con carta di pagamento. Infatti, già dal prossimo 14 settembre dovevano essere applicate sia la Direttiva (Eu) 2015/2366 sui servizi di pagamento, meglio nota come PSD2 (Payment services directive), recepita in Italia dal decreto legislativo 15 dicembre 2017, n. 218, sia il relativo regolamento delegato 2018/389 della Commissione che prevede le norme tecniche di regolamentazione per l’autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri. Entro tale data gli istituti di credito avrebbero dovuto essere perfettamente allineati alla nuova disciplina che prevede l’utilizzo di stringenti standard di sicurezza per l’accesso all’area clienti (internet banking) e per la disposizione di pagamenti online.

In particolare, l’«autenticazione forte» (Strong Customer Authentication), ossia un sistema di sicurezza che permette di identificare e autenticare, in maniera univoca, il cliente e l’operazione, riducendo i rischi legati all’accesso ai conti online e all’esecuzione di operazioni fraudolente da parte di soggetti terzi non autorizzati. Ma, in considerazione della complessità degli adeguamenti, particolarmente rilevanti nel campo dei pagamenti online con carta, e della necessità di un coinvolgimento attivo degli utenti, il 21 giugno scorso la European Banking Authority (Eba) ha riconosciuto alle autorità nazionali la possibilità di concedere ulteriore tempo. L’Istituto ha, pertanto, deciso di concedere una proroga per un periodo limitato, sulla base del termine massimo che sarà definito dall’Eba e successivamente comunicato al mercato. Dal punto di vista tecnico, la PSD2 prevede l’accertamento dell’identità attraverso due o più strumenti di autenticazione tra «conoscenza», quindi qualcosa che solo l’utente conosce come, per esempio, il codice pin; «possesso», ossia qualcosa che l’utente possiede, per esempio un token; «inerenza», pertanto qualcosa che contraddistingue l’utente, per esempio l’impronta digitale o il riconoscimento facciale. Inoltre, altra importante novità introdotta dalla PSD2 è la possibilità, per i titolari di un conto di pagamento accessibile online, di usufruire di servizi messi a disposizione da «terze parti autorizzate» (Third Party Providers) ad accedere alle informazioni dei propri conti, anche se intrattenuti con molteplici istituti, oppure di avviare un’operazione di pagamento a favore di un terzo beneficiario. In particolare, può trattarsi di PISP (Payment Initiation Service Provider), servizio che svolge il ruolo di tramite tra il pagatore e il suo conto di pagamento online per l’avvio di una transazione a favore di un terzo beneficiario, AISP (Account Information Service Provider), funzionalità messa a disposizione dei titolari di un conto accessibile online attraverso cui si può ottenere un’informativa completa dei propri conti, infine CISP (Card initiation service payment), emittenti di strumenti di pagamento basati su carta per effettuare disposizioni a valere sul proprio conto.
© Riproduzione riservata
Fonte:
logoitalia oggi7