Pagina a cura di Antonio Ciccia Messina
Da gennaio 2021 pagamenti virtuali con la Sca e cioè la Strong customer authentication. Ma all’inizio si procederà per step. L’autenticazione forte del cliente risponde a necessità di sicurezza e di prevenzioni delle frodi. Il passaggio a un mercato che si muove a click e bit richiede un sistema non più basato sul controllo fisico a vista del pagatore e della disponibilità della carta moneta. Nel mondo virtuale si spostano solo informazioni e i denari sono dati e la sicurezza diventa sicurezza elettronica.
La prima esigenza della sicurezza è la sicurezza della identità di chi ci si trova di fronte: è proprio il soggetto che può disporre dei denari cioè dei dati che si trasferiscono dal compratore al venditore; oppure c’è qualcuno che si spaccia per il titolare del conto o della carta di credito usati per comprare quel prodotto o quel servizio o quella app, riempiendo il carrello sul sito web di commercio elettronico? Così l’identità non si prova più vedendo negli occhi una persona fisica in piedi di fronte al cassiere, magari chiedendogli un documento o anche due.
D’altra parte anche quanto appena descritto, pensandoci bene, è una autenticazione forte, con due elementi, seppure nel mondo e nell’era analogici. Ma bisogna passare all’identità elettronica e a strumenti elettronici. Nei dispositivi elettronici l’identità deve diventare digitale e la persona deve scendere al livello della macchina e inserire parole o cifre o farsi percepire dalla macchina.
Bisogna «autenticarsi», cioè diventare autentici anche per la macchina. L’autenticazione, in effetti, è una procedura che consente al prestatore di servizi di pagamento di verificare l’identità di un utente di servizi di pagamento o la validità dell’uso di uno specifico strumento di pagamento, incluse le relative credenziali di sicurezza personalizzate fornite dal prestatore.
L’autenticazione diventa forte (da più garanzie che «io» sia «proprio io» anche per un telefono intelligente o per un calcolatore) se è basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione.
Da gennaio 2021 le transazioni online effettuate con le carte di credito potranno, dunque, essere effettuate solo con la Strong customer authentication (Sca), secondo le direttive dell’Autorità bancaria europea (Abe). La Sca consiste, quindi, nella verifica di almeno due elementi di diversa tipologia per accertare l’identità di un utente di servizi di pagamento o la validità dell’uso di uno specifico strumento di pagamento.
La Banca d’Italia ha sollecitato gli operatori «a completare per tempo il processo di migrazione alla Sca richiedendo l’invio di piani di migrazione e aggiornamenti trimestrali nonché promuovendo il confronto con tutte le parti coinvolte nell’ambito del Comitato Pagamenti Italia».
In proposito Bankitalia ha invitato caldamente gli operatori a superare «eventuali residue problematiche con modalità tali da garantire, in ogni caso, la continuità dei pagamenti». Un’esigenza ritenuta «cruciale a causa dell’emergenza legata alla pandemia di Covid-19, che rende essenziale consentire ai cittadini, anche in considerazione di situazioni di lockdown, di poter effettuare operazioni di acquisto a distanza (tra cui quelle relative a beni primari, quali alimentari e farmaci)». I partecipanti al Comitato pagamenti si sono impegnati a risolvere eventuali disallineamenti nel più breve tempo possibile e comunque non oltre il primo trimestre del 2021. Ferme restando le esenzioni ed esclusioni previste dalla normativa Eba, durante i tre mesi non saranno consentite transazioni prive di Sca eccedenti: a) l’importo di 1.000 euro nel corso del primo mese successivo alla scadenza del 31 dicembre 2020; b) l’importo di 500 euro nel corso del secondo mese; c) l’importo di 100 euro nel corso del terzo mese.
Direttiva Psd2. La Strong customer cuthentication (Sca) è uno dei pilastri della seconda direttiva sui servizi di pagamento (Psd2), che ha introdotto nuovi requisiti di autenticazione noti come la Strong customer authentication (Sca), creati con l’obiettivo di ridurre le frodi e rendere più sicuri i pagamenti on-line. Per garantire ulteriore sicurezza alle transazioni che prevedono l’utilizzo di carte di credito o debito, viene utilizzato un protocollo, che richiede almeno due dei fattori di autenticazione del pagamento (password o pin; token telefonico o hardware per l’autenticazione; impronta digitale o riconoscimento facciale). La scadenza per la conformità Sca era stata inizialmente fissata per il 14 settembre 2019, poi posticipata al 31 dicembre 2020 per la mancanza dei tempi necessari alla corretta preparazione da parte del settore. Un ulteriore problema è stato poi determinato dalla situazione di crisi seguita alla progressiva diffusione del Covid-19, che ha inevitabilmente rallentato l’operatività generale degli istituti bancari e degli altri operatori. Nel testo della direttiva si spiegano le ragioni della Sca. Tutti i servizi di pagamento offerti elettronicamente devono essere prestati in maniera sicura, adottando tecnologie in grado di garantire l’autenticazione sicura dell’utente e di ridurre al massimo il rischio di frode.
Inoltre le misure di sicurezza devono essere compatibili con il livello di rischio insito nel servizio di pagamento. L’uso sicuro di credenziali di sicurezza personalizzate è necessario per limitare i rischi connessi al phishing e ad altre attività fraudolente. Il recepimento della Psd2 in Italia è avvenuto con il dlgs 218/2017.
Autenticazione forte. Autenticazione forte vuol dire che per portare a termine un’operazione che richiede di autenticarsi tramite un dispositivo bisogna mettere in atto almeno due elementi, tra questi tre: qualcosa che solo l’utente conosce (come Pin o password); qualcosa che l’utente «è» (come biometria, modelli comportamentali, riconoscimento vocale); qualcosa che solo l’utente possiede (come, ad esempio, un telefono cellulare o un token). Tali elementi devono essere reciprocamente indipendenti (la violazione di uno non deve compromettere l’affidabilità dell’altro) e appartenere a categorie diverse (non sarà possibile utilizzare due elementi di inerenza o solo due elementi di possesso).
Quando è richiesta. L’autenticazione forte del cliente (Sca) è richiesta per accedere al proprio account di pagamento on-line, per autorizzare un pagamento elettronico e anche quando si acconsente a un’azione attraverso un canale remoto che può comportare un rischio di frode.
Ci sono alcune esenzioni. Le esenzioni riguardano, innanzi tutto, i pagamenti verso «trusted beneficiaries» (white lists): questo significa che l’utente indica che l’impresa è affidabile, la quale viene inserito nell’elenco di beneficiari affidabili gestito dalla banca o dal fornitore dei pagamenti del cliente.
Sono esentati anche i pagamenti in remoto di basso importo; quelli su base cumulativa e pagamenti classificati a basso rischio in base a transaction risk analysis. Nelle esenzioni rientrano gli abbonamenti con importo fisso: l’autenticazione Sca, richiesta per il primo pagamento del cliente, mentre i pagamenti successivi potrebbero essere esentati dalla Sca.
Responsabilità. L’autenticazione ha un impatto anche sul piano della responsabilità per le operazioni non autorizzate. Per legge, salvo il caso in cui abbia agito in modo fraudolento, il pagatore non patisce alcuna perdita se il prestatore di servizi di pagamento non esige un’autenticazione forte del cliente.
Il beneficiario o il prestatore di servizi di pagamento del beneficiario rimborsano il danno finanziario causato al prestatore di servizi di pagamento del pagatore se non accettano l’autenticazione forte del cliente.
Dal punto di vista dell’onere della prova, la legge stabilisce che se l’operazione di pagamento è disposta mediante un prestatore di servizi di disposizione di ordine di pagamento, è questi a dover provare che, nell’ambito delle proprie competenze, l’operazione di pagamento è stata autenticata, correttamente registrata e non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti connessi al servizio di disposizione di ordine di pagamento prestato. Inoltre il fatto che sia stato utilizzato uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente medesimo, ne’ che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave. Insomma è onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell’utente.
Privacy. La sicurezza delle transazioni va a braccetto con la privacy. E la protezione dei dati non blocca i controlli anti frode. Ai sensi del decreto legislativo 11/2010 i prestatori di servizi di pagamento e i gestori di sistemi di pagamento possono trattare dati personali se necessario a prevenire, individuare e indagare casi di frode nei pagamenti. Quindi si tratta di un legittimo interesse, che non richiede il consenso dell’interessato.
© Riproduzione riservata
Fonte: