L’adozione da parte del Parlamento Europeo della direttiva sui servizi di pagamento altrimenti denominata PSD2 delinea un nuovo scenario per tutti gli attori dei digital payment. La direttiva rivede la prima Payment Service Directive del 2007, con l’obiettivo di armonizzare il mercato dei pagamenti, ancora frammentato a livello di soluzioni nazionali e con l’aspirazione di spingere allo sviluppo di nuove soluzioni sempre più easy-to-use creando le condizioni per definire in modo più completo le specifiche e le caratteristiche dei servizi offerti.
Con questo white paper Vasco intende fornire un quadro di riferimento dei requirements della PSD2 per quanto riguarda il processo di authentication dei consumatori coinvolti in processi di pagamento. La PSD2 utilizza la stessa definizione di “strong customer authentication” in osservanza delle guidelines EBA che è poi basato sul tradizionale concetto di autenticazione a due fattori. La “Strong customer authentication” è definita come una autenticazione basata sull’uso di due o più elementi categorizzati come Knowledge (ovvero un elemento che può essere conosciuto solo dall’utente) e Possession, ovvero qualcosa che può essere posseduto solo dall’utente collegati dall’ Inherence, che fa riferimento a una specifica caratteristica dell’utente. Tutti elementi che sono indipendenti l’uno dall’altro in modo che la eventuale violazione di uno non comprometta la affidabilità degli altri
In particolare poi l’articolo 97 della PSD2 i PSP o Payment System Provider sono tenuti ad applicare una “strong customer authentication” ogni qual volta il “payer” abbia accesso al proprio account online, inizia una transazione di electronic payment o svolge una azione da remoto che può implicare rischi per i pagamenti o ogni altra eventuale forma di abuso.
Una visione sostanzialmente allineata alle guidelines di EBA, tuttavia l’articolo 97 della PSD2 si spinge oltre per regolare le “electronic remote payment transactions” che richiedono ai Payment Service Providers una strong customer authentication in grado di includere elementi che dinamicamente linkano la transazione a una somma ben precisa e a un beneficiario altrettanto preciso. Con una procedura che può già essere definita appunto come “autenticazione forte“.
I regulatory technical standard saranno sviluppati da EBA e sottoposti alla European Commission che specificherà i requirements per la strong authentication, ma anche i requisiti che le misure di sicurezza devono soddisfare al fine di tutelare la riservatezza e l’integrità delle credenziali di sicurezza personali degli utenti dei servizi.
Uno scenario importante al quale è opportuno prepararsi sia per allineare la propria offerta ai nuovi standard sia per cogliere nuove opportunità.
Il white paper di Vasco: Industry Briefing, Strong authentication of Internet Payments in Europe – the new PSD2 vuole offrire un contributo di conoscenza relativamente al quadro della situazione sia per quanto concerne la Strong customer authentication in chiave PSD2 sia per quanto attiene più in generale alla implementazione della PSD2.
Scarica il white paper: Vasco – Industry Briefing, Strong authentication of Internet Payments in Europe – the new PSD2
