Roberto Garavaglia
Questa mattina, 21 febbraio 2017, in occasione del Westminster Forum tenutosi a Londra, un intervento di Andrea Enria – Presidente dell’EBA – ha consentito di ravvisare alcuni orientamenti che l’Autorità Bancaria Europea sarebbe intenzionata a perseguire con la bozza finale degli standard tecnici di regolamentazione in tema di autenticazione forte del cliente e comunicazione sicura ai sensi della PSD2, la cui pubblicazione sarebbe ormai più che imminente.
È un tema, questo, particolarmente “caldo” su cui molto si è concentrata l’attesa, per cui è opportuno proporre un breve riassunto di quanto sino ad ora è stato compiuto.
Come i lettori di PagamentiDigitali ben sanno, nella nuova direttiva sui servizi di pagamento, i compiti assegnati dal legislatore ad EBA prevedono che la stessa emani:
- sei norme tecniche, che dopo la loro adozione da parte della Commissione europea saranno direttamente applicabili dagli Stati membri, senza la necessità di alcuna trasposizione o attuazione a livello nazionale,
- cinque orientamenti, che saranno cogenti sotto il profilo regolativo al momento in cui l’autorità nazionale competente li attuerà nel proprio quadro nazionale di regolamentazione quadro e / o di vigilanza
La nuova direttiva europea PSD2, con l’intento di ampliare il level playing field dei pagamenti digitali, propone nuovi servizi basati sull’accesso ai conti (cc.dd. “XS2A” dall’inglese Access-to-Account), prevedendo l’abilitazione dei nuovi player TPP – Third Party Payment Services Provider, in grado di esercirne l’operatività, rispetto ai quali le banche saranno obbligate a … “farsi accedere”.
Sotto il profilo prettamente legislativo e regolatorio, le disposizioni si concentrano, altresì, su temi quali la sicurezza delle transazioni, la protezione delle credenziali e dei dati degli utenti, con il coinvolgimento di EBA Authority, chiamata, per l’appunto, a definire gli standard tecnici, annoverabili fra uno dei sei documenti più sopra elencati.
Su questo specifico tema l’Autorità aveva già prodotto un documento in bozza[1], posto in consultazione pubblica nel periodo compreso fra il 12 agosto 2016 e il 12 ottobre 2016, nel quale sono stati specificati:
- i requisiti dell’autenticazione forte del cliente;
- le esenzioni dall’applicazione dell’autenticazione forte del cliente;
- i requisiti che le misure di sicurezza devono soddisfare per tutelare la riservatezza e l’integrità delle credenziali di sicurezza personalizzate degli utenti di servizi di pagamento;
- i requisiti per standard aperti di comunicazione comuni e sicure ai fini dell’identificazione, dell’autenticazione, della notifica e della trasmissione di informazioni, nonché dell’attuazione delle misure di sicurezza, tra banche, Payment Intiation Services Provider, Account Information Services Provider, pagatori, beneficiari e altri prestatori di servizi di pagamento.
In particolare rileva osservare come la proposta di EBA imponesse di applicare per tutte le operazioni di pagamento superiori a 10 Euro che si compiono in remoto (ossia tramite un canale a distanza come l’internet o la rete mobile cellulare), un sistema di autenticazione forte dinamica che leghi elementi quali l’importo ed il beneficiario, nel processo di riconoscimento già basato su più fattori tra loro indipendenti, nel dominio del possesso, della conoscenza e dell’inerenza.
Piuttosto evidente, dunque, appariva come una siffatta previsione potesse produrre impatti sull’esperienza digitale del pagamento, complicandone i passi ad appannaggio di una maggiore sicurezza.
Molte sono state le risposte pervenute ad EBA (oltre 220) a fronte della consultazione pubblica, mentre circa 300 differenti perplessità e richieste di chiarimento sono emerse dai rispondenti, ognuna delle quali sarà riportata in un allegato tabellare alle specifiche finali, composto da un centinaio di feedback.
La mole di pareri, opinioni e riscontri evidenziati, avevano così indotto l’Authority a comunicare, il 29 novembre 2016[2], un ritardo, rispetto all’end-date indicata dal legislatore europeo per il 13 gennaio 2017, di almeno un mese, per il rilascio degli strandard tecnici in Final Draft.
Durante il proprio speech di questa mattina, il Presidente Enria ha espresso alcune indicazioni su quali tipologie di approcci e chiarimenti sano stati assunti negli standard tecnici, in fase, come detto, di imminente rilascio, fra cui rilevano la possibilità di introdurre due nuove deroghe all’applicabilità dell’autenticazione forte, una basata sulla “transaction risk analysis” e l’altra relativa ai pagamenti che si compiono su terminali “unattended” quali i parcometri e le obliteratrici dei mezzi di trasporto.
Anche per quanto attiene i limiti d’importo relativi alle operazioni che si compiono remotamente, sembrerebbe che vi possa essere un innalzamento a 30 Euro.
Infine, per quanto attiene l’annoso tema dell’accesso ai conti, EBA parrebbe orientata a mantenere l’obbligo per gli ASPSP (ossia per i prestatori di servizi di pagamento che forniscono e amministrano un conto di pagamento, quali ad esempio le banche o le Poste) di proporre almeno un’interfaccia per gli AISP (prestatori di servizi di pagamento che eserciscono servizi di informazione sui conti – o Account Information) ed i PISP (prestatori di servizi di pagamento che eserciscono servizi di disposizione di ordine di pagamento – o Payment Initiation), per la quale siano garantiti i medesimi livelli di servizio offerti ai propri clienti. EBA, sarebbe poi giunta alla conclusione di consentire l’accesso ai conti senza alcuna identificazione, secondo la tecnica comunemente nota con il termine “screen scraping” (pratica in uso da alcuni provider), solo fino al termine del periodo transitorio previsto dalla PSD2, ossia 18 mesi dopo l’entrata in vigore degli standard tecnici.
Nell’attesa del rilascio finale degli standard … stay tuned!
NOTE
[1] Consultation Paper on the draft Regulatory Technical Standards specifying the requirements on strong customer authentication and common and secure communication under PSD2 (EBA-CP-2016-11, 12 agosto 2016)
[2] Introductory statement of Andrea Enria, chairperson of the EBA at the scrutinity hearing on SCA and CSC Committee on Economic and Monetary Affairs (ECON) of the European Parliament