LE TERZE PARTI (PSD2 & FinTech)

DIRITTI E OBBLIGHI DELLE TERZE PARTI
SICUREZZA

SICUREZZA

Premessa

La Direttiva 2015/2366/CE (PSD2 –Direttiva sui Servizi di Pagamento) recepita nel nostro ordinamento con d.lgs. n. 218 del 2017, detta norme di sicurezza minime per l’offerta di servizi di pagamento e definisce un quadro giuridico di riferimento in grado di promuovere una revisione e un adeguamento continuo dei processi operativi e della stessa normativa alla evoluzione dei rischi tecnologici. La PSD2 demanda all’Autorità Bancaria Europea (ABE) il compito di definire, le norme e le specifiche tecniche per diversi profili, tra cui l’individuazione di requisiti specifici per l’autenticazione forte e i possibili casi di esenzione.

I servizi di pagamento erogati dalle Terze Parti sono connessi a specifici requisiti tecnici di sicurezza, riguardanti sistemi e procedure degli IP oltre agli strumenti di pagamento offerti ai clienti. Tali requisiti sono finalizzati a garantire un livello di sicurezza base uniforme per tutti i servizi di pagamento elettronici regolamentati, per minimizzare il rischio di frodi e favorire la fiducia dei cittadini nelle modalità di trasferimento della moneta.

Il livello di sicurezza di uno specifico strumento di pagamento è ancorché correlato al contesto di utilizzo e dalle ulteriori misure di sicurezza che gli IP decidono di predisporre in considerazione dei rischi rilevati nel proprio modello di business. Per questa ragione, pur essendo fissato dalla normativa un livello minimo di sicurezza, i vari strumenti di pagamento presenti sul mercato sono caratterizzati, in generale, da livelli di sicurezza diversi.

Autenticazione forte (SCA)

Tra le principali misure di sicurezza previste dalla PSD2, figura l’autenticazione forte del cliente (o SCA – Strong Customer Authentication). La SCA è una procedura di autenticazione basata sull’uso di due o più elementi, classificati in almeno due categorie tra le seguenti:

1. Conoscenza (qualcosa che solo l’utente conosce, come una password o un PIN);
2. Possesso (qualcosa che solo l’utente possiede, come un token, o uno smartphone);
3. Inerenza (qualcosa che caratterizza l’utente, come l’impronta digitale).

Tali elementi (o credenziali di autenticazione) devono essere indipendenti, in modo che un’eventuale violazione di uno di essi non comprometta l’affidabilità degli altri. Su questa base, la normativa richiede ad esempio che se lo smartphone del cliente viene utilizzato per veicolare tutti gli elementi utilizzati per l’autenticazione, debbano essere adottate specifiche misure per la prevenzione e il contenimento del rischio di compromissione della sicurezza del dispositivo. La procedura di autorizzazione di un pagamento tramite SCA deve garantire che:

a) il codice di autorizzazione generato sulla base delle credenziali inserite dall’utente sia monouso, ovvero accettato una sola volta dal PSP;
b) il codice di autorizzazione del pagamento sia legato indissolubilmente all’importo e al beneficiario: in questo modo, se carpito o intercettato, tale codice non può essere usato per altri pagamenti (i.e. pagamenti verso altri beneficiari o con diverso importo).

Si precisa altresì che fino a 500 euro, i PSP possono optare per l’esenzione dall’autenticazione forte del cliente a condizione che l'operazione di pagamento elettronico presenti un basso livello di rischio secondo i meccanismi di monitoraggio realizzati (cfr. infra) e che, per i pagamenti sotto la soglia, i propri sistemi di sicurezza consentano di mantenere il tasso di frode entro un limite fissato (cfr. tabella).

Tabella - Soglie di esenzione alla SCA e corrispondenti tassi di frode massimi consentiti (in percentuale del valore) per i pagamenti elettronici a distanza basati su carta e per i bonifici elettronici a distanza.

Valore della soglia di esenzione

Max. tasso di frode - carta

Max. tasso di frode – bonifico

€ 500

0,01 %

0,005 %

€ 250

0,06 %

0,01 %

€ 100

0,13 %

0,015 %

 

Si evidenzia altresì che i pagamenti fino a 30 euro possono essere esentati dalla SCA a prescindere dal tasso di frode registrato; scatta però l’obbligo di SCA quando l'importo cumulativo delle precedenti operazioni di pagamento elettronico effettuate dall’utente superano i 100 Euro o, comunque, dopo 5 operazioni di pagamento consecutive eseguite senza SCA.

Un’altra importante opzione di esenzione dalla SCA riguarda i pagamenti verso i “beneficiari di fiducia”: il PSP può dare ai clienti la possibilità di creare e aggiornare, tramite SCA, un elenco di beneficiari considerati affidabili ed esentare dalla SCA pagamenti dei propri clienti se il beneficiario è incluso nel rispettivo elenco.

La consapevolezza dei clienti sulle politiche di sicurezza adottate dai prestatori dei servizi di pagamento, in termini sia di misure di protezione predisposte che di esenzioni applicate, consente loro di scegliere uno strumento di pagamento anche valutandone la rispondenza alle proprie esigenze e alla propria sensibilità riguardo i profili di sicurezza. In ogni caso, poiché è il PSP (e non il cliente) a scegliere di avvalersi dell’esenzione per una certa transazione, se ne assume la responsabilità: qualora l’operazione esentata non sia stata autorizzata dal cliente, il PSP dovrà sempre rimborsare quest’ultimo, eccetto il caso in cui dimostri di essere stato vittima di una frode da parte dell’utente stesso.

Presidi di controllo tecnico-organizzativo

Oltre alla SCA, la normativa prevede ulteriori presidi di controllo di natura tecnico-organizzativa, che concorrono a determinare il livello di sicurezza complessivo adeguato dei servizi di pagamento online. In particolare sono richiesti:

A. Presidi di controllo interno

o Gli operatori devono dotarsi di meccanismi di monitoraggio delle operazioni che, tenendo conto degli aspetti che caratterizzano il normale comportamento dell’utente, consentano di rilevare operazioni di pagamento non autorizzate o fraudolente (un esempio tipico di operazione sospetta, che deve essere prontamente rilevata, è quello di un pagamento effettuato dopo un breve lasso temporale e da un luogo molto distante dal pagamento precedente);
o È obbligatorio il riesame delle misure di sicurezza: queste devono essere sottoposte periodicamente a test, nonché valutate, con riferimento al quadro giuridico applicabile, da revisori con competenze in materia di sicurezza informatica e pagamenti e indipendenti dal punto di vista operativo;

B. Notifiche da/verso i clienti

o I clienti devono notificare senza indugio al prestatore dei servizi di pagamento, o al soggetto specificato da quest’ultimo, non appena ne abbiano conoscenza, lo smarrimento, il furto, l’appropriazione indebita o l’utilizzo non autorizzato dello strumento di pagamento; l’intermediario deve assicurare ai propri clienti la disponibilità in ogni momento di mezzi e modalità di comunicazione che consentano loro tale comunicazione tempestiva;
o Nel caso in cui l’intermediario sia vittima di un grave incidente operativo o di sicurezza, qualora gli interessi degli utenti siano messi a rischio, esso è tenuto a comunicare l’evento ai propri clienti, indicando tutte le misure a disposizione per attenuarne gli effetti.
o L’intermediario può prevedere nel contratto con i propri clienti la facoltà di bloccare lo strumento di pagamento per fondati motivi di sicurezza; il blocco, in generale, deve essere comunicato tempestivamente al cliente, insieme ai motivi che lo hanno reso opportuno. Il cliente può richiedere lo sblocco dello strumento di pagamento tramite mezzi di cui l’intermediario assicura la disponibilità in ogni momento e lo sblocco o la sostituzione dello strumento deve in ogni caso essere effettuata dal PSP una volta cessati i motivi che ne hanno determinato il blocco.

C. Segnalazioni all’Autorità competente e ad organismi di cooperazione

o In caso di grave incidente riguardante l’operatività o la sicurezza di quest’ultima, anche qualora gli interessi finanziari degli utenti non siano messi a repentaglio, il PSP è tenuto è notificare senza indugio l’accaduto alla propria Autorità di riferimento;
o Al fine di valutare il perseguimento dell’obiettivo – stabilito dalla PSD2 – di “ridurre, al massimo grado possibile, il rischio di frode”, la normativa prevede che gli operatori forniscano, su base almeno annuale, dati statistici sulle frodi relative ai diversi strumenti di pagamento offerti all’Autorità competente (che a sua volta forniscono tali dati, in forma aggregata, all'ABE e alla BCE);
o Un’ulteriore casistica da segnalare all’Autorità è quella in cui l’intermediario sospetti di essere stato frodato dal proprio cliente e per tale ragione sospenda il rimborso dell’operazione disconosciuta.

 

 

© 2021 - 2022 www.fintech-psd2.eu - All Rights Reserved | Privacy | Disclaimer | Codice Etico| Struttura della DLVA-FIDES Consulting SRL |
 
assistenza@fintech-psd2.eu 06.86357324