EBA rilascia gli standard tecnici per la Strong Authentication e la comunicazione sicura: nuove regole e maggiore chiarezza nelle deroghe

15 Settembre 2017
0 commenti

23 febbraio 2017: l' EBA (Autorità Bancaria Europea) ha rilasciato la bozza finale del degli standard tecnici di regolamentazione in tema di autenticazione forte del cliente e comunicazione sicura ai sensi della PSD2.

"Come sempre, è bene ricordare un ossimoro quanto mai attuale, ossia quello che lega usabilità e sicurezza, la cui (ri)soluzione è determinante per il successo di molti servizi di pagamento, in particolare quelli più innovativi. Ciò premesso, allargare le maglie del perimetro di dispensa, per quanto attiene l’obbligo di applicare meccanismi di autenticazione forte del cliente, quando il pagatore:

  • accede al proprio conto di pagamento on line;
  • dispone un’operazione di pagamento elettronico;
  • effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi,

è qualcosa su cui è opportuno riflettere, laddove gli effettivi impatti sull’esperienza digitale del pagamento, possono produrre una maggiore semplificazione a discapito di una minore sicurezza."

La proposta di EBA diffusa in consultazione lo scorso anno, imponeva di applicare per tutte le operazioni di pagamento superiori a 10 Euro che si compiono in remoto (ossia tramite un canale a distanza come l’internet o la rete mobile cellulare), un sistema di autenticazione forte dinamica ("Strong Authentication") che leghi elementi quali l’importo ed il beneficiario, nel processo di riconoscimento già basato su più fattori tra loro indipendenti, nel dominio del possesso, della conoscenza e dell’inerenza.

Nelle specifiche finali rilasciate, sono state introdotte due nuove deroghe all’applicabilità dell’autenticazione forte, ed una modifica alla dispensa prevista per i micropagamenti.

È stato infatti previsto che il prestatore dei servizi di pagamento (p.e. una banca) possa essere esentato dall’applicare l’autenticazione forte (e dinamica) del cliente, basandosi su una specifica analisi del rischio associato alla transazione stessa (la c.d. “TRA Transaction Risk Analysis”).

E l' accesso ai conti?
Per quanto attiene l’annoso tema dell’accesso ai conti, EBA ha precisato che vi è l’obbligo per gli ASPSP (ossia per i prestatori di servizi di pagamento che forniscono e amministrano un conto di pagamento, quali ad esempio le banche o le Poste) di proporre almeno un’interfaccia per gli AISP (prestatori di servizi di pagamento che eserciscono servizi di informazione sui conti – o Account Information) i PISP (prestatori di servizi di pagamento che eserciscono servizi di disposizione di ordine di pagamento – o Payment Initiation) e per i PSP che emettono strumenti di pagamento basati su carte (le cc.dd. “Decoupled Debit Cards”), per la quale siano garantiti i medesimi livelli di servizio offerti ai propri clienti.

Continua a leggere qui l'articolo https://www.pagamentidigitali.it/payment-regulation/psd2/eba-rilascia-gl...
 

Lascia un commento

0 Commenti