PSD2 e cybersecurity, Banca d’Italia: “Queste le regole che proteggono la nuova fase dei pagamenti”

L’evoluzione del sistema dei pagamenti, che è un’economia di rete, è intrinsecamente legata all’evoluzione tecnologica per le opportunità che offre per la definizione di nuove infrastrutture, nuovi processi e nuovi strumenti; anche il recente dibattito sulle Fintech, che il Financial Stability Board definisce pragmaticamente come ‘technologically enabled financial innovation that could result in new business models, applications, processes or products with an associated material effect on financial markets and institutions and the provision of financial services’, vede richiamare quale ambito applicativo ricorrente gli strumenti e i servizi di pagamenti.

Esiste sempre tuttavia un delicato equilibrio fra innovazione tecnologica e regole in quanto queste ultime, nel tener conto delle nuove potenzialità, non possono ridurre le tutele per le quali sono state definite; difatti spesso il dibattito si concentra sulla “regola”, dimenticando la ratio sottostante che è volta a presidiare un rischio per l’impresa, il consumatore, la società nel suo insieme.

Negli anni recenti l’innovazione tecnologica nel sistema dei pagamenti si è sviluppata per rispondere ai nuovi paradigmi dell’economia digitale in cui i modelli di servizio richiedono pagamenti senza soluzione di continuità nel tempo e nello spazio, prescindendo dalla localizzazione del venditore e del consumatore.

La tecnologia consente l’offerta di nuove soluzioni, sia in una dimensione infrastrutturale sia nell’interazione venditore-consumatore: in questo percorso evolutivo va peraltro salvaguardata la “fiducia” nella soluzione di pagamento che, se venisse meno, avrebbe effetti rilevanti non solo sulla relazione venditore-consumatore ma sul sistema economico nel suo complesso.

In tale prospettiva il regolatore è intervenuto, ed interviene, sia in una dimensione sistemica, come nel caso dei richiami al rischio cyber, sia in quella più diretta a tutela del consumatore, a cui si ascrivono tutte le iniziative in tema di sicurezza delle transazioni.

LEGGI TUTTO SULLA PSD2: NUOVI SERVIZI, TUTELE, INTERCHANGE FEE

Psd2 e cybersecurity

Per il mercato europeo, il tema della sicurezza delle transazioni trova fondamento nella direttiva sui servizi di pagamento, la c.d. PSD2[1], che troverà applicazione nei prossimi mesi, e, in particolare, nei Regulatory Technical Standards emessi dall’EBA in materia di strong customer authentication, cui si affiancano Linee guida sulla sicurezza preventiva per limitare la vulnerabilità dei processi, sulla gestione degli incidenti su larga scala e sull’analisi ex-post delle frodi.

Va peraltro rilevato che, mentre sul primo documento si è avuta una forte attenzione da parte degli operatori, forse perché definisce il perimetro delle modalità operative delle cc.dd. terze parti (third party providers – TPP[2]), realtà che trovano un loro inquadramento regolamentare con la PSD2 e costituiscono un elemento di innovazione nel mercato dei pagamenti, minore attenzione sembra sia stata posta sugli altri, ancorché solo una lettura unitaria dei quattro documenti offra una visione complessiva del tema “sicurezza” come declinato nella PSD2.

Il documento su Operational and Security Risks[3] richiede agli intermediari la messa a punto di una serie di misure di sicurezza di natura preventiva (risk management, protection/detection degli asset, Business Continuity); nell’impostazione, tipica delle linee guida, fissa regole e standard rifacendosi a best pratices ampiamente diffuse tra gli operatori che andranno attuate nei diversi ordinamenti nazionali tramite un meccanismo di comply or explain[4].

Il secondo documento[5] definisce Regulatory Technical Standard (RTS), da adottarsi tramite un regolamento della Commissione europea e quindi direttamente applicabili negli Stati Membri, e riguarda le modalità di autenticazione del cliente e di comunicazione sicura con i TPP. Per l’autenticazione si richiede l’uso di procedure di autenticazione forte a due fattori con elementi dinamici, in maniera che – se questi fossero catturati durante la fase autorizzativa del pagamento – non potrebbero essere usati per attivare pagamenti fraudolenti verso altri beneficiari (de-sensibilizzazione delle credenziali utente). Viene inoltre regolamentato dal punto di vista tecnico l’accesso dei TPP ai conti di pagamento; viene richiesto alla banca di aprire una interfaccia tecnica operativa ai TPP, documentata e con adeguati requisiti prestazionali; ai TPP invece viene richiesta la dichiarazione della propria identità (come soggetti finanziaria con licenza) in fase di connessione alla interfaccia, attraverso la presentazione di certificati digitali a norma eIDAS, protezione dei dati sensibili e funzioni di sicurezza a protezione delle sessioni di colloquio con la banca cui si accede.

Le modalità di autenticazione forte richiesta per l’utente che si collega da remoto (SCA con Dynamic Linking) consentono la gestione delle credenziali utente anche con l’interposizione dei TPP senza rischi di compromissione della operazione dispositiva in corso.

Il documento sull’Incident Reporting[6] affronta il tema della gestione degli incidenti di sicurezza rilevanti che possono determinare la perdita di dati sensibili, funzionali per l’avvio di azioni fraudolente, e pone le basi per un più efficace monitoraggio e una pronta reazione delle autorità a eventi malevoli o accidentali per ridurre la propagazione degli eventi nel sistema e mettere a fattor comune informazioni utili per analisi di sicurezza. Per la segnalazione sono definiti due livelli di gravità (Lower impact, Higher impact) rispetto a varie dimensioni di impatto (es: numero delle transazioni coinvolte, possibili perdite, reputazione, etc..); l’evento è giudicato rilevante, e quindi da segnalare (major incident), o in caso di elevato impatto su una dimensione oppure in presenza di impatto minore su almeno tre dimensioni.

Completa il panorama delle attività dell’EBA a presidio della sicurezza, nell’ambito dei lavori per la PSD2, il documento per il Fraud Data Reporting[7], che definisce il quadro dell’infosharing sulle frodi sugli strumenti di pagamento che i PSP devono effettuare nei confronti delle autorità nazionali in una logica di monitoraggio del fenomeno e di analisi dei trend.

Questa visione d’insieme delle diverse attività condotte dall’EBA pone in risalto la forte attenzione delle autorità al presidio della fiducia su cui si fondano le relazioni commerciali e finanziarie tra le parti che, per il carattere di economia di rete del mercato dei pagamenti, deve vedere coinvolti in un unico disegno tutti gli attori del mercato digitale.

[1] Direttiva (UE) 2015/2366 del 25 novembre 2015, relativa ai servizi di pagamento nel mercato interno.

[2] Si tratta dei soggetti che prestano servizi di disposizione di ordine di pagamento (‘un servizio che dispone l’ordine di pagamento su richiesta dell’utente di servizi di pagamento relativamente a un conto di pagamento detenuto presso un altro prestatore di servizi di pagamento’) e servizi di informazione sui conti (‘un servizio online che fornisce informazioni consolidate relativamente a uno o più conti di pagamento detenuti dall’utente di servizi di pagamento presso un altro prestatore di servizi di pagamento o presso più prestatori di servizi di pagamento’).

[3] Le Draft Guidelines on the security measures for operational and security risks of payment services under PSD2 sono state poste in consultazione fino al 7 agosto 2017 e il relativo documento è disponibile al seguente link: https://www.eba.europa.eu/documents/10180/1836621/Consultation+Paper+on+the+security+measures+for+operational+and+security+risks+of+payment+services+under+PSD2+%28EBA-CP-2017-04%29.pdf.

[4] Le autorità competenti sono infatti tenute a notificare all’EBA la rispondenza del proprio quadro regolamentare alle linee-guida ovvero l’intenzione di adeguare l’ordinamento interno alle stesse. Qualora decidessero di non volerle attuare, devono fornire all’EBA adeguata motivazione circa tale decisione.

[5] La versione finale dei Regulatory Technical Standards on strong customer authentication and secure communication under PSD2 era stata trasmessa dall’EBA alla Commissione europea nel mese di febbraio 2017. La Commissione ha apportato alcune modifiche al testo, cui l’EBA ha risposto con la pubblicazione di una Opinion il 29 giugno 2017 (https://www.eba.europa.eu/documents/10180/1894900/EBA+Opinion+on+the+amended+text+of+the+RTS+on+SCA+and+CSC+%28EBA-Op-2017-09%29.pdf). Al momento si è in attesa della sottoposizione del testo finale da parte della Commissione al Consiglio e al Parlamento europeo, che dovranno approvare il documento entro 3 mesi (scrutiny period).

[6] Il documento finale, Guidelines on major incident reporting under PSD2, è stato pubblicato il 27 luglio 2017 e sono in corso le traduzioni nelle diverse lingue ufficiali dell’Unione; dal momento della pubblicazione delle versioni tradotte, scatterà il termine dei due mesi richiesti per il già citato processo di comply or explain da parte delle autorità nazionali competenti  (https://www.eba.europa.eu/documents/10180/1894900/EBA+Opinion+on+the+amended+text+of+the+RTS+on+SCA+and+CSC+%28EBA-Op-2017-09%29.pdf).

[7] Sul documento Draft Guidelines on fraud reporting requirements under Article 96(6) of Directive (EU) 2015/2366 (PSD2) si è conclusa lo scorso 3 novembre una pubblica consultazione; il documento è disponibile al seguente link: https://www.eba.europa.eu/documents/10180/1917559/Consultation+Paper+on+the+Guidelines+on+fraud+reporting+under+PSD2+%28EBA-CP-2017-13%29.pdf.