La Strong Customer Authentication e l’impatto sui pagamenti e-Commerce
Nel mercato dei servizi di pagamento digitali, inclusi quelli a supporto dell’e-Commerce, la direttiva europea PSD21 ha lo scopo di accelerare la diffusione degli strumenti di pagamento, in particolare quelli più innovativi, agendo essenzialmente su tre leve:
- la leva della competizione fra strumenti di pagamento e fra Prestatori di Servizi di Pagamento (banche e non -banche);
- la leva dell’armonizzazione normativa;
- la leva della sicurezza.
In questo contributo andremo ad analizzare il terzo punto, evidenziando l’impatto che gli obblighi di applicazione dell’autenticazione forte del cliente hanno sulle transazioni di pagamento avviate a distanza e descrivendo le opportunità che emergono da un’attenta gestione delle deroghe nel perimetro consentito. La possibilità, in particolare, di adottare una corretta disamina dei rischi associati alle transazioni, permette di agevolare le aziende che operano nel commercio elettronico, contenendo il tasso di abbandono del carrello, pesantemente aggravato da una User Experience poco fluida. L’esperienza di acquisto mediata tramite un prestatore di servizio di incasso che sappia cogliere, offrendole al proprio cliente impresa, tali opportunità, rileva anche sotto il profilo strategico, laddove si considera l’evoluzione della normativa di riferimento. All’interno dell’articolo troverete quindi anche alcuni spunti di riflessione sull’ottimizzazione di un processo così delicato che potrebbe svilupparsi a fronte della revisione della PSD2 (alla data in fieri), con riferimento all’opportunità di ricorso alla cosiddetta “autenticazione delegata”.
Le regole sull’autenticazione forte del cliente
La PSD2 introduce il concetto di “Strong Customer Authentication” (SCA), o autenticazione forte del cliente, disponendo che un prestatore di servizi di pagamento la applichi quando il pagatore:
- accede al suo conto di pagamento online;
- dispone un’operazione di pagamento elettronico;
- effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi.
Gli obblighi possono essere assolti verificando almeno due fattori appartenenti alle categorie della conoscenza (qualcosa che solo l’utente conosce, come un codice segreto o una password), del possesso (qualcosa che solo l’utente possiede, ad esempio uno smartphone o un tablet), dell’inerenza (qualcosa che caratterizza l’utente, come la scansione del volto o la rilevazione dell’impronta digitale).
Nella eventualità evinta al punto 2, quando la disposizione avviene a distanza, come nel caso di un una Payment Initiation o di un pagamento con carta che avviene via internet, i prestatori di servizi di pagamento devono applicare l’autenticazione forte comprendendo elementi che colleghino in maniera dinamica l’operazione a uno specifico importo e a un beneficiario determinato.
Il ruolo di EBA e della Commissione nella regolamentazione e legiferazione della SCA
All’EBA (European Banking Authority) è stato affidato il compito di emanare standard tecnici di regolamentazione in tema di SCA ai sensi della PSD2. L’Autorità ha quindi prodotto il documento EBA/RTS/2017/02, altresì noto come “EBA RTS on SCA & CSC” che, nella versione finale, è stato adottato dalla Commissione il 27 novembre 2017 quale proposta di regolamento, successivamente promulgato il 14 marzo 2018 come regolamento delegato UE 2018/389.
In estrema sintesi, il regolamento definisce:
- i requisiti dell’autenticazione forte del cliente (SCA);
- le esenzioni dall’applicazione dell’autenticazione forte del cliente;
- i requisiti che le misure di sicurezza devono soddisfare per tutelare la riservatezza e l’integrità delle credenziali di sicurezza personalizzate degli utenti di servizi di pagamento;
- i requisiti per gli standard aperti di comunicazione comuni ai fini della sicurezza, dell’identificazione e dell’autenticazione, della notifica e della trasmissione di informazioni, nonché dell’attuazione delle misure di sicurezza, tra banche, TPP 2, pagatori, beneficiari e altri prestatori di servizi di pagamento.
Le regole tecniche per la SCA avrebbero dovuto essere pienamente cogenti dal 14 settembre 2019.
Il 16 ottobre 2019, tuttavia, l’EBA ne prorogava l’entrata in vigore al 31 dicembre 2020, al fine di consentire il completamento degli adeguamenti operativi richiesti agli intermediari per l’adozione della SCA nei soli pagamenti online con carta di pagamento; tale rimando non doveva valere, quindi, per i servizi di servizi dispositivi basati sull’accesso ai conti, come nel caso della Payment Initiation.
Solo dal 1° gennaio 2021, pertanto, la PSD2 ha potuto avere la propria piena attuazione (anche in Italia3), rendendosi integralmente obbligatoria l’applicazione degli obblighi di SCA (Figura 1).
L’adozione del 3-DSecure per i pagamenti a distanza con carte
Vale osservare che, se per quel che concerne i sistemi di autenticazione applicati ai pagamenti basati sull’accesso ai conti, utilizzati negli acquisti online pagati mediante bonifici (o bonifici istantanei), la SCA è la medesima adottata per gli ordini di pagamenti disposti tramite online banking, nel caso delle transazioni con carta di credito, debito o prepagata, si è voluto procedere con l’adozione di un protocollo di sicurezza approvato dai principali circuiti internazionali, chiamato 3-DSecure 4.
L’adozione alle ultime versioni di questo protocollo di sicurezza, che in quelle antecedenti la 2.0 non era stato considerato sufficiente per l’autenticazione forte a due fattori richiesta dall’EBA, ha comportato significativi rallentamenti sia sul fronte dell’accettazione (acquiring) sia su quello dell’emissione (issuing). Una delle motivazioni per cui l’EBA, prima ancora di assumere la decisione dell’ottobre 2019 di posporre l’entrata in vigore della SCA 5 alla fine del 2020, è da ritrovarsi – anche – nella constatazione di una tale complessità.
L’aggiornamento del protocollo 3-DSecure, tuttavia, oltre a garantire la conformità ai requisiti di base validi per l’applicazione della SCA, ai sensi di quanto indicato dall’EBA, ha permesso una più agevole gestione delle opportunità rivenienti nel perimetro di deroga previsto dalla medesima autorità.
Pagamenti elettronici con carte di credito e di debito, in presenza o a distanza.
Proponiamo quindi di seguito una panoramica descrittiva delle dispense che consentono ai prestatori di servizi di pagamento di derogare agli obblighi di autenticazione forte del cliente che, lo ricordiamo, valgono per le transazioni di pagamento remote disposte sia tramite carte sia mediante bonifici. Ciò permetterà di comprendere quali possano essere i benefici apportati alle aziende che operano nel commercio elettronico, laddove il proprio prestatore di servizi di incasso implementi opportunamente le esenzioni previste in materia di deroghe; un’opportunità questa, lo ricordiamo, che deve essere opportunamente soppesata in relazione ai rischi di disconoscimento del pagamento su iniziativa del debitore.
Se da un lato, infatti, la disapplicazione della SCA concessa in dispensa può avere l’effetto di agevolare la User Experience dei pagamenti online, dall’altro espone il creditore a rischi di chargeback, nel caso di transazioni con carta, o ripudio, in caso di transazioni basate su bonifici.
Come sempre, è bene ricordare un ossimoro quanto mai attuale, ossia quello che lega usabilità e sicurezza; sciogliere questo nodo (o perlomeno provare a dipanarne la matassa) è determinante per il successo di molti servizi di pagamento. Ciò detto, allentare l’obbligo di SCA – seppur entro il perimetro di deroga permesso -, è qualcosa su cui è (sempre) opportuno riflettere, laddove gli effettivi impatti sull’esperienza digitale del pagamento possono produrre una maggiore semplificazione a scapito di una minore sicurezza.
Le deroghe all’applicazione della SCA
Una panoramica esaustiva proposta in Figura 2 ci permette di avere, a colpo d’occhio, una visione d’insieme delle deroghe che un prestatore di servizi di pagamento può decidere di adottare, in riferimento agli obblighi di autenticazione forte del cliente.
Percorriamone rapidamente il solco. Un prestatore di servizi di pagamento può non applicare le regole di autenticazione forte del cliente se:
- l’accesso ai conti avviene solo per ottenere dell’informazioni relative al saldo di uno o più conti di pagamento (esenzione per accesso solo informativo);
- il pagamento in presenza avviene in prossimità (ad esempio tramite tecnologia contactless), fino a un massimo consentito di 50 euro6, ma a condizione che non sia stato superato l’importo cumulativo di 150 euro, o siano stati effettuati 5 pagamenti consecutivi, dall’ultima volta in cui è stata applicata la Strong Customer Authentication (esenzione per pagamenti c-less che prevede la non richiesta di digitazione del PIN);
- il pagamento relativo alle sole tariffe di trasporti o parcheggi viene effettuato presso terminali non presidiati (indipendentemente dall’importo);
- il pagamento è effettuato verso beneficiari fidati, ossia previamente noti e censiti in apposite liste gestite dai prestatori di servizi di pagamento, per i quali il pagatore ha prestato consenso anticipato (deroga per i cosiddetti “beneficiari trusted”);
- il pagamento è di tipo ricorrente (stesso importo e medesimo beneficiario);
- il pagamento è iniziato remotamente, ad esempio via internet, tramite un Digital Wallet o mediante un sistema di Mobile Remote Payment, ma a condizione che l’importo non superi i 30 euro (deroga per i cosiddetti “micropagamenti”) e che non sia stato superato l’importo cumulativo di 100 euro, o siano stati effettuati 5 pagamenti remoti consecutivi, dall’ultima volta in cui è stata applicata la SCA;
- il pagamento avviene tra pagatore e beneficiario che costituiscano (o rappresentino) la stessa persona naturale o giuridica (deroga per i giroconti) e i conti siano tenuti presso il medesimo prestatore di servizi di radicamento del conto (banche, istituti di pagamenti, istituti di moneta elettronica, Poste);
- il pagamento, ovvero la serie di pagamenti, avviene tra aziende (deroga per cosiddetti “corporate payments”), realizzati, anche in modalità batch, tramite l’impiego di strumenti informatici e protocolli sicuri quali, ad esempio, i programmi per la gestione del pagamento fatture direttamente integrati con procedure rese a disposizione alle aziende dagli prestatori di servizi di radicamento del conto (banche, istituti di pagamenti, istituti di moneta elettronica, Poste), ma solo quando le autorità competenti degli Stati membri abbiano valutano che gli strumenti impiegati garantiscono livelli di sicurezza almeno pari a quelli previsti dalla PSD2.
Non ci siamo dimenticati di trattare la deroga prevista in applicazione della cosiddetta “Transaction Risk Analysis” (TRA), ma, vista la complessità di adozione, abbiamo ritenuto opportuno riservarle un apposito capitolo.
La deroga prevista per la (corretta) applicazione della Transaction Risk Analysis
Il prestatore dei servizi di pagamento può essere esentato dall’applicare l’autenticazione forte (e dinamica) del cliente, basandosi su una specifica analisi del rischio associato alla transazione stessa. I sistemi di monitoraggio della transazione che supportano la TRA tengono conto, ad esempio, del comportamento dell’utente in situazioni normali, relativamente all’uso delle proprie credenziali di sicurezza. Oppure, si basano sulle valutazioni di alcuni fattori base di rischio, fra cui:
- il numero di elementi di sicurezza compromessi o rubati;
- i segni di evidente infezione da malware in qualsiasi sessione di autenticazione;
- l’importo di ogni transazione;
- la conoscenza aprioristica di frodi.
In aggiunta ai sistemi di monitoraggio della transazione che supportano la TRA normalmente applicata dal prestatore di servizi di pagamento, per poter essere esentato dall’applicazione della SCA il prestatore deve considerare, in tempo reale, anche i seguenti fattori di rischio:
- le precedenti abitudini di spesa dell’utente (tipologie di importi e servizi di pagamento fruiti);
- il luogo in cui si trovano sia il pagatore sia il beneficiario nel momento del pagamento, il mezzo e il canale usati per compierlo;
- i segni di un eventuale uso scorretto e abnorme dello strumento di pagamento (anche interrogando il LOG delle transazioni).
Infine, distinguendo in due tipologie di pagamento remoto, ossia quello che si compie mediante una carta (p.e. via internet) e quello che si ottiene disponendo un bonifico (p.e. tramite un dispositivo mobile), l’EBA ha previsto che l’applicazione della deroga per la TRA sia possibile nel rispetto di specifici limiti d’importo, per i quali sono stati calcolati e associati coefficienti – in percentuale – del tasso di frode; ossia osservando la conformità a una tabella di scoring prevista negli standard (Figura 3).
Il ricorso all’esternalizzazione della SCA nella revisione della PSD2
In fase di revisione della PSD2, l’EBA propone che in una futura “PSD3” venga chiarito quando l’utilizzo di tecnologie di terzi in relazione all’autenticazione forte del cliente debba considerarsi esternalizzazione, rendendo pertanto applicabili le linee guida dell’Autorità adottate in merito o se, laddove la Commissione si risolvesse nel non considerarlo tale, sia comunque necessario applicare particolari condizioni.
Secondo l’EBA, delegare il processo di autenticazione forte del cliente da parte di un prestatore di servizi di pagamento a un fornitore di servizi tecnici (compresa un’altra entità anche appartenente allo stesso gruppo societario del prestatore di servizi di pagamento) costituirebbe a tutti gli effetti un’esternalizzazione.
Nell’attesa che ciò si chiarito in corso di revisione dell’attuale PSD2, è opportuno osservare come, in ogni caso, il ricorso a terzi non prevedrebbe alcuna delega di responsabilità, che resta pertanto sempre del prestatore di servizi di pagamento e, in quanto tale, deve potersi ben esplicitare nei contratti di servizio con i propri clienti.
Bibliografia
- EBA, Draft Regulatory Technical Standards on Strong Customer Authentication and common and secure communication under Article 98 of Directive 2015/2366 (PSD2), Final Report 23 febbraio 2017.
- Commissione europea, REGOLAMENTO DELEGATO (UE) 2018/389 DELLA COMMISSIONE del 27 novembre 2017 che integra la direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione per l’autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri, Gazzetta ufficiale dell’Unione europea L 69/23 del 13 marzo 2018.
- EBA, Opinion of the European Banking Authority on the implementation of the RTS on SCA and CSC, 13 giugno 2018.
- EBA, Opinion of the European Banking Authority on the elements of strong customer authentication under PSD2, 21 giugno 2019.
- EBA, Opinion of the European Banking Authority on the deadline for the migration to SCA for
e-commerce card-based payment transactions, 16 ottobre 2019. - Banca d’Italia, Adozione delle procedure di autenticazione forte dei pagamenti online con carta, c.s. del 1° agosto 2019.
- EBA, Opinion of the European Banking Authority on its technical advice on the review of Directive (EU) 2015/2366 on payment services in the internal market (PSD2), 23 giugno 2022.
Riferimenti ai video della serie “L’appuntamento con l’esperto”
- LA NUOVA DIRETTIVA SUI SERVIZI DI PAGAMENTO PSD2, 24 maggio 2021.
1 Direttiva (UE) 2015/2366, pubblicata in Gazzetta Ufficiale dell’Unione Europea il 23 dicembre 2015.
2 I TPP sono i cosiddetti “Third Party Provider”, soggetti autorizzati alla prestazione dei servizi di pagamento basati sull’accesso ai conti, come previsto dalla PSD2.
3In Italia, per la sola applicazione della SCA ai pagamenti a distanza effettuati con carta, è stata concessa un’ulteriore proroga sino al 1° aprile 2021, procedendo gradualmente nei primi tre mesi (gennaio, febbraio, marzo 2021) a un’applicazione per scaglioni di importo massimo a diminuire in progressione.
4L’applicazione del protocollo 3-D Secure è stata approvata dall’organo con funzioni di governance presieduto da EMVCo, il consorzio tra i principali schemi di carte di pagamento internazionali.
5Si veda al riguardo il documento “Opinion Paper of the EBA on the elements of strong customer authentication under PSD2” del 21 giugno 2019.
6Questo importo costituisce il massimo avvaloramento della soglia concesso dall’EBA agli Stati membri per l’applicazione della deroga in questione. In Italia, il limite per effettuare pagamenti contactless senza dover inserire il codice PIN è stato innalzato da 25 a 50 euro a partire dal 1° gennaio 2021.