Logo ImpresaCity.it

PSD2 e sicurezza: a che punto siamo

La direttiva PSD2 nasce per portare più sicurezza ai pagamenti elettronici. Ma diversi fattori hanno frenato la sua piena implementazione.

Redazione Impresacity

Lo scorso gennaio la direttiva europea PSD2 ha compiuto due anni. Solo formalmente, però. Promulgata a inizio 2018, in Italia è entrata in vigore solo a settembre 2019. E le banche hanno fino a fine 2020 per mettersi completamente in regola. Insomma, dal debutto alla compliance obbligatoria passano tre anni buoni. Molto, ma a quanto pare non abbastanza.

La direttiva PSD2 promette più sicurezza nelle transazioni digitali e più apertura nella gestione dei servizi di pagamento. Due direttrici di sviluppo complementari. Entrambe collegate all'obiettivo di fondo della PSD2. Ossia incrementare la diffusione degli strumenti di pagamento elettronico tra i cittadini europei. Che dovrebbero sentirsi più motivati ad usarli perché diventano più sicuri. E aumentano anche in numero e tipologia, grazie a una maggiore interoperabilità tra operatori vecchi e, soprattutto, nuovi.

Dal punto di vista della sicurezza, l'effetto evidente della direttiva PSD2 è forzare l'adozione di sistemi di autenticazione forte. L'autenticazione forte viene richiesta certamente per l'accesso ai servizi di home e mobile banking. Ma anche per altri generici servizi di pagamento elettronico.

credit card 1730085 960 720La strong authentication indicata dalla normativa è di fatto una autenticazione a due fattori (2FA). Che va attivata quando si accede ai propri conti online. Si dispone un’operazione di pagamento elettronico. Si esegue in generale qualsiasi azione che può comportare un rischio di frode. Ci sono anche operazioni esentate dalla 2FA. Ad esempio i pagamenti ricorrenti o con importi contenuti. E le banche hanno una certa latitudine di manovra nella implementazione delle misure di protezione. Quindi ciascuno di noi ha magari sperimentato l'applicazione della PSD2 in forme diverse.

Perché forzare l'utilizzo della autenticazione forte a livello europeo? In primis per una armonizzazione degli approcci seguiti dalle varie banche europee. E per portarli a un livello minimo e coerente di sicurezza. Addio quindi alla diffusa, ma non blindatissima, autenticazione con one time password passate via SMS.

Il secondo motivo alla base di PSD2 è meno evidente. Era diventato indispensabile aumentare la sicurezza dei pagamenti digitali cosiddetti card-not-present (CNP). In cui cioè non si presenta fisicamente la carta di credito al sistema di pagamento. Da diversi anni la criminalità si è concentrata su queste forme di pagamento per le sue frodi. Dato che la clonazione fisica delle carte di credito è diventata più difficile.

La sicurezza PSD2 va a rilento

Per molte banche non è stato banale implementare sistemi di autenticazione ad (almeno) due fattori nelle operazioni digitali. La protezione dell'home banking e del mobile banking è stata la parte più semplice. Basta trasformare lo smartphone del cliente in un token che generi codici univoci di sicurezza. Questi, insieme alla classica coppia username-password, garantiscono accessi ragionevolmente sicuri.

ecommerce 2607114 1280Lo smartphone come token è stata una strada scelta anche per l'autorizzazione delle disposizioni. Molte banche ora richiedono, per eseguire un pagamento elettronico via disposizione online, la combinazione di username-password e uno o due codici usa-e-getta generati da una app-token e/o dal back-office della banca.

La PSD2 è rimasta al palo in un altro ambito: i pagamenti online con carta di credito. Specie quelli transnazionali. Molte banche e fintech hanno trovato difficoltà nel decidere come gestire in maniera coerente e sicura i pagamenti digitali. È il motivo principale per cui le Banche centrali hanno esteso a fine 2020 la compliance definitiva alla PSD2.

Il problema è raggiungere un consenso su quali fattori vanno usati per una identificazione sicura nei pagamenti. Quelli utilizzati di solito, come i dati della carta di credito, non sono considerati adeguati dalla PSD2. Anche se uniti a procedure di sicurezza "parallele" come EMV 3DSecure. Da questo punto di vista - ma non solo da questo - c'è ancora strada da fare.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di ImpresaCity.it iscriviti alla nostra Newsletter gratuita.
Se vuoi ricevere le notifiche delle notizie più importanti della giornata iscriviti al canale Telegram di ImpresaCity al link: t.me/impresacity
Pubblicato il: 18/03/2020

Speciali

Webinar

Smart working e OpenShift:

Speciale

Il Made in Italy del cloud