La direttiva PSD2 nasce per portare più sicurezza ai pagamenti elettronici. Ma diversi fattori hanno frenato la sua piena implementazione.
Lo scorso gennaio la
direttiva europea PSD2 ha compiuto due anni. Solo formalmente, però. Promulgata
a inizio 2018, in Italia è entrata in vigore solo a settembre 2019. E le banche hanno
fino a fine 2020 per mettersi completamente in regola. Insomma, dal debutto alla compliance obbligatoria passano tre anni buoni. Molto, ma a quanto pare non abbastanza.
La direttiva PSD2 promette
più sicurezza nelle transazioni digitali e
più apertura nella gestione dei servizi di pagamento. Due direttrici di sviluppo complementari. Entrambe collegate all'obiettivo di fondo della PSD2. Ossia
incrementare la diffusione degli strumenti di pagamento elettronico tra i cittadini europei. Che dovrebbero sentirsi più motivati ad usarli perché diventano più sicuri. E aumentano anche in numero e tipologia, grazie a una maggiore interoperabilità tra operatori vecchi e, soprattutto,
nuovi.
Dal punto di vista della sicurezza, l'effetto evidente della direttiva PSD2 è
forzare l'adozione di sistemi di autenticazione forte. L'autenticazione forte viene richiesta certamente per l'accesso ai servizi di home e mobile banking. Ma anche per altri generici servizi di pagamento elettronico.
La strong authentication indicata dalla normativa è di fatto una
autenticazione a due fattori (2FA). Che va attivata quando si accede ai propri conti online. Si dispone un’operazione di pagamento elettronico. Si esegue in generale
qualsiasi azione che può comportare un rischio di frode. Ci sono anche operazioni esentate dalla 2FA. Ad esempio i pagamenti ricorrenti o con importi contenuti. E le banche hanno una certa latitudine di manovra nella implementazione delle misure di protezione. Quindi ciascuno di noi ha magari sperimentato l'applicazione della PSD2 in forme diverse.
Perché forzare l'utilizzo della autenticazione forte a livello europeo? In primis per una
armonizzazione degli approcci seguiti dalle varie banche europee. E per portarli a un livello minimo e coerente di sicurezza. Addio quindi alla diffusa, ma non blindatissima, autenticazione con one time password passate via SMS.
Il secondo motivo alla base di PSD2 è meno evidente. Era diventato indispensabile
aumentare la sicurezza dei pagamenti digitali cosiddetti card-not-present (CNP). In cui cioè non si presenta fisicamente la carta di credito al sistema di pagamento. Da diversi anni la criminalità si è concentrata su queste forme di pagamento per le sue frodi. Dato che la clonazione fisica delle carte di credito è diventata
più difficile.
La sicurezza PSD2 va a rilento
Per molte banche non è stato banale implementare sistemi di autenticazione ad (almeno) due fattori nelle operazioni digitali. La protezione dell'home banking e del
mobile banking è stata la parte più semplice. Basta
trasformare lo smartphone del cliente in un token che generi codici univoci di sicurezza. Questi, insieme alla classica coppia username-password, garantiscono accessi ragionevolmente sicuri.
Lo smartphone come token è stata una strada scelta anche per l'
autorizzazione delle disposizioni. Molte banche ora richiedono, per eseguire un pagamento elettronico via disposizione online, la combinazione di username-password e uno o due codici usa-e-getta generati da una app-token e/o dal back-office della banca.
La PSD2 è rimasta al palo in un altro ambito: i pagamenti online con carta di credito. Specie quelli transnazionali. Molte banche e fintech hanno trovato difficoltà nel decidere
come gestire in maniera coerente e sicura i pagamenti digitali. È il motivo principale per cui le Banche centrali hanno esteso a fine 2020 la compliance definitiva alla PSD2.
Il problema è
raggiungere un consenso su quali fattori vanno usati per una identificazione sicura nei pagamenti. Quelli utilizzati di solito, come i dati della carta di credito, non sono considerati adeguati dalla PSD2. Anche se uniti a procedure di sicurezza "parallele" come EMV 3DSecure. Da questo punto di vista - ma
non solo da questo - c'è ancora strada da fare.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
ImpresaCity.it iscriviti alla nostra
Newsletter gratuita.