AuthoriPay Guide to Strong Customer Authentication and granting access to Third-Party Providers
Autenticazione forte del cliente, collegamento dinamico e accesso
a fornitori di pagamento terzi
There are 2 significant requirements mandated under PSD2, both of which you may have heard of:
- Autenticazione forte del cliente (SCA) e collegamento dinamico
- Accesso ai conti di pagamento da parte di fornitori di pagamento terzi (TPP)
Both have a significant impact on Payment Service Providers who offer payment accounts that are accessible online.
Autenticazione forte del cliente (SCA) e collegamento dinamico
While Strong Customer Authentication is widely referenced, its practical application and regulatory requirements are often misunderstood. This section provides a clear overview of what SCA entails and when it must be applied.
Quando è opportuno utilizzare l'autenticazione forte del cliente e il collegamento dinamico?
I prestatori di servizi di pagamento sono tenuti ad applicare SCA e Dynamic Linking ogni volta che un cliente accede da remoto al proprio conto di pagamento per effettuare una delle seguenti operazioni:
- Avvia un'istruzione di pagamento elettronico
- Visualizza il saldo e/o la cronologia delle transazioni
- Eseguire qualsiasi azione che possa comportare il rischio di frodi nei pagamenti o altri abusi.
Che cos'è un conto di pagamento?
Nella PSD2 un Conto di pagamento è definito molto semplicemente come un conto (non necessariamente un conto bancario) utilizzato per l'elaborazione dei pagamenti. Ad eccezione dei servizi di trasferimento di contante faccia a faccia (come Western Union), la maggior parte dei prestatori di servizi di pagamento offrirà ai propri clienti un conto per l'elaborazione dei pagamenti e pertanto rientrerà in questa definizione.
Cosa significa accesso remoto?
Nel contesto del CSA, per accesso remoto si intende l'accesso attraverso un canale elettronico a distanza, come Internet (tramite un portale online) o un'applicazione mobile.
Per chiarezza, le istruzioni di pagamento accettate per e-mail o per telefono non rientrano, per ora, nelle norme del CSA.
E i pagamenti con carta?
Che cos'è l'autenticazione forte del cliente?
Conoscenza
Qualcosa che il cliente conosce
Possesso
Qualcosa che il cliente ha
Inerenza
Qualcosa che il cliente è
Come questo può influire su un'azienda
Un buon esempio è rappresentato dalle aziende che offrono accesso online via Internet (ad esempio attraverso un portale). In genere, i clienti forniscono le seguenti credenziali:
-
Un nome utente, che nella maggior parte dei casi è il loro indirizzo e-mail; e
-
Una password unica.
In questo caso si pone un problema in relazione a SCA, perché allo stato attuale entrambi i dati sarebbero considerati come qualcosa che il cliente conosce (conoscenza). Pertanto, si utilizzerebbe solo una delle credenziali di sicurezza richieste, e non due.
Un modo per renderlo conforme alle nuove regole sarebbe quello di cambiare l'indirizzo e-mail da qualcosa che il cliente conosce a qualcosa che il cliente possiede (possesso). Affinché ciò funzioni, è necessario dimostrare che il cliente ha avuto accesso a questo indirizzo e-mail. Ciò potrebbe essere fatto utilizzando l'indirizzo e-mail insieme a una One Time Password (OTP).
In questo scenario il cliente dovrebbe inserire il proprio indirizzo e-mail e una password unica. Il fornitore di servizi di pagamento dovrà quindi generare la OTP all'indirizzo e-mail che il cliente dovrà successivamente fornire.
Questo è solo un esempio di come l'SCA può influire su un'azienda e ce ne sono altri che dovrebbero essere considerati singolarmente.
A ciò si aggiunge il concetto di collegamento dinamico, che dovrebbe essere applicato ogni volta che viene avviato un pagamento elettronico.
Che cos'è il linking dinamico?
Requisito del collegamento dinamico |
Cosa significa in termini pratici |
| Il pagatore viene messo a conoscenza dell'importo dell'operazione di pagamento e del beneficiario; |
In parole povere, ciò significa che quando si effettua un pagamento, al pagatore deve essere mostrato l'importo inviato e il nome del beneficiario. Ad esempio, se il cliente sta pagando 1.000 euro a John Smith, questo deve essere chiaramente visibile. Va notato che le regole non specificano le modalità di visualizzazione al cliente, per cui si dispone di una certa flessibilità. |
| Il codice di autenticazione generato è specifico per l'importo dell'operazione di pagamento e per il beneficiario concordato dal pagatore al momento dell'avvio dell'operazione; | In sostanza, ciò significa che, quando si autorizza il pagamento, è necessario generare un codice di autenticazione specifico per la transazione in questione, che non può essere utilizzato per nessun'altra transazione. Il codice generato può assumere qualsiasi forma, purché sia in grado di collegarlo al pagamento specifico. |
| Il codice di autenticazione accettato dal prestatore di servizi di pagamento corrisponde all'importo specifico originale dell'operazione di pagamento e all'identità del beneficiario concordata dal pagatore; |
In parole povere, il fornitore di servizi di pagamento può utilizzare solo 1 codice di autenticazione per ogni pagamento. Dato il numero di sistemi che un'azienda utilizza per elaborare un singolo pagamento, è possibile che ognuno di questi sistemi generi un proprio codice di autorizzazione unico. Il prestatore di servizi di pagamento deve sceglierne uno solo da utilizzare come codice di autorizzazione collegato dinamicamente. |
| Qualsiasi modifica dell'importo / del beneficiario comporta l'invalidazione del codice di autenticazione generato; | Se l'importo della transazione o il beneficiario cambiano, il codice di autenticazione deve essere annullato e ne deve essere emesso uno nuovo, che soddisfi i requisiti di cui sopra. |
Accesso ai conti di pagamento da parte di fornitori di pagamenti terzi
Payment Service Providers who offer payment accounts that are accessible online to payers have to allow regulated Third-Party Payment Providers (TPP’s) to access their customers account, using their SCA credentials.
Non si sa molto di questa particolare normativa, e qui di seguito ne analizzeremo i dettagli:
- Che cos'è un fornitore di pagamenti di terze parti?
- Chi deve consentirne l'accesso?
- Quali sono i requisiti specifici?
1. Che cos'è un fornitore di pagamenti di terze parti (TPP)?
Il TPP è un nuovo tipo di servizio di pagamento regolamentato, introdotto ufficialmente con la PSD2 (anche se in realtà esisteva già da molto prima). I TPP possono essere suddivisi in due tipi di servizi:
- Fornitori di servizi di informazione sui conti (AISP)
- Fornitori di servizi di pagamento (PISP)
Fornitori di servizi di informazione sui conti (AISP)
Gli AISP utilizzeranno le credenziali SCA di un cliente per accedere al suo conto e raccogliere informazioni sulle transazioni e sul saldo. Queste informazioni possono essere utilizzate per una serie di motivi, come l'analisi delle spese o la panoramica della posizione finanziaria.
Fornitori di servizi di pagamento (PISP)
I PISP utilizzeranno le credenziali SCA di un cliente per accedere al suo conto e ordinare un pagamento direttamente al beneficiario designato dal cliente. I PISP non entreranno mai in possesso dei fondi.
2. Chi deve consentire l'accesso ai TPP?
Ufficialmente, se vi qualificate come Account Servicing Payment Service Provider (ASPSP) e consentite ai clienti l'accesso remoto al loro conto di pagamento, allora dovete consentire l'accesso anche ai TPP.
Per chiarire, un ASPSP è colui che fornisce e gestisce un conto di pagamento per un pagatore. Se non consentite al vostro cliente di effettuare pagamenti (ad esempio gli acquirer commerciali, i cui clienti ricevono pagamenti ma non li effettuano), questa regola non si applica.
3. Quali sono i requisiti specifici?
Le aziende non devono solo consentire l'accesso ai TPP, ma anche disporre di procedure per verificare che siano regolamentati. Ci sono cose specifiche che un fornitore di servizi di pagamento deve fare prima di consentire l'accesso:
- Verifica delle credenziali SCA e rilascio di un token di accesso
- Controllare il certificato eIDAS del fornitore TPP
- Controllare lo stato normativo del fornitore di TPP
Le imprese possono utilizzare un sistema dedicato (costruito o acquistato a scaffale) o semplicemente consentire al fornitore di TPP di utilizzare lo stesso canale del cliente. Se le imprese utilizzano un sistema dedicato, devono informare l'autorità di regolamentazione e fornirle i dettagli del suo funzionamento.
Come questo influisce sul panorama dei pagamenti.
I diagrammi seguenti mostrano il panorama dei pagamenti prima e dopo l'attuazione delle nuove norme PSD2. Questo illustra non solo l'impatto delle nuove norme, ma anche l'entità del lavoro necessario per essere conformi.
Cosa devono fare le aziende?
A seguito di queste nuove regole, le aziende dovranno analizzare i servizi che offrono, decidere se rientrano nell'ambito di applicazione e quale sarà l'impatto, quindi mettere in atto un progetto per assicurarsi di essere conformi entro la scadenza.
Ci sono molte cose da considerare e poco tempo per prepararsi. Per informazioni e consigli più specifici relativi alla vostra azienda, contattateci oggi stesso.
Se desiderate discutere di qualsiasi aspetto della vostra attività e delle implicazioni di SCA, richiedete oggi stesso una consulenza gratuita di un'ora!
Contattate
AuthoriPay Ltd, Milton Hall, Ely Road, Cambridge, CB24 6WZ.