La Third Party Payment Service Providers e molto altro
Entro il 13 gennaio 2018 gli Stati Membri dovranno recepire all’interno dei propri ordinamenti nazionali la direttiva 2015/2366/UE, nota come PSD2.
La PSD2 rappresenta solo l’ultimo di una serie di interventi del legislatore europeo in ambito di servizi di pagamento con l’obiettivo di proseguire nello sviluppo di un mercato unico integrato, uniformando le regole tra Prestatori Servizi di Pagamento (PSP).
Il contesto di riferimento
La PSD2 interviene in un momento storico caratterizzato da un forte cambiamento delle abitudini degli utenti relativamente le modalità di pagamento, le quali risultano sempre più orientate verso strumenti di digital payment.
La maggiore propensione degli utenti all’utilizzo di dispositivi mobili, il cambiamento nelle abitudini dei consumatori che prediligono sempre di più pagamenti caratterizzati da una user experience semplificata e personalizzata e le strategie di marketing per aumentare l’adozione dei dispositivi mobili e raccogliere informazioni legate al comportamento dei clienti sono i driver principali che hanno motivato la nascita e lo sviluppo di nuovi operatori di servizi di pagamento, che negli ultimi anni si sono affacciati sul mercato affiancando gli operatori tradizionali (banche e circuiti di carte di credito).
Altro fattore ponderante da considerare nella descrizione del contesto di riferimento è il fenomeno fraudolento, che vede trend di crescita non trascurabili nel settore dei pagamenti elettronici ed in particolar modo nel settore dei pagamenti CNP (Card-Not-Present).
Il fenomeno è sotto osservazione da parte del legislatore Europeo, ed è uno dei razionali più significativi che hanno portato all’emissione di diverse raccomandazioni e normative negli ultimi anni, relativamente la necessità di innalzamento dei sistemi di sicurezza dei pagamenti elettronici.
La normativa PSD2
Il campo di azione della PSD2 è molto ampio, così come i relativi impatti sui processi degli istituti di pagamento tradizionali e non. L’applicazione della PSD2 impatta su tutte le principali direzioni degli istituti di pagamento: dall’ufficio Finance alla Compliance, dalle infrastrutture IT agli aspetti legali, la PSD2 pone sfide enormi, in un contesto di business che prefigura un cambio di paradigma del rapporto tra istituti finanziari tradizionali e utenti finali.
La PSD2 introduce il concetto di Third Party Payment Service Providers (TPP), parificando gli istituti di pagamento tradizionali e i nuovi operatori (FINTECH) sotto un’unica generica definizione di PSP (Payment Service Provider), e impone agli ASPSP (gli enti di radicamento del conto, tipicamente quindi i PSP tradizionali quali banche e circuiti di carte di credito) di permettere l’accesso alle terze parti per reperire informazioni sul conto, verificare la disponibilità di fondi per un trasferimento di denaro e inizializzare un pagamento.
Attraverso l’articolo 97, la PSD2 impone un aumento del livello di sicurezza basato sul principio di autenticazione forte dell’utente in fase di accesso al conto e/o transaction signing in fase di disposizione di un pagamento elettronico e rimanda all’EBA (European Banking Authority) la descrizione delle specifiche tecniche e di sicurezza inerenti il processo di autenticazione forte.
Nel Draft finale di EBA vengono enunciati principi e descritti requisiti che, oltre ad avere un ovvio impatto sui servizi di pagamento offerti agli utenti finali (e ai TPP), pongono diversi spunti di riflessione sugli impatti che la PSD2 ha sui processi antifrode in essere.
E’ facile desumere il massiccio livello di impatti della PSD2 su tutte le principali direzioni degli istituti di pagamento: dall’ufficio Finance alla Compliance, dalle infrastrutture IT agli aspetti legali, la PSD2 pone sfide enormi, in un contesto di business che prefigura un cambio di paradigma del rapporto tra istituti finanziari tradizionali e utenti finali.
Gli impatti sul processo antifrode
A prescindere dai requisiti imposti dalla normativa, è opportuno considerare l’estensione dei processi antifrode al monitoraggio del canale dedicato alle Third Party per altri importanti aspetti quali per esempio: la responsabilità del rimborso all’utente in caso di disconoscimento, di responsabilità dell’ASPSP; poter avere visibilità dello storico utente anche se questo opera tramite servizi offerte da terze parti; mantenere e monitorare un trend degli eventi fraudolenti provenienti dalle terze parti in funzione di una congrua gestione del rischio operativo
In linea con le evoluzioni del mercato, le abitudini degli utenti e la necessità di semplificare la user-experience utente, è plausibile ipotizzare che molti PSP concentreranno le proprie scelte tecnologiche di soluzioni di strong authentication basate su software token per dispositivi mobili. Questa scelta permetterebbe di far convergere su unico dispositivo l’accesso ai propri servizi (per esempio mobile banking) e le procedure di autenticazione forte e transaction signing. Non a caso l’RTS EBA (Regulatory Technical Standards on strong customer authentication and secure communication under PSD2) insiste, tramite diversi articoli, sulla messa in opera di sistemi di monitoraggio del livello di rischio dei dispositivi mobili e sistemi anti-compromissione atti a prevenire la compromissione di elementi della Strong Authentication gestiti nel contesto di un dispositivo mobile. D’altro canto, il canale mobile e la sua sicurezza erano state escluse come ambito di applicazione dalla precedente normativa EBA relativa alla sicurezza dei pagamenti Internet, rimandando la gestione della problematica nell’ambito dell’emissione della PSD2, così come è puntualmente accaduto.
La direttiva PSD2 pone sfide enormi, in un contesto di business che prefigura un cambio di paradigma del rapporto tra istituti finanziari tradizionali e utenti finali.
Oggi è opportuno considerare il canale mobile come elemento focale nell’ambito del business dei pagamenti elettronici: è ormai consolidato che sia i servizi offerti dai PSP tradizionali, che quelli forniti da TPP (Fintech), stiano centralizzando il proprio funzionamento attraverso il canale mobile. E’ chiaro quindi che il contesto di sicurezza in cui gira la propria applicazione di business, o il meccanismo di SCA (Strong Customer Authentication) fornito all’utente, assume un valore fondamentale nell’ambito della valutazione del rischio della transazione.
L’RTS EBA norma diverse condizioni, molto articolate, per le quali è possibile non effettuare la procedura di SCA in determinate condizioni quali per esempio tipologie di canali (per esempio pagamenti su terminali non presidiati), soglie di importo, tipologie di dati acceduti e tempo occorso dall’ultima autenticazione forte effettuata e, infine, in base alla valutazione del rischio della transazione.
Il transaction monitoring può essere utilizzato per determinare se la transazione rientra o meno nelle condizioni di eccezione, accentrando tutte le logiche in un unico punto del processo di autorizzazione e fungendo da fonte dati certificata per ogni eventuale attività di reporting e auditing sulle modalità di gestione delle eccezioni applicate.
Teo Santaguida Responsabile Centro Competenza Anti-frode IKS
