Pagamenti online? L’approccio della PSD2

Pagamenti online? L’approccio della PSD2

Il mercato dei servizi di pagamento sta registrando profonde trasformazioni legate soprattutto all’evoluzione tecnologica che permette di sviluppare servizi innovativi, facili da usare e poco costosi

La sicurezza dei servizi di pagamento online è uno degli aspetti che l’Unione europea sta cercando di normare con la Direttiva “PSD2”. Dynamic Linking e Transaction Risk Analysis sono concetti innovativi che, se ben realizzati, potrebbero offrire il livello di sicurezza richiesto. L’adozione di servizi innovativi di pagamento ha determinato non solo la comparsa sul mercato di nuovi attori (le cosiddette Fintech), che generalmente non provengono dal tradizionale mondo della finanza e della banca, ma ha prodotto anche un incremento delle frodi da parte di cybercriminali che sono attratti dai facili guadagni ottenibili sfruttando le “falle” che queste nuove tecnologie presentano. In un mercato così complesso e turbolento, la UE sta cercando di mettere ordine a una nuova Direttiva sui Servizi di Pagamento (la cosiddetta “PSD2”) dove uno degli aspetti più importanti è proprio la sicurezza per la quale si sono delineati l’approccio e i principali ambiti di intervento. EBA è stata poi incaricata di sviluppare tali indicazioni in specifici Regulatory Technical Standard (RTS) e Linee Guida.

L’approccio della PSD2 verso la sicurezza dei servizi di pagamento elettronici si sviluppa su tre direttrici principali:

  • l’autenticazione forte del cliente (SCA) con l’introduzione del dynamic linking per le operazioni dispositive e un numero di “esenzioni” puntuali;
  • un set di misure di sicurezza per la protezione a più livelli delle credenziali di sicurezza in tutte le fasi del loro ciclo di vita;
  • un sistema di monitoraggio delle frodi avanzato per la valutazione del rischio di una transazione (TRA) in real-time e un processo di incident handling tempestivo ed efficiente.

Relativamente alla SCA, la principale novità introdotta è il dynamic linking che si basa su due concetti di base:

  • il codice autorizzativo per una transazione deve essere specifico per la transazione (una modifica dell’importo e/o del beneficiario ne provoca automaticamente l’invalidazione);
  • il pagatore deve essere “consapevole” dell’importo e del beneficiario della transazione che sta autorizzando.

Ma il dynamic linking è veramente sicuro? Molto dipende dalla sua implementazione e, in particolare, dalle misure di sicurezza che si adottano per proteggere la confidenzialità, l’autenticità e l’integrità delle informazioni suddette. In pratica, deve essere realizzata una separazione, logica o fisica che sia, tra il canale “dispositivo” della transazione e il canale “informativo” verso il pagatore che garantisca una probabilità molto bassa che entrambi i canali siano compromessi. Gli ultimi attacchi hanno dimostrato che la separazione fisica dei due canali realizzata con OTP inviata via SMS sul cellulare del cliente (soluzione ritenuta fino a ieri sicura), è stata compromessa in maniera agevole utilizzando una vulnerabilità del protocollo SS7 utilizzato dagli operatori telefonici per la trasmissione degli SMS.

Un analogo livello di protezione deve essere adottato anche per le credenziali e i dispositivi utilizzati per l’autenticazione soprattutto nelle fasi più critiche del loro ciclo di vita quali la consegna e/o l’associazione agli utenti. Infine, l’approccio alla sicurezza della PSD2 richiede l’adozione di sistemi di monitoraggio delle frodi che, partendo da un livello base, possano evolvere verso modelli sempre più evoluti e in grado di valutare in tempo reale il livello di rischio di una transazione. L’elemento di novità introdotto da EBA in tale ambito è la subordinazione dell’attivazione delle esenzioni alla SCA al raggiungimento, da parte del provider di servizi di pagamento (PSP), di valori massimi di tassi di frode predefiniti. L’obiettivo è di stimolare i PSP a monitorare le frodi sui servizi di pagamento in maniera continuativa ed efficiente per poter offrire, come contropartita, servizi più semplici e usabili, ma nel contempo anche sicuri.

Garibaldi Conte, membro del Comitato Tecnico Scientifico del Clusit

Categorie: Sicurezza