mercoledì, Agosto 21

Autenticazione forte nei pagamenti. Ma che cos’è?

Google+ Pinterest LinkedIn Tumblr +

Tempo di lettura 5’. Leggibilità *.

Presentiamo un tema che interessa tutti gli italiani, ma per il quale riteniamo che il livello delle conoscenze sia ancora molto basso.

Pensiamo soprattutto agli anziani, a chi si avvicina a un conto corrente per la prima volta, a chi ha idiosincrasie varie verso argomenti bancari. Quanti hanno capito veramente quello che accade nei pagamenti on line? E come funziona la protezione dai rischi?

Riportiamo dapprima la spiegazione di  una importante associazione di consumatori. Essa e’ simile a tante altre rinvenibili su siti di altre associazioni e su quelli delle banche.Poi una comunicazione della Banca d’Italia del 1 Agosto postata sul proprio sito, in cui si annuncia lo spostamento ad altra data (non si dice quale) dell’obbligo dell’autenticazione forte per le operazioni con carte di pagamento on line, già fissata al 14 settembre prossimo.

Non una parola su come sta andando la transizione dei conti e degli altri pagamenti elettronici verso un sistema di maggiore sicurezza. Non un numero che faccia capire quanti sono gli operatori che già rispettano le nuove norme, avendo portato a termine i necessari adeguamenti delle procedure informatiche.

Insomma qualche informazione in più per orientarsi sembrerebbe più che opportuna per i cittadini che sopportano le tante negatività del nostro sistema bancario e finanziario.

Chi ci capisce qualcosa? E soprattutto cosa sta accadendo nel mondo dei pagamenti elettronici? Chi li controlla e come? Quanti hanno trovato difficoltà? Quanti non riescono più ad usare il proprio conto corrente on line per modifiche apportate agli applicativi dell’home banking?

Stretta comunicazione invece per soli addetti!

DAL SITO DI ALTROCONSUMO

Si chiama strong authentication o autenticazione forte ed è la novità principale introdotta da una Direttiva europea sui servizi di pagamento (UE 2366 del 2015), detta PSD2.

Si tratta sostanzialmente di un’autenticazione doppia, richiesta al momento di un acquisto, che avviene attraverso l’inserimento di due password: una statica, conosciuta dall’utente, e una dinamica, che consiste in un codice usa e getta che può avere la forma di un messaggio sul cellulare oppure può essere generata tramite le cosiddette chiavette o token.

In pratica si tratta dell’applicazione ai pagamenti della stessa procedura richiesta quando facciamo operazioni dispositive sul nostro home banking, per esempio un bonifico online.

Le nuove regole, definite dall’EBA (l’autorità bancaria europea) con il via libera della Commissione europea, in vigore dal 14 settembre 2019, e si applicheranno a molti degli acquisti online, anche se non a tutti.

Compromessi e deroghe

Tutto ciò che rende l’acquisto online più complicato non piace ai grandi operatori come Amazon o Visa, ma neanche a Google e Apple, che vendono ogni giorno centinaia di migliaia di app nei loro store.

In seguito alle forti contrarietà espresse da alcuni big del commercio online, si è quindi arrivati a un compromesso che lascia, però, molti dubbi sull’effettiva sicurezza degli utenti e sulla riduzione del possibile numero di frodi, che era poi l’intento del legislatore europeo.

Esiste per esempio la possibilità di una deroga all’autenticazione forte per le operazioni online di basso ammontare (sotto i 30 euro) e solo se con la deroga sono state fatte in totale operazioni di pagamento che non superano i 100 euro o ne sono state fatte al massimo cinque consecutive.

Un’altra deroga si basa sull’analisi di rischio: se l’operazione viene considerata poco rischiosa, l’autenticazione forte non verrà richiesta.

Come viene classificata un’operazione a basso rischio? Devono verificarsi queste condizioni: l’operazione non supera i 500 euro, viene classificata entro il tasso di frode rilevato per la banca che fa il pagamento e si deve trattare di un’operazione dall’ammontare non anomalo, con accesso da computer o altro dispositivo identificato e con luogo di spedizione della merce già noto.

Sarà inoltre possibile indicare alla banca o all’istituto di pagamento o Imel una lista di beneficiari di fiducia o di transazioni ricorrenti per i quali i pagamenti possono essere fatti senza autenticazione forte.

Per esempio se compriamo ricorrentemente da un sito di commercio elettronico che consideriamo molto affidabile, potremo indicarlo nella lista per non essere obbligati alla doppia autenticazione durante gli acquisti. Uno dei punti forti di Amazon, come si sa, è la possibilità di comprare con un semplice clic, avendo dato in precedenza il proprio assenso alla conservazione dei dati della carta di credito. Con la doppia autenticazione si perde questa comodità.

Possibili intoppi

Non è detto che vada tutto liscio, quando facciamo un acquisto online.
Lo strumento di pagamento viene bloccato se l’autenticazione per un pagamento fallisce per cinque volte di seguito.
In tutti i casi, prima del blocco permanente, il cliente sarà allertato. Inoltre se dopo l’autenticazione di un pagamento si rimane inattivi per più di cinque minuti, bisognerà autenticarsi nuovamente.
È anche bene ricordare che l’autorizzazione al pagamento si ottiene per un determinato ammontare: nel momento in cui la somma aumenta (nel caso, per esempio, dell’aggiunta di commissioni) l’autorizzazione non sarà più valida e l’autenticazione andrà ripetuta.

Sul sito della banca

Anche per le operazioni di home banking sono state previste deroghe. L’autenticazione forte non sarà necessaria se si accede al sito della banca solo per controllare il saldo del conto corrente o le operazioni eseguite negli ultimi 90 giorni.
Anche i bonifici a se stessi nella stessa banca, i cosiddetti giroconti, non necessiteranno di un’autenticazione forte.

Il PIN per i pagamenti contactless

Qualcosa è cambiato anche riguardo alle procedure di pagamento nei negozi fisici, in particolare per le operazioni contactless, che avvengono con il semplice avvicinamento della carta o dello smartphone al POS.
Fino ad oggi il limite di spesa al di sotto del quale non era necessario digitare il PIN era di 25 euro, in futuro il limite sarà innalzato a 50. Il PIN sarà però richiesto per qualsiasi pagamento se il totale dei pagamenti consecutivi senza PIN supera i 150 euro o se sono state già fatte cinque operazioni consecutive senza PIN.
A prescindere dall’ammontare, non verrà invece richiesto alcun PIN, quando le carte verranno utilizzate per pagare biglietti di trasporto o parcheggi su terminali incustoditi.
Il Comunicato Stampa della Banca d’Italia

DIFFUSO A CURA DEL SERVIZIO SEGRETERIA PARTICOLARE DEL DIRETTORIO E COMUNICAZIONE

Roma, 1 agosto 2019

Adozione delle procedure di autenticazione forte dei pagamenti online con carta

In linea con le decisioni assunte a livello europeo, la Banca d’Italia ha deciso di concedere maggior tempo all’industria finanziaria italiana per completare gli adeguamenti richiesti dalla normativa in tema di sicurezza delle transazioni online effettuate con carta di pagamento. La seconda direttiva sui servizi di pagamento (PSD2) e la connessa normativa attuativa fissano al 14 settembre 2019 la scadenza per l’adozione obbligatoria, da parte delle banche e degli altri prestatori di servizi di pagamento, di sistemi di autenticazione forte dei clienti, basati sull’utilizzo di almeno due fattori (es. password, impronta biometrica, certificato su smartphone, ecc..) per consentire alla clientela di effettuare in piena sicurezza l’accesso ai conti on line e l’esecuzione dei pagamenti elettronici.

In considerazione della complessità degli adeguamenti, particolarmente rilevanti nel campo dei pagamenti online con carta, e della necessità di un coinvolgimento attivo degli utenti, il 21 giugno scorso la European Banking Authority (EBA) ha riconosciuto alle autorità nazionali la possibilità di concedere ulteriore tempo, rispetto al 14 settembre, per consentire il completamento degli interventi e l’adozione dei nuovi strumenti di autenticazione da parte di tutti i clienti, con esclusivo riferimento alla suddetta categoria di pagamenti.

La Banca d’Italia, sentiti i principali operatori interessati – banche, circuiti di carte, centri servizi, associazioni di categoria degli utenti – anche nell’ambito di appositi incontri del Comitato Pagamenti Italia, ha ritenuto che una migrazione graduale possa ridurre fortemente i rischi di disservizi nei pagamenti online con carta, evitando soluzioni di continuità delle transazioni in settori economici vitali come il commercio elettronico. L’Istituto ha pertanto deciso di concedere una proroga per un periodo limitato, sulla base del termine massimo che sarà definito dall’EBA e successivamente comunicato al mercato.

Gli intermediari che vorranno avvalersi di tale proroga dovranno presentare un dettagliato piano di migrazione, che includa anche iniziative di comunicazione e di preparazione della clientela, sia lato esercenti, sia lato titolari di carte.
Durante il periodo di migrazione i pagamenti effettuati senza autenticazione forte potranno continuare a essere inviati e accettati secondo le attuali modalità, avendo tuttavia presente l’immediata applicabilità delle regole di imputazione delle responsabilità, in caso di frodi, alle transazioni prive dei requisiti di sicurezza richiesti dalla normativa.
Divisione Stampa e relazioni esterne – Banca d’Italia e-mail: stampabi@bancaditalia.it tel.: 06.4792.3200.

Share.

Leave A Reply