Norme

PSD2 e cybersecurity, Banca d’Italia: “Queste le regole che proteggono la nuova fase dei pagamenti”

L’evoluzione del sistema dei pagamenti è intrinsecamente legata a quella tecnologica. L’innovazione agevola l’utente finale ma espone a dei rischi. La direttiva PSD2 e i documenti a corredo regolamentano la protezione da eventuali minacce e vulnerabilità e la gestione da possibili attacchi al sistema

14 Nov 2017
Domenico Gammaldi

direttore superiore Servizio Supervisione su mercati e sistema dei pagamenti – Banca d’Italia

pagamenti_173749448

L’evoluzione del sistema dei pagamenti, che è un’economia di rete, è intrinsecamente legata all’evoluzione tecnologica per le opportunità che offre per la definizione di nuove infrastrutture, nuovi processi e nuovi strumenti; anche il recente dibattito sulle Fintech, che il Financial Stability Board definisce pragmaticamente come ‘technologically enabled financial innovation that could result in new business models, applications, processes or products with an associated material effect on financial markets and institutions and the provision of financial services’, vede richiamare quale ambito applicativo ricorrente gli strumenti e i servizi di pagamenti.

Esiste sempre tuttavia un delicato equilibrio fra innovazione tecnologica e regole in quanto queste ultime, nel tener conto delle nuove potenzialità, non possono ridurre le tutele per le quali sono state definite; difatti spesso il dibattito si concentra sulla “regola”, dimenticando la ratio sottostante che è volta a presidiare un rischio per l’impresa, il consumatore, la società nel suo insieme.

Negli anni recenti l’innovazione tecnologica nel sistema dei pagamenti si è sviluppata per rispondere ai nuovi paradigmi dell’economia digitale in cui i modelli di servizio richiedono pagamenti senza soluzione di continuità nel tempo e nello spazio, prescindendo dalla localizzazione del venditore e del consumatore.

La tecnologia consente l’offerta di nuove soluzioni, sia in una dimensione infrastrutturale sia nell’interazione venditore-consumatore: in questo percorso evolutivo va peraltro salvaguardata la “fiducia” nella soluzione di pagamento che, se venisse meno, avrebbe effetti rilevanti non solo sulla relazione venditore-consumatore ma sul sistema economico nel suo complesso.

In tale prospettiva il regolatore è intervenuto, ed interviene, sia in una dimensione sistemica, come nel caso dei richiami al rischio cyber, sia in quella più diretta a tutela del consumatore, a cui si ascrivono tutte le iniziative in tema di sicurezza delle transazioni.

LEGGI TUTTO SULLA PSD2: NUOVI SERVIZI, TUTELE, INTERCHANGE FEE

Psd2 e cybersecurity

Per il mercato europeo, il tema della sicurezza delle transazioni trova fondamento nella direttiva sui servizi di pagamento, la c.d. PSD2[1], che troverà applicazione nei prossimi mesi, e, in particolare, nei Regulatory Technical Standards emessi dall’EBA in materia di strong customer authentication, cui si affiancano Linee guida sulla sicurezza preventiva per limitare la vulnerabilità dei processi, sulla gestione degli incidenti su larga scala e sull’analisi ex-post delle frodi.

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Cybersecurity

Va peraltro rilevato che, mentre sul primo documento si è avuta una forte attenzione da parte degli operatori, forse perché definisce il perimetro delle modalità operative delle cc.dd. terze parti (third party providers – TPP[2]), realtà che trovano un loro inquadramento regolamentare con la PSD2 e costituiscono un elemento di innovazione nel mercato dei pagamenti, minore attenzione sembra sia stata posta sugli altri, ancorché solo una lettura unitaria dei quattro documenti offra una visione complessiva del tema “sicurezza” come declinato nella PSD2.

Il documento su Operational and Security Risks[3] richiede agli intermediari la messa a punto di una serie di misure di sicurezza di natura preventiva (risk management, protection/detection degli asset, Business Continuity); nell’impostazione, tipica delle linee guida, fissa regole e standard rifacendosi a best pratices ampiamente diffuse tra gli operatori che andranno attuate nei diversi ordinamenti nazionali tramite un meccanismo di comply or explain[4].

Il secondo documento[5] definisce Regulatory Technical Standard (RTS), da adottarsi tramite un regolamento della Commissione europea e quindi direttamente applicabili negli Stati Membri, e riguarda le modalità di autenticazione del cliente e di comunicazione sicura con i TPP. Per l’autenticazione si richiede l’uso di procedure di autenticazione forte a due fattori con elementi dinamici, in maniera che – se questi fossero catturati durante la fase autorizzativa del pagamento – non potrebbero essere usati per attivare pagamenti fraudolenti verso altri beneficiari (de-sensibilizzazione delle credenziali utente). Viene inoltre regolamentato dal punto di vista tecnico l’accesso dei TPP ai conti di pagamento; viene richiesto alla banca di aprire una interfaccia tecnica operativa ai TPP, documentata e con adeguati requisiti prestazionali; ai TPP invece viene richiesta la dichiarazione della propria identità (come soggetti finanziaria con licenza) in fase di connessione alla interfaccia, attraverso la presentazione di certificati digitali a norma eIDAS, protezione dei dati sensibili e funzioni di sicurezza a protezione delle sessioni di colloquio con la banca cui si accede.

Le modalità di autenticazione forte richiesta per l’utente che si collega da remoto (SCA con Dynamic Linking) consentono la gestione delle credenziali utente anche con l’interposizione dei TPP senza rischi di compromissione della operazione dispositiva in corso.

Il documento sull’Incident Reporting[6] affronta il tema della gestione degli incidenti di sicurezza rilevanti che possono determinare la perdita di dati sensibili, funzionali per l’avvio di azioni fraudolente, e pone le basi per un più efficace monitoraggio e una pronta reazione delle autorità a eventi malevoli o accidentali per ridurre la propagazione degli eventi nel sistema e mettere a fattor comune informazioni utili per analisi di sicurezza. Per la segnalazione sono definiti due livelli di gravità (Lower impact, Higher impact) rispetto a varie dimensioni di impatto (es: numero delle transazioni coinvolte, possibili perdite, reputazione, etc..); l’evento è giudicato rilevante, e quindi da segnalare (major incident), o in caso di elevato impatto su una dimensione oppure in presenza di impatto minore su almeno tre dimensioni.

Completa il panorama delle attività dell’EBA a presidio della sicurezza, nell’ambito dei lavori per la PSD2, il documento per il Fraud Data Reporting[7], che definisce il quadro dell’infosharing sulle frodi sugli strumenti di pagamento che i PSP devono effettuare nei confronti delle autorità nazionali in una logica di monitoraggio del fenomeno e di analisi dei trend.

Questa visione d’insieme delle diverse attività condotte dall’EBA pone in risalto la forte attenzione delle autorità al presidio della fiducia su cui si fondano le relazioni commerciali e finanziarie tra le parti che, per il carattere di economia di rete del mercato dei pagamenti, deve vedere coinvolti in un unico disegno tutti gli attori del mercato digitale.

[1] Direttiva (UE) 2015/2366 del 25 novembre 2015, relativa ai servizi di pagamento nel mercato interno.
[2] Si tratta dei soggetti che prestano servizi di disposizione di ordine di pagamento (‘un servizio che dispone l’ordine di pagamento su richiesta dell’utente di servizi di pagamento relativamente a un conto di pagamento detenuto presso un altro prestatore di servizi di pagamento’) e servizi di informazione sui conti (‘un servizio online che fornisce informazioni consolidate relativamente a uno o più conti di pagamento detenuti dall’utente di servizi di pagamento presso un altro prestatore di servizi di pagamento o presso più prestatori di servizi di pagamento’).
[3] Le Draft Guidelines on the security measures for operational and security risks of payment services under PSD2 sono state poste in consultazione fino al 7 agosto 2017 e il relativo documento è disponibile al seguente link: https://www.eba.europa.eu/documents/10180/1836621/Consultation+Paper+on+the+security+measures+for+operational+and+security+risks+of+payment+services+under+PSD2+%28EBA-CP-2017-04%29.pdf.
[4] Le autorità competenti sono infatti tenute a notificare all’EBA la rispondenza del proprio quadro regolamentare alle linee-guida ovvero l’intenzione di adeguare l’ordinamento interno alle stesse. Qualora decidessero di non volerle attuare, devono fornire all’EBA adeguata motivazione circa tale decisione.
[5] La versione finale dei Regulatory Technical Standards on strong customer authentication and secure communication under PSD2 era stata trasmessa dall’EBA alla Commissione europea nel mese di febbraio 2017. La Commissione ha apportato alcune modifiche al testo, cui l’EBA ha risposto con la pubblicazione di una Opinion il 29 giugno 2017 (https://www.eba.europa.eu/documents/10180/1894900/EBA+Opinion+on+the+amended+text+of+the+RTS+on+SCA+and+CSC+%28EBA-Op-2017-09%29.pdf). Al momento si è in attesa della sottoposizione del testo finale da parte della Commissione al Consiglio e al Parlamento europeo, che dovranno approvare il documento entro 3 mesi (scrutiny period).
[6] Il documento finale, Guidelines on major incident reporting under PSD2, è stato pubblicato il 27 luglio 2017 e sono in corso le traduzioni nelle diverse lingue ufficiali dell’Unione; dal momento della pubblicazione delle versioni tradotte, scatterà il termine dei due mesi richiesti per il già citato processo di comply or explain da parte delle autorità nazionali competenti  (https://www.eba.europa.eu/documents/10180/1894900/EBA+Opinion+on+the+amended+text+of+the+RTS+on+SCA+and+CSC+%28EBA-Op-2017-09%29.pdf).
[7] Sul documento Draft Guidelines on fraud reporting requirements under Article 96(6) of Directive (EU) 2015/2366 (PSD2) si è conclusa lo scorso 3 novembre una pubblica consultazione; il documento è disponibile al seguente link: https://www.eba.europa.eu/documents/10180/1917559/Consultation+Paper+on+the+Guidelines+on+fraud+reporting+under+PSD2+%28EBA-CP-2017-13%29.pdf.

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4