skip to Main Content
+39 091-6260146 info@creditofinanzanews.it  

Pubblicate nuove norme tecniche per l'autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuriRegolamento delegato della Commissione 27 novembre 2017, n. 389 – Per quanto riguarda le norme tecniche di regolamentazione per l’autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri

Nella Gazzetta Ufficiale dell’Unione Europea dello scorso 13 marzo, è stato pubblicato il Regolamento delegato in commento che integra la Direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno (PSD2) per quanto riguarda le norme tecniche di regolamentazione per l’autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri.

I servizi di pagamento offerti elettronicamente dovrebbero essere prestati in maniera sicura, ricorrendo a tecnologie in grado di garantire l’autenticazione sicura dell’utente e di ridurre il più possibile il rischio di frode.

La procedura di autenticazione dovrebbe includere, in generale, meccanismi di monitoraggio delle operazioni al fine di rilevare i tentativi di utilizzo delle credenziali di sicurezza personalizzate di un utente dei servizi di pagamento che sono state perse, rubate o oggetto di appropriazione indebita e dovrebbe, altresì, garantire che l’utente dei servizi di pagamento sia l’utente legittimo, che, pertanto, acconsente al trasferimento di fondi e all’accesso alle informazioni sul suo conto attraverso un utilizzo normale delle credenziali di sicurezza personalizzate.

Inoltre, è necessario specificare i requisiti dell’autenticazione forte del cliente che dovrebbero essere applicati ogni volta che un pagatore accede al suo conto di pagamento online, dispone un’operazione di pagamento elettronico o effettua qualsiasi azione tramite un canale a distanza che possa comportare un rischio di frode nei pagamenti o altri abusi, imponendo la generazione di un codice di autenticazione che sia difficile da falsificare nella sua interezza o mediante la divulgazione di uno degli elementi sulla base dei quali il codice è stato generato.

Poiché i metodi utilizzati per commettere frodi sono in continua evoluzione, i requisiti dell’autenticazione forte del cliente dovrebbero consentire soluzioni tecniche innovative per fronteggiare l’emergere di nuove minacce per la sicurezza dei pagamenti elettronici.

Al fine di garantire che i requisiti stabiliti siano effettivamente attuati su base continuativa, è, inoltre, opportuno richiedere che le misure di sicurezza per l’applicazione dell’autenticazione forte del cliente e le sue esenzioni, le misure volte a tutelare la riservatezza e l’integrità delle credenziali di sicurezza personalizzate e le misure che stabiliscono standard aperti di comunicazione comuni e sicuri siano documentate, sottoposte a prove periodiche, valutate e controllate da revisori con competenze in materia di sicurezza informatica e pagamenti e indipendenti dal punto di vista operativo.

Il Regolamento in commento stabilisce i requisiti cui devono conformarsi i prestatori di servizi di pagamento ai fini dell’attuazione di misure di sicurezza che consentano loro di:

a) applicare la procedura dell’autenticazione forte del cliente conformemente all’articolo 97 della Direttiva (UE) 2015/2366;

b) esonerare dall’applicazione dei requisiti di sicurezza dell’autenticazione forte del cliente, a condizioni specifiche e limitate, sulla base del livello di rischio, dell’importo e della frequenza dell’operazione di pagamento e del canale di pagamento utilizzato per l’esecuzione dell’operazione;

c) proteggere la riservatezza e l’integrità delle credenziali di sicurezza personalizzate dell’utente dei servizi di pagamento;

d) stabilire standard aperti comuni e sicuri per la comunicazione tra i prestatori di servizi di pagamento di radicamento del conto, i prestatori di servizi di disposizione di ordine di pagamento, i prestatori di servizi di informazione sui conti, i pagatori, i beneficiari e altri prestatori di servizi di pagamento in relazione alla prestazione e all’uso dei servizi di pagamento in applicazione del Titolo IV della Direttiva (UE) 2015/2366.

Il Regolamento in commento si applica a decorrere dal 14 settembre 2019.

Consulta il testo integrale -> Regolamento UE 27 novembre 2017, n. 389

Back To Top