Lo scorso marzo sono stati pubblicati sul sito dell’Autorità Bancaria Europea (Abe) gli “Orientamenti finali sulla sicurezza dei pagamenti via internet” con cui si vuole aumentare il livello di sicurezza dei pagamenti fatti via internet, imponendo ai prestatori di servizi di pagamento requisiti minimi comuni su base europea. Il documento replica e rafforza le raccomandazioni della Bce su questo tema. E la Banca d’Italia ha lanciato una consultazione per il recepimento integrale degli orientamenti dell’Abe nell’ordinamento italiano.
Con l’emanazione di questi orientamenti, l’Autorità bancaria europea vuole aumentare la sicurezza dei pagamenti effettuati attraverso il canale Internet. Come sintetizza Bankitalia, gli orientamenti prevedono fra l’altro obblighi rafforzati di verifica dell’identità del cliente (“autenticazione forte”), per l’avvio di un’operazione di pagamento, nonché per l’accesso ad informazioni sensibili; l’imposizione di limiti ai tentativi di login/accesso ad aree riservate nonché di limiti alla durata delle sessioni di lavoro; l’adozione di meccanismi di monitoraggio dell’operatività, al fine di prevenire, identificare, bloccare eventuali operazioni fraudolente; la predisposizione di specifici strumenti di mitigazione dei rischi, anche attraverso l’adozione di livelli di controllo multipli; la messa a disposizione del cliente di servizi di assistenza per promuovere un utilizzo consapevole del canale internet. Tutti questi orientamenti si applicherebbero ai pagamenti fatti via internet, ai pagamenti con carta, ai bonifici, all’emissione o l’emissione o modifica di mandati elettronici di addebito diretto, al trasferimento di moneta elettronica tra due conti di moneta elettronica.
Per Cashlessway, associazione che promuove strumenti digitali di pagamento, il punto centrale è che la Banca d’Italia propone regole per l’e-commerce più restrittive di quelle europee. “La Banca d’Italia si appresta a rendere obbligatorie le regole di sicurezza europee per i pagamenti via internet contenute nelle EBA Guidelines on the security of internet payments che prevedono come regola la cosiddetta autenticazione forte (strong authentication) per le transazioni su internet, salvo consentire forme alternative di autenticazione nel caso di transazioni a basso rischio – spiega Cashlessway – Le Guidelines hanno contenuto quasi identico alle ECB Recommendations on the security of internet payments del 2013, già recepite dalla Banca d’Italia nelle disposizioni di vigilanza applicabili alle banche, con la differenza però che sono obbligatorie: tutti i PSP italiani saranno tenuti a rispettare le Guidelines una volta recepite nell’ordinamento italiano. L’unica eccezione è costituita dalle cosidette migliori prassi (best practices) contenute nell’allegato 1 alle Guidelines, la cui osservanza non è obbligatoria. La Banca d’Italia ha recentemente indetto una consultazione pubblica sul recepimento in Italia delle Guidelines: come esplicitato nel proprio documento per la consultazione, si propone di rendere obbligatorie in Italia non solo le disposizioni delle Guidelines di carattere cogente, ma anche le best practices”.
Per l’associazione alcune di queste previsioni richiedono nuovi investimenti o sono tecnicamente difficili da realizzare. E a differenza di quanto sta accadendo in altri stati europei, prosegue Cashlessway, l’industria dei pagamenti italiani si troverebbe in una situazione di svantaggio competitivo rispetto ai concorrenti europei perché soggetta a regole più restrittive.
“Chiaramente le intenzioni della Banca d’Italia sono di rendere le transazioni più sicure e diminuire il numero di frodi, a vantaggio del nostro Paese – scrive Andrea De Matteis, Membro Advisory Board di CashlessWay – Tuttavia, lo stesso risultato può essere conseguito attraverso soluzioni alternative che non mettano a rischio il tasso di conversione delle transazioni. Il cd. approccio basato sul rischio (risk-based approach), per esempio, utilizza una serie di informazioni in grado di minimizzare il rischio di frodi (device fingerprint, geolocalizzazione, tipologia di transazione, di esercente o di prodotto, o altre informazioni sulle abitudini e i comportamenti del pagatore). Tali soluzioni alternative sono sempre più tecnologicamente avanzate ed efficaci e hanno il vantaggio di garantire transazioni frictionless”. L’entrata in vigore delle Guidelines, inizialmente prevista per il 1° agosto 2015, è stata posticipata a data da definirsi. E gli operatori del mercato dei pagamenti possono inviare alla Banca d’Italia le proprie osservazioni entro il 12 ottobre.
