La BCE pubblica nuove regole per la sicurezza dei Mobile Payments

Roberto Garavaglia

Quando la BCE si esprime, lo fa con sempre con puntualità e precisione.
Ecco dunque, come annunciato nei mesi precedenti, l’avvio della consultazione pubblica su un nuovo documento sviluppato dal SecuRe Pay Forum^[1], che ha ad oggetto le raccomandazioni sulla sicurezza e l’autenticazione delle transazioni realizzate con strumenti di Mobile Payment.

Il testo, su cui è possibile formulare osservazioni e commenti entro il 31 gennaio 2014, si rivolge ai prestatori di servizio di pagamento (PSP)^[2] previsti nell’attuale direttiva sui servizi di pagamento (PSD) ed alle autorità di controllo degli schemi di strumenti di pagamento, che intendono offrire un servizio in mobilità. Tuttavia, attesa l’entrata in vigore delle specifiche proposte, prevista per il 1° febbraio 2017, è altresì corretto ritenere che l’ambito soggettivo e quello oggettivo delle nuove regole, sia parimenti applicabile ai nuovi soggetti TPP (Third Party Payment provider) ed al nuovo servizio di Payment Initiation, previsti dalla PSD2, ove (e se) implicati in una transazione di mobile payment.

L’istituzione di raccomandazioni di alto livello per la sicurezza dei pagamenti in mobilità, armonizzate in un contesto Europeo, è prevista al fine di mitigare le frodi, contribuendo al tempo stesso a raffozzare la fiducia dei consumatori nelle tecnologie mobili . La fiducia nel Mobile Payment è sempre più importante , soprattutto alla luce di una progressiva convergenza fra due mondi, quello online e quello brick & mortar, che genera valore su entrambe le filiere sottese.
Nel mondo degli esercizi commerciali fisici (brick & mortar), i pagamenti mobili possono rappresentare un’alternativa ai contanti, agli assegni ma anche ai pagamenti “card present” (quali, ad esempio, quelli realizzati con carte contactless). Per quest’ultima categoria, si è raggiunto un elevato livello di sicurezza in tutta Europa, grazie alla migrazione alle specifiche EMV, che consentono un’autenticazione forte del cliente. Per i pagamenti mobili nel punto di vendita, un livello equivalente di sicurezza dovrebbe parimenti essere raggiunto.

Le raccomandazioni incluse nel documento proposto dalla BCE, riguardano essenzialmente tre categorie di prodotti:

1. Mobile Wallet (indipendentemente dalla tecnologia di prossimità impiegata per iniziare un pagamento);
2. Mobile Proximity Payment (ad esempio usando la tecnologia NFC);
3. P2P payment (effettuato, per esempio, tramite l’impiego di SMS, USSD, piuttosto che tecnologia vocale).

Nei primi due casi, ciò che rileva è la presenza di una specifica applicazione installata sul telefono cellulare, la cui distribuzione e inizializzazione, è altresì oggetto di attenzione delle regole.
Per quanto concerne il Mobile Wallet, le specifiche contemplano anche la fase di registrazione della carta di pagamento associata allo strumento.

Sono invece esclusi dall’ambito di applicazione:

• i pagamenti effettuati navigando con il browser del cellulare, che assumono – ovviamente – la connotazione di un pagamento internet effettuato in mobilità^[3];
• le soluzioni di Mobile POS;
• i prodotti “stickers”, quali ad esempio quelli che, pur abilitando la tecnologia NFC, non interagiscono (mai) con il telefonino;
• i pagamenti effettuati con il credito telefonico, nei limiti di deroga definiti dalla proposta di revisione della PSD (la c.d. PSD2), diffusa dalla CE il 24 luglio 2013;
• i sistemi di regolamento e compensazione.

Le 14 raccomandazioni inserite nel fascicolo posto in consultazione pubblica, sono organizzate in 3 categorie di riferimento:

1 – GENERAL CONTROL AND SECURITY ENVIRONMENT
In questa categoria sono raggruppate quelle specifiche riferite alla piattaforma di Mobile Payment, che impongono al provider un’adeguata verifica dei propri sistemi di controllo della sicurezza (governance, risk identification & assessment, monitoring & reporting, …);

2 – SPECIFIC CONTROL AND SECURITY MEASURES FOR MOBILE PAYMENTS
In questa categoria sono incluse le raccomandazioni che si applicano a tutte le fasi del processo di un pagamento in mobilità:

a. accesso ed uso al servizio (customer information, KYC rules, enrolment , strong authentication);
b. avvio della transazione di pagamento;
c. autorizzazione;

e che riguardano aspetti quali il monitoraggio della transazione e la protezione dei dati sensibili;

3 -CUSTOMER AWARENESS, EDUCATION AND COMMUNICATION
In quest’ultima categoria, trovano spazio quelle raccomandazioni che il gestore di un servizio di pagamento deve seguire, al fine di informare opportunamente il proprio cliente-utilizzatore, rendendolo edotto sulle misure da adottare per un uso corretto e sicuro dello strumento; nel medesimo raggruppamento, si ritrovano altresì le linee guida che devono essere seguite, per permettere al cliente di verificare la transazione di pagamento iniziata od eseguita.

Una raccomandazione particolarmente rilevante compare nella seconda categoria: Strong customer authentication.
I Mobile Payment Service Providers, devono prevedere il supporto e la messa a disposizione di sistemi di autenticazione multifattore^[4], ossia l’autenticazione dell’utente deve avvenire utilizzando due o più fattori di autenticazione tra loro indipendenti, in modo che la compromissione dell’uno non comprometta anche l’altro. Tale previsione, tuttavia, può essere derogata per i cc.dd. “micropagamenti”, come definiti dalla PSD (2007/64/CE) agli Articoli 34(1) e 53(1)^[5].

Su questo punto ritengo necessario fare una mia personale considerazione (altrettanto valida per qualsiasi regime di deroghe previsto da qualunque normativa).
La possibilità di venire meno a taluni obblighi e responsabilità, deve potersi intendere non già e solo come attenuazione di un vincolo di conformità, ma anche come opportunità offerta ai singoli player, di sviluppare differenti dinamiche competitive, che l’utilizzatore/cliente finale premierà considerandole più virtuose. In tal senso, credo sia altrettanto importante per un servizio di micropagamenti in mobilità, potenzialmente rivolto ad un bacino di utenti vasto ed eterogeneo, valutare con attenzione le diverse proposizioni che saranno offerte dagli intermediari di pagamento (siano essi soggetti bancari o non bancari), laddove una differente attenzione agli aspetti giuridicamente derogabili, può diversamente condizionare il comportamento d’acquisto ed influenzare quindi il successo dell’iniziativa.

Inoltre, il particolare regime di dispense previsto per micropagamenti, permette di osservare come lo sviluppo di un mercato degli strumenti dedicati, nello scenario economico del Mobile Payment, possa caratterizzarsi per alcuni importanti fattori, che potrebbero indirizzare e influenzare significativamente sia l’offerta (agendo sui costi industriali sopportati dai prestatori di pagamento) sia, indirettamente, la domanda. Fra questi, a mio avviso, rileva il minore costo industriale, ossia riduzione del c.d. “Costo di regolamentazione” per singola transazione di micropagamento e per strumento dedicato. Un costo inferiore della transazione finanziaria, potrebbe essere più facilmente compensato (e, in parte sussidiato) da altri attori, anche non di pagamento, che concorrono all’ecosistema mobile, ad esempio quelli che offrono servizi a valore aggiunto, come l’m-couponing e l’m-loyalty.

Su queste riflessioni che afferiscono i micropagamenti mobili (come su altre), sarà opportuno attendere l’esito della consultazione pubblica, il termine della quale è previsto – come ricordavo all’inizio di questo articolo – per il 31 gennaio 2014.
Come dire … le regole sono proposte, ma sta al mercato accoglierle opportunamente.

NOTE

[1] Il SecuRe Pay Forum è un organismo di cooperazione tra le Autorità di Sorveglianza e Vigilanza europee, costituito nel 2011 su iniziativa della BCE, volto ad approfondire le questioni di rilievo in materia di sicurezza dei pagamenti elettronici al dettaglio nella UE. Il mandato del Forum è sviluppare un corpus di conoscenze in materia, condiviso tra le autorità partecipanti ed emanare Raccomandazioni per le aree di maggior rischio. Ad oggi la BCE, tramite i lavori del SecuRe Pay Forum, ha emanato altri due documenti: Recommendations for the Security of Internet Payments (aprile 2012) indirizzato a tutti i prestatori di servizi di pagamento che dovranno trovare applicazione all’interno della regolamentazione nazionale entro il 1 febbraio 2015; Recommendations for “Payment Account Access” Services (gennaio 2013) sulla sicurezza dei servizi Internet forniti da soggetti che consentono al cliente di effettuare pagamenti accedendo al conto che il cliente stesso detiene presso una banca o altro prestatore di servizi di pagamento (servizi di accesso ai conti).

[2] Banche, Istituti di Pagamento, Istituti di Moneta Elettronica, Poste

[3] Per le quali valgono le raccomandazioni precedentemente diffuse dalla BCE “Recommendations for the Security of Internet Payments”, descritte nella nota 1

[4] Le metodologie di autenticazione forte si basano su una pluralità di fattori, fra cui: 1) qualcosa che l’utente conosce (p.e.: password/PIN); 2) qualcosa che l’utente possiede (p.e. smart card, token, OTP, SIM cellulare, Firma Digitale); 3) qualcosa che l’utente è (p.e.: caratteristiche biometriche). Fattori di diverso tipo possono essere combinati insieme per ottenere soluzioni di autenticazione “multifattore” in grado di elevare il livello complessivo di sicurezza

[5] Art. 4 – comma 1 del D.lgs 11/2010, ossia il decreto con cui è stata trasposta e recepita in Italia la PSD