Conformità alla Direttiva sui servizi di pagamento (PSD2)

Nido Cyber Security > Conformità alla Direttiva sui servizi di pagamento (PSD2)

La soluzione Evrotrust è interamente in linea con la Direttiva 2015/2366, nota come PSD2, con particolare attenzione al rispetto dei requisiti di Strong Customer Authentication (SCA).

Nell’ambito di questa direttiva, i Payment Service Provider (PSP) sono tenuti a implementare misure di sicurezza per garantire la riservatezza e l’integrità delle credenziali di sicurezza personalizzate.

L’articolo 97 della PSD2 impone ai Payment Service Provider di autenticare gli utenti quando:

 1) accedono a un conto di pagamento online

2) avviano un’operazione di pagamento elettronico 

 3) Effettuano un’operazione mediante una modalità remota che potrebbe implicare un potenziale rischio di frode nei pagamenti o altri possibili abusi

La “Strong Customer Authentication” (SCA) è definita nell’articolo 4 (30) della PSD2, delineando un approccio avanzato alla sicurezza delle transazioni finanziarie. 

Secondo tale disposizione, l’autenticazione richiede l’utilizzo di due o più elementi classificati come segue:

Conoscenza: rappresentato da qualcosa che solo l’utente conosce, come una password. Questo livello di sicurezza garantisce la protezione attraverso l’accesso a informazioni esclusive.

Possesso: coinvolge qualcosa che l’utente possiede, come un token o un dispositivo. Questo elemento aggiunge un livello extra di sicurezza, basato sulla proprietà di un oggetto fisico o virtuale.

Inerenza: si basa su qualcosa che l’utente è, dimostrato attraverso caratteristiche fisiche uniche come impronte digitali o scansione del volto. Questo costituisce un’ulteriore strato di autenticazione, fondato sulla biometria.

In sintesi, la SCA sfrutta una combinazione sinergica di questi elementi, assicurando un processo di autenticazione forte e sofisticato, fondamentale per garantire la sicurezza nelle transazioni finanziarie.

L’RTS crea requisiti per l’applicazione dell’autenticazione a due o più fattori nel contesto della PSD2. 

Il telefono cellulare, utilizzato all’interno dell’identificazione gestita dalla soluzione Evrotrust, stabilisce un oggetto “noto” che i consumatori possiedono, creando un metodo di autenticazione a due fattori. La soluzione stabilisce una sicurezza biometrica, come le impronte digitali e il riconoscimento facciale.

 Questi metodi consentono alle organizzazioni finanziarie regolamentate di verificare con precisione l’identità di un utente che richiede l’accesso. La tecnologia Evrotrust, integrata dal fornitore di servizi di pagamento e fornita all’utente finale, soddisfa tutti questi requisiti. 

Si tratta di un metodo di autenticazione forte 2FA, che incorpora OTP e altri metodi dinamici per lo scambio di credenziali, prevede l’accesso multi-fattore di conoscenza biometrica e si basa sulla crittografia asimmetrica, basata su un servizio qualificato regolamentato. Il riferimento a tali servizi è previsto direttamente dal Regolamento delegato per l’attuazione della PSD2. In particolare, soddisfa i requisiti dell’articolo 29 che richiede, ai fini dell’identificazione, certificati qualificati per i sigilli elettronici e per i certificati qualificati per l’autenticazione dei siti web.