L’EBA chiarisce l’applicazione dei requisiti in materia di autenticazione forte del cliente ai portafogli digitali

In data 31 gennaio 2023, l’Autorità bancaria europea (EBA) ha pubblicato tre Q&A (Questions and Answers) che, congiuntamente ad altre tre Q&A pubblicate in precedenza dalla medesima autorità, chiariscono in maniera completa l’applicazione dell’autenticazione forte del cliente (strong customer authentication, SCA) ai portafogli digitali, ai sensi della direttiva sui servizi di pagamento (PSD2). Il presente comunicato stampa fornisce una sintesi delle suddette Q&A e, pertanto, mira ad approfondire la comprensione dei requisiti applicabili da parte di tutte le parti interessate nel mercato.

Le sei Q&A menzionate chiariscono l’applicazione della SCA all’inserimento di una carta di pagamento in un portafoglio digitale nonché alla disposizione di operazioni di pagamento con versioni digitalizzate di una carta di pagamento. Inoltre, specificano i requisiti applicabili all’esternalizzazione dell’applicazione della SCA ai fornitori di portafogli digitali.

Per quanto riguarda l’inserimento di una carta di pagamento in un portafoglio digitale, ad esempio, la Q&A 5622 chiarisce che tale processo porta alla creazione di un token/una versione digitalizzata della carta di pagamento e richiede l’applicazione dell’autenticazione forte del cliente (SCA) ai sensi dell’articolo 97(1)(c) della PSD2, poiché tale azione potrebbe comportare il rischio di frode o altri abusi. Applicando la SCA, il prestatore di servizi di pagamento (payment service provider, PSP) verifica, a distanza, che l’utente di servizi di pagamento (payment service user, PSU) è l’utente legittimo della carta di pagamento e associa il PSU e la versione digitalizzata della carta di pagamento al relativo dispositivo.

La Q&A 6141 aveva già chiarito che il PSP che ha emesso la carta di pagamento (l’emittente) è tenuto ad applicare la SCA nell’aggiungere una carta di pagamento a un portafoglio digitale ed è responsabile della fornitura dei rispettivi elementi della SCA al PSU. L’emittente è altresì tenuto ad assicurare che siano in atto adeguate misure di sicurezza, per proteggere la riservatezza e l’integrità delle credenziali di sicurezza personalizzate del PSU.

Passando ora all’esternalizzazione, nel complesso le Q&A chiariscono che gli emittenti possono esternalizzare la fornitura e la verifica degli elementi della SCA a un soggetto terzo (ad esempio sottoscrivendo accordi contrattuali con tale soggetto), come un fornitore di portafogli digitali, in conformità ai requisiti generali in materia di esternalizzazione – compresi i requisiti previsti dagli orientamenti dell’EBA sugli accordi di esternalizzazione. Tuttavia, la responsabilità per la conformità ai requisiti in materia di SCA non può essere esternalizzata e gli emittenti rimangono pienamente responsabili della conformità ai requisiti contenuti nella PSD2 e nelle norme tecniche di regolamentazione (RTS) su SCA e CSC (common and secure communication, comunicazione comune e sicura).

In relazione alla disposizione di operazioni di pagamento elettronico, la Q&A 5622 chiarisce che anche la disposizione di operazioni con la versione digitalizzata della carta di pagamento prevede l’applicazione della SCA, ai sensi dell’articolo 97(1)(b) della PSD2, a meno che non si applichi una delle specifiche esenzioni dall’applicazione della SCA stabilite nelle suddette RTS.

Infine, la Q&A 6145 precisa che lo sblocco di un cellulare utilizzando biometriche (ad esempio l’impronta digitale) o con un PIN/una password non può essere considerato un elemento valido ai fini della SCA per aggiungere una carta di pagamento a un portafoglio digitale, se il meccanismo di blocco dello schermo del dispositivo mobile non è un processo controllato dall’emittente. La Q&A 6464 chiarisce inoltre che anche l’emissione di un nuovo token a sostituzione di uno esistente, nonché il relativo collegamento a un dispositivo/utente, richiede l’applicazione della SCA.

Il modulo “REN+” della suite TigreArm permette di consultare la traduzione delle Q&A in italiano.