Che cosa cambia dopo il Provvedimento di Banca d’Italia che attua il titolo II della PSD? Garantire la sicurezza dei sistemi di pagamento è solo una questione di compliance e tecnologia, o può essere un valore differenziante per l’offerta di un servizio di pagamento? Il rapporto tra tecnologia, normativa ed evoluzione del mercato dei pagamenti è stato al centro del secondo appuntamento con la tavola rotonda PayLab, organizzata da AziendaBanca in collaborazione con Ingenico Italia
Quale ruolo può avere la normativa sullo sviluppo dei sistemi di pagamento? Regole stringenti sui sistemi da adottare per garantire la sicurezza delle transazioni e dei dati sono un inibitore o uno stimolo allo sviluppo di questo nuovo mercato? Di fronte a fenomeni come frodi di identità e phishing, qual è il giusto equilibrio tra la responsabilità dell’industria e quella del cliente? E in un mercato dei pagamenti sempre più globale, con competitor che sbarcano in Italia (magari anche grazie a internet) basandosi sulle normative più permissive di altri Paesi, non c’è il rischio che le nostre banche si trovino a dover competere da una posizione di svantaggio? Il tema dell’evoluzione normativa, e in particolare dello standard PCI e del provvedimento del luglio 2011 con cui Banca d’Italia ha dato attuazione al titolo II della PSD, è stato al centro della seconda tavola rotonda PayLab, organizzata da AziendaBanca e Ingenico Italia.
La tecnologia è solo uno dei fattori
I recenti cambiamenti normativi, e in particolare l’attuazione del titolo II, richiedono all’industria misure tecnologiche e organizzative non di poco conto, ma prevedono anche una spinta verso i cosiddetti “strumenti a elevata qualità sul profilo della sicurezza”, che abbassando notevolmente la responsabilità del cliente potrebbero aumentare la propensione all’uso del denaro elettronico. “Guardando al mercato dei pagamenti, afferma Luciano Cavazzana, Amministratore Delegato di Ingenico Italia, sono convinto che l’evoluzione non sia solo un problema tecnologico: la tecnologia è importante, ma non sufficiente: bisogna andare in profondità e ripensare i processi di business legati ai pagamenti. L’innovazione di un fornitore non basta se non c’è la volontà di sviluppare un mercato: gli annunci e i progetti all’estero stanno cambiando completamente lo scenario competitivo, e la normativa ha un impatto determinante per indirizzare le linee di sviluppo di questo settore. Quello che sta avvenendo oggi è ben diverso dalla migrazione al chip, perché oggi stanno cambiando gli stessi modelli di business. Pensiamo agli USA, con il lancio di Google Wallet a settembre, e dove Square che ha convenzionato, con un nuovo modello di business, 500mila merchant in un anno. I processi stanno diventando più veloci. Dobbiamo scegliere quale modello si adotterà nel nostro Paese per lo sviluppo dei mobile payment, se quello spagnolo, con accordi one-to-one tra una banca e una telco, o quello francese, con un accordo di sistema in cui banche e telco stanno lavorando insieme per migrare tutta la tecnologia verso i pagamenti mobile”.
Quale rapporto tra standard PCI e normativa nazionale
Il primo tema toccato nel corso della tavola rotonda è stato lo standard PCI DSS, pensato per essere applicato in diversi ordinamenti giuridici e, proprio per questo, strutturato su una serie di obiettivi di controllo, migliorabili da leggi e regolamenti a livello locale, regionale e di settore. “A proposito della PCI, va detto che si tratta di una serie di standard che non sostituiscono le normative vigenti, ma devono anzi essere sempre interpretate in base alle normative nazionali, afferma Gabriele Faggioli, Legale, Partner di ISL e membro della faculty del MIP-Politecnico di Milano. Alcuni aspetti infatti, se non visti alla luce della norma italiana, si traducono in un’attività sicura sì, ma pericolosa dal punto di vista dell’audit in quanto non conforme alle normative nazionali. Il Punto 8.5.10, ad esempio, fissa per le password una lunghezza minima di 7 caratteri: la normativa italiana prevede però un minimo di 8 caratteri. Questo requisito PCI non è quindi conforme con le leggi nazionali. Anche il punto 9.1.1, che prevede videocamere e meccanismi di controllo dell’accesso per i luoghi in cui sono depositati dati sensibili, chiede di mantenere le registrazioni per almeno 3 mesi, mentre in Italia il Garante per la Privacy impone tempi molto più stringenti, per non parlare del contrasto con lo Statuto dei lavoratori per quanto riguarda la videosorveglianza sul luogo di lavoro”.
L’importanza delle relazioni contrattuali
Molto ampio, invece, il dibattito intorno al provvedimento di Banca d’Italia che ha attuato il titolo II della PSD. “E’ un testo che fissa alcuni punti importanti, commenta Faggioli. Viene ribadita, ad esempio, l’esistenza di responsabilità sottese agli utilizzi dei sistemi di pagamento riconducibili alla condotta delle parti (e quindi anche dei clienti), tanto a livello normativo quanto a livello contrattuale. Quello delle relazioni contrattuali con i clienti è un tema particolarmente importante: secondo la nostra percezione i testi contrattuali sono spesso obsoleti, scarsamente manutenuti, e le disposizioni a livello normativo e attuativo non vengono spesso inserite in modo coerente. Importante è sottolineare che Banca d’Italia ribadisce la necessità di ricordare ai clienti, in tutti i momenti di interlocuzione con gli stessi, la necessità e l’importanza di un comportamento diligente anche nel rispetto delle disposizioni contrattuali quando si utilizzano sistemi di pagamento”.
Una condotta diligente contro il phishing
I Prestatori di Servizi di Pagamento (PSP) devono richiamare nelle clausole contrattuali la necessità di assumere un comportamento diligente nell’utilizzo dei codici, comunicando l’esistenza di un rischio in questo ambito. “Nel Paragrafo 2 Si dice che quando uno strumento prevede l’utilizzo di dispositivi personalizzati di sicurezza (es. PIN e password) è fatto obbligo all’utilizzatore di mettere in atto gli accorgimenti idonei al fine di preservarne la riservatezza onde evitare gli utilizzi non autorizzati degli strumenti di pagamento in questione”.Banca d’Italia sottolinea come sia necessario che l’utilizzatore ottenga l’autorizzazione del proprio prestatore di servizi di pagamento prima di fornire a terzi i codici per l’utilizzo del servizio o dello strumento di pagamento: in tal modo è possibile per il prestatore individuare le richieste dei codici di sicurezza provenienti da soggetti che simulino la legittimità della richiesta medesima, come nel caso del phishing. Qualora il contratto tra utilizzatore e prestatore di servizi di pagamento faccia divieto al primo di comunicare a terzi i codici di sicurezza, la violazione di tale divieto integra una condotta negligente da parte dell’utilizzatore, non consentendogli di avvalersi dell’esenzione di responsabilità prevista per legge”. Al contrario, il rispetto degli obblighi di condotta da parte dell’utilizzatore lo esime per qualunque utilizzo non autorizzato di servizi e strumenti di pagamento: è quindi essenziale costruire contratti che attribuiscono una serie di obbligazioni sulle misure idonee e le responsabilizzazioni.
Dimostrare l’autorizzazione all’utilizzo
Altro punto importante è l’articolo 10, che impone al prestatore di servizi l’onere di dimostrare l’autorizzazione all’utilizzo dello strumento di pagamento, quando il cliente neghi di avere autorizzato l’operazione. “Il prestatore ha comunque l’obbligo di verificare che non sussistano elementi tali da non consentire di ritenere certa l’autorizzazione, commenta Faggioli, pensiamo ad esempio all’utilizzo dello stesso strumento, in breve tempo, su terminali diversi a grande distanza. Analogamente, il PSP deve anche consentire all’utilizzatore di poter bloccare tempestivamente lo strumento di pagamento in caso di furto o di smarrimento”.
Come definire la sicurezza “elevata”?
Un nodo aperto è quello dei servizi di pagamento in internet. Il testo del provvedimento attuativo impone infatti che “i prestatori di servizi di pagamento aderiscano a piattaforme tecniche che consentano ai propri clienti di effettuare operazioni di pagamento in condizioni di elevata sicurezza”. “E’ una definizione vaga, nota Fabio Guasconi, Team Manager di @Mediaservice.net, che apre a molte interpretazioni sia dal punto di vista qualitativo, sia dal punto di vista tecnico, per non parlare di un eventuale magistrato che si trovi a doversi esprimere su questo punto. Banca d’Italia sta valutando l’ipotesi di definire una policy che spieghi in che cosa consistono i diversi livelli di sicurezza, e nel documento si riscontra un riferimento ai requisiti di sicurezza definiti in ambito europeo. Anche in ambito internazionale si sta lavorando a standard sugli ambiti di sicurezza, ma al momento mancano definizioni su che cosa può essere ritenuto di media, alta o elevata sicurezza. Più opportuno, per quanto certamente più complesso, sarebbe che chi emette delle normative fornisca indicazioni più precise, nel solco di quanto fatto da PCI con lo standard DSS”.
Risk management per la sicurezza delle informazioni
Il provvedimento contiene anche richieste specifiche nella gestione del rischio, chiedendo ai PSP di assicurare che le soluzioni tecniche siano presidiate, gestendo i rischi associati alle tecnologie, come malfunzionamenti, difetti nelle procedure software o guasti dei componenti hardware, ma anche sabotaggi, tentativi di attacco o di frode. “Si tratta di un risk management ‘classico’ dal punto di vista della sicurezza delle informazioni, commenta Guasconi. Banca d’Italia ha elencato una serie di minacce da identificare, monitorare e nel caso mitigare. E’ importante notare che i PSP devono anche definire dei rapporti contrattuali con fornitori esterni coerenti con i vincoli posti a loro carico. Il tutto dovrebbe essere adeguatamente collegato ai processi di controllo interno e ai piani di continuità operativa già richiesti da altri provvedimenti”.
Quali standard per i mobile payments?
E il tema degli standard di sicurezza diventa particolarmente attuale pensando alla definizione di regole per i mobile payments. “ISO/IEC non si è ancora mossa in questo senso mentre nell’ambito PCI, aggiunge Guasconi, andare a normare e definire regole specifiche su come svolgere alcune operazioni incontra grandi difficoltà a causa della continua evoluzione tecnologica. L’ambito mobile rientra perfettamente in questa casistica, in quanto nel giro di due anni siamo passati da un e-commerce che passava soprattutto dal pc fisso ad acquisti crescenti effettuati con smartphone sempre più evoluti e che sfruttano paradigmi diversi dal web tradizionale come ad esempio le applicazioni.
Un mercato capace di autoregolarsi
In assenza di standard definiti per legge, il mercato si è spesso autoregolato, in base all’evoluzione del fenomeno delle frodi e delle strategie della criminalità. “L’esperienza acquisita nel corso degli anni, afferma Luciano Cavazzana, ha portato il mercato ad adottare regole che sono autonome, ad esempio, da quelle del Consorzio PagoBancomat. Possiamo dire che il mercato si è autoregolamentato sulla base delle esperienze, positive e negative, e degli attacchi subiti. I dubbi sulla sicurezza e sugli standard non possono che essere forti nel passare da qualcosa di estremamente noto come l’utilizzo di una carta presso POS e ATM al pagamento con un wallet su device mobile”.
Coniugare sicurezza e customer experience
Nel considerare la sicurezza delle transazioni bisogna poi tenere ben presente una serie di elementi relativi alla customer experience. “Già nel caso delle transazioni on line, precisa Stefania Gentile, Responsabile Carte di Pagamento di Intesa Sanpaolo, le esperienze d’acquisto in sicurezza dei titolari di carte di pagamento sono molto diverse a secondo degli operatori bancari. La generazione dei codici Secure Code di Mastercard e Verified by Visa, a titolo di esempio, non sempre avvengono in contesti di elevata sicurezza e spesso non vi è adeguata conoscenza da parte del cliente. La sfida è avere contestualmente elevati livelli di sicurezza e semplificate customer experience ed evitare che una procedura più sicura, che dovrebbe essere un valore per il cliente, diventi una complicazione per la sua attività di acquirente on line. Questo tema, sui device mobile, diventerà ancora più complicato”.
Se il circuito impone uno standard di sicurezza
Adottare alcune regole di sicurezza, standard PCI compresi, è un’azione che il mercato dovrebbe fare come sistema, ma che spesso viene “imposto” da uno dei circuiti di riferimento. “Dal punto di vista dei circuiti, aggiunge Davide Steffanini, Direttore Generale di Visa Italia, spesso ci troviamo ad assumere un ruolo che preferiremmo evitare, quando dobbiamo imporre il rispetto di alcune regole. L’adozione di standard dovrebbe avvenire per un’iniziativa autonoma del mercato, di fronte all’impatto che potrebbe avere un rischio di frode in un mercato che si sta rapidamente evolvendo. Come Visa riteniamo comunque che contribuire a portare sul mercato determinate regole e determinati livelli di sicurezza sia essenziale per l’industria e per le sue prospettive di sviluppo”.
Più equilibrio in sede giudiziale
Se la strada per arrivare a degli standard di sicurezza per i pagamenti in mobilità è ancora lunga, il provvedimento di Banca d’Italia potrebbe consentire di semplificare l’attribuzione di responsabilità in caso di utilizzo non autorizzato di un sistema di pagamento. “Sul fronte dei pagamenti in mobilità è prematuro cercare di capire se siamo sulla giusta strada, commenta Francesco Imposimato, Responsabile Service Delivery di Poste Italiane. Mi domando invece, in base alla nostra esperienza nei pagamenti on line, per i quali adottiamo soluzioni avanzate, se l’introduzione di questa normativa riuscirà a riequilibrare la situazione in ambito giudiziario tra banca e cliente, in quanto anche nel caso di manifesta negligenza da parte del consumatore il giudizio è sempre a tutela di questo ultimo. Forse la definizione di questi standard di sicurezza può andare a tutela anche dell’azienda, e non solo del cliente”.
Servono regole più chiare e trasparenti
Il provvedimento di Banca d’Italia lascia aperti molti ambiti, come commenta Stefania Gentile. “Non si può guardare solo alla tecnologia, che per sua natura diventa obsoleta, ma ci vuole una visione più ampia anche di che cosa sia la sicurezza in termini di processi, comunicazioni e comportamenti di cui la tecnologia è un fattore abilitante. Sarebbero utili disposizioni più chiare e trasparenti in questo senso, con una definizione di che cosa il PSP deve fare e di che cosa il cliente deve sapere”.
La normativa è uno svantaggio competitivo?
Il rischio è che la differente evoluzione delle normative nazionali si traduca in uno svantaggio competitivo per gli operatori italiani. “La mobilità è un elemento che attualizza ancora di più le tematiche di sicurezza, prosegue Gentile, rendendo tutto più complesso. La sicurezza per i pagamenti mobile è un tema in evoluzione, e l’esistenza di normative diverse può complicare il quadro competitivo. La legislazione italiana è avversa a molti rischi, altre legislazioni a cui fanno riferimento importanti competitor stranieri, sono più lasche. Sono differenze che si traducono in svantaggi competitivi sul mercato per le realtà italiane, rispetto a nuovi entranti sul mercato che potrebbero renderci la vita più difficile”.
Disposizioni in linea con le best practice
Le linee guida tracciate dal provvedimento di Banca d’Italia sembrano comunque confermare, almeno in parte, le soluzioni già adottate negli scorsi anni da alcune banche per i test realizzati nell’ambito dei pagamenti contactless e mobile. “Il tema della sicurezza è stato al centro della nostra attenzione quando abbiamo realizzato uno strumento di mobile payment nel 2009, racconta Marco Buratti, Web Marketing Manager di Banca Popolare di Sondrio, in particolare perché con questo strumento andavamo a rivolgerci non solo alla clientela captive, ma a qualunque cardholder italiano. La nostra soluzione, certificata secondo gli standard PCI, pone molta enfasi alla sicurezza della fase di abilitazione al servizio e del processo di pagamento”.
Come si comunica la sicurezza?
Accanto all’aspetto tecnologico, cioè alla capacità dell’industria di implementare il massimo livello di sicurezza reso possibile dalle tecnologie, emerge quindi un secondo ambito, legato alla clientela: il tema della affidabilità e della sicurezza di un sistema di pagamento può essere utilizzato nella comunicazione di prodotto verso la clientela? “Il cliente ha certamente bisogno di essere rassicurato, commenta Fabrizio Zanetti, Responsabile Promozione Sistemi di Incasso e Pagamento di Banca Popolare dell’Emilia Romagna, ma anche il settore bancario avrebbe bisogno di una serie di regole scritte in modo chiaro e puntuale per definire le responsabilità di ciascuno. Ci stiamo impegnando nel comunicare al cliente serenità, per esempio rimborsando il cliente nei tempi previsti dalla PSD, cioè due settimane: si tratta di un tempo molto breve per riuscire a risalire a una colpa imputabile al cliente, e che ha quindi soprattutto l’obiettivo di rassicurare il cliente e trasmettere vicinanza rispetto ai suoi bisogni”.
Lavori in corso sulla comunicazione
Che la comunicazione relativa alla sicurezza sia un tema fondamentale è confermato anche da Beatrice Bettini, Responsabile Sistemi di Pagamento di Credito Valtellinese. “Stiamo rivedendo le comunicazioni al cliente sul tema della sicurezza, anche alla luce delle disposizioni di Banca d’Italia, spiega Bettini. L’allegato tecnico sugli strumenti di pagamento a più elevata qualità di sicurezza mi sembra più pensato per le operazioni di internet banking che non per le operazioni con le carte. Si tratta sicuramente di un testo non esaustivo di tutte le problematiche, ma che è comunque un punto di partenza basilare per tutti gli sviluppi futuri”.
I danni dell’allarmismo
L’attività di comunicazione al cliente svolta dal settore nel suo complesso si scontra però con le notizie allarmistiche dei mass media, che diffondono spesso un panico ingiustificato tra gli stessi clienti di banche e circuiti. “Sulla comunicazione puntiamo moltissimo, conferma Marco Rizzoli, Responsabile Vendite di CartaSi, ma i nostri sforzi vengono spesso vanificati da informazioni allarmistiche che enfatizzano ogni caso di furto di dati. Ogni messaggio negativo diramato dai mezzi di comunicazione richiede uno sforzo enorme da parte del sistema bancario per comunicare nuovamente il livello di sicurezza che caratterizza i nostri prodotti: in molti casi il nostro servizio di assistenza alla clientela riceve telefonate preoccupate, con clienti che hanno dubbi ingiustificati e immotivati sulla sicurezza della loro carta, dopo aver sentito una notizia allarmistica”.
Quali presidi per la più elevata qualità di sicurezza L’Allegato Tecnico al provvedimento di Banca d’Italia definisce che cosa sono gli “strumenti di più elevata qualità sotto il profilo della sicurezza”, per i quali è prevista una riduzione delle responsabilità dell’utilizzatore: per esempio, con l’esclusione dei casi in cui si agisca con dolo o colpa grave, oppure non abbia adottato le misure idonee a garantire la sicurezza dei dispositivi personalizzati, l’utilizzatore non risponde neppure della franchigia di 150 euro. Sono strumenti che hanno un livello di rischio legato a frodi o disconoscimenti inferiore rispetto agli altri, alla luce dell’evoluzione tecnologiche. Ecco i presidi specifici elencati dall’Allegato: - autenticazione multifattore, viene anche definito un vincolo per le OTP di 100 secondi di durata; - autenticazione del dispositivo, lo strumento di pagamento deve essere in grado di autenticare in maniera sicura il dispositivo di pagamento del PSP con il quale interagisce; - rautorizzazione on line delle transazioni superiori a 500 euro; - crittografia end to end, trasmissione delle credenziali di autenticazione dell’utilizzatore, dei suoi dati e del dispositivo del cliente fino al punto di verifica del PSP, da effettuarsi su canali con cifratura end to end; - autorizzazione di ogni singola transazione; - canale out of band: lo strumento di pagamento deve mettere a disposizione dell’utilizzatore un canale di comunicazione differente da quello usualmente utilizzato per le transazioni, ad esempio SMS, email, pagine web riservate ecc.; - aggiornamento del software: per gli aggiornamenti dello strumento di pagamento effettuati da remoto, metodi di download sicuri delle nuove versioni software; - controlli in sede di gestione dello strumento di pagamento: nella fase di attivazione, processo di verifica delle identità con controlli adeguati per minimizzare il rischio di false generalità, strumenti di gestione diversi per il cambiamento dei dati e degli strumenti di gestione, garantire che non sia possibile ottenere le credenziali di autenticazione intercettando le comunicazioni periodiche tra PSP e utilizzatore; - controlli per il contrasto di attacchi complessi: il titolare delle funzionalità di pagamento, PSP o circuito, implementa controlli efficaci per intercettare attacchi complessi. Il PSP o il circuito devono poi implementare sistemi di sicurezza per rilevare tempestivamente transazioni sospette o attività inusuali riconducibili a furto di identità o frode, ad esempio ripetute transazioni in un periodo di tempo ristretto, un cambio di indirizzo con contestuale richiesta di riemissione di PIN o password, o un incremento di massimali con improvvisi movimenti verso controparti inusuali. |
