Tre regole per il collegamento dinamico
Tale requisito implica tre aspetti. Innanzitutto, richiede che il pagatore autentichi una transazione finanziaria calcolando un codice di autenticazione sulla base di determinati dati della transazione (come minimo l’importo e alcune informazioni che identificano il beneficiario), in modo che il codice di autenticazione sia collegato a tali dati. In secondo luogo, la riservatezza e l’integrità dei dati della transazione dovrebbero essere protetti durante tutto il processo di autenticazione. In terzo luogo, gli utenti dovrebbero essere consapevoli dei dati della transazione che autenticano. Quest'ultimo requisito viene spesso definito “ciò che vedi è ciò che firmi”. Ciò implica che la semplice visualizzazione di un hash dei dati della transazione o un identificatore di sessione non siano sufficienti.
Gli attacchi man-in-the-middle
I legislatori europei che hanno elaborato la PSD2 hanno introdotto il requisito di collegamento dinamico per contrastare i cosiddetti attacchi man-in-the-middle, in cui un criminale modifica i dettagli di una transazione dopo che il pagatore ha autenticato la transazione. Un simile attacco potrebbe trasformare un trasferimento di 100 euro a un amico in un trasferimento di mille euro a un impostore, senza che il pagatore se ne renda conto. Il requisito “ciò che vedi è ciò che firmi” intende evitare attacchi di social engineering, per mezzo dei quali un pagatore autentica ciò che successivamente si rivela essere stata una transazione fraudolenta. La PSD2 fa quindi un passo in più rispetto alle Linee Guida dell’Autorità Bancaria Europea (ABE) sulla Sicurezza dei Pagamenti su Internet, che attualmente si applicano nella maggior parte degli Stati membri dell’UE e non richiedono collegamenti dinamici.
Come implementare il collegamento dinamico
Per le banche, la conformità con questi requisiti PSD2 solleva diverse domande. Come può una banca implementare il collegamento dinamico nella sua applicazione di online o mobile banking in modo che risulti di pratico utilizzo per il cliente? È possibile utilizzare SMS per implementare il collegamento dinamico? E per quanto riguarda le transazioni batch? Esaminiamo questi argomenti.
Tre metodi pratici
Consideriamo lo scenario in cui un utente avvia una transazione finanziaria tramite un’applicazione di banking online eseguita dal browser del proprio PC, utilizzando un token hardware dedicato o un’app di mobile banking per autenticare la transazione. Un 
modo pratico per implementare il collegamento dinamico si basa sull’uso di una tecnologia che genera codici QR colorati. Quando vuole iniziare una transazione, l’utente:
1. inserisce i dati della transazione nell’applicazione di banking online nel browser. Sulla base di questi dati, il server della banca genera un codice a colori, che rappresenta i dati della transazione crittografati, e lo visualizza nel browser;
2. scansiona il codice a colori utilizzando la fotocamera del token o del proprio dispositivo mobile. Il dispositivo decodifica il codice a colori, decripta i dati della transazione e li mostra in chiaro al cliente sullo schermo;
3. si autentica sul proprio dispositivo e calcola il codice di autenticazione sulla base dei dati della transazione utilizzando una chiave crittografica memorizzata sul dispositivo.
Questo approccio soddisfa tutti i requisiti di collegamento dinamico in precedenza descritti e, inoltre, non richiede all’utente di inserire manualmente i dati della transazione sul dispositivo.
L’approccio per il mobile
Un approccio alternativo, solo per dispositivi mobile, consiste nel trasferire i dati della transazione dal server della banca all’app di mobile banking utilizzando un messaggio di notifica push crittografato. Ecco come funziona:
• l’utente riceve un messaggio di notifica push sul proprio telefono;
• quando lo accetta, l’app di mobile banking si apre e mostra all’utente i dati della transazione;
• l’utente si autentica e il dispositivo calcola il codice di autenticazione sulla base dei dati della transazione;
• l’app di mobile banking invia di nuovo il codice di autenticazione al cliente via Internet.
Anche questo approccio è conforme ai requisiti di collegamento dinamico e non richiede all’utente di inserire manualmente i dati sul dispositivo mobile.
Transazioni batch
Il requisito di collegamento dinamico si applica anche alle transazioni batch o ai pagamenti in blocco, con cui vengono combinate più transazioni con diversi beneficiari. Più precisamente, le norme tecniche di regolamentazione affermano che, per le transazioni batch, il codice di autenticazione deve essere specifico sia per l'importo totale di tutte le transazioni combinate sia per i vari beneficiari.
Se il numero di beneficiari è elevato, non è conveniente mostrarli tutti quanti all’utente per la convalida. Per bilanciare sicurezza e praticità per l’utente, quindi, possono essere utilizzati i seguenti approcci:
1. mostrare all'utente i beneficiari corrispondenti alle transazioni a più alto rischio;
2. mostrare all'utente beneficiari selezionati a caso;
3. non mostrare all’utente alcun beneficiario inserito nella white list.
In ogni caso, al fine di proteggere l’integrità delle transazioni, è buona norma includere un hash di ognuna di esse nel calcolo del corrispondente codice di autenticazione.
Collegamenti dinamici tramite SMS
C’è anche la questione in merito alla possibile implementazione di un collegamento dinamico tramite un SMS. In questo caso, l’utente riceverà un messaggio SMS contenente i dati della transazione e il codice di autenticazione calcolato sui dati della transazione.
Dato l’obbligo di proteggerne la riservatezza e l'integrità, ciò implicherebbe che i dati della transazione all'interno di un messaggio SMS vengano crittografati. Non è chiaro in che modo possa essere poi possibile decodificare il messaggio sul dispositivo mobile senza utilizzare un’app dedicata. La necessità di un’app mobile per elaborare i messaggi SMS mina uno dei principali vantaggi dell'SMS.
In sintesi, le banche dovrebbero avvicinarsi alla PSD2 non solo da un punto di vista della conformità: è importante considerare come ottimizzare l'esperienza dell’utente mediante un’autenticazione pratica e sicura e procedure di collegamento dinamico.
Maggiori informazioni sono disponibili nel white paper:
PSD2: Which Strong Authentication and Transaction Monitoring Solutions Comply?
