Una delle conseguenze dellaentrata in vigore della PSD2 (seconda direttiva sui servizi di pagamento) il 13 gennaio 2018 e la pubblicazione delle relative regole tecniche (note come “RTS”), che saranno applicabili il 14 settembre 2019), è la morte annunciata dell’SMS OTP (“One Time Password”). Oltre ai vincoli per il settore bancario in termini di pagamenti, ci si interroga sull’impatto del testo su altre normative, in particolare quelle che regolano le firme elettroniche.
La fine degli SMS OTP?
Da molti anni ormai i consumatori sono abituati ad autenticarsi quando effettuano un pagamento online tramite un codice ricevuto via SMS (un dispositivo noto come “3d-secure”). Questo metodo di autenticazione, che mira a garantire che sia il titolare della carta a effettuare il pagamento, anche se non è infallibile (un numero di cellulare può essere usato in modo improprio) e anche se ha un impatto sul tasso di conversione delle transazioni dei clienti, è ormai ben accettato sia dai clienti che dagli esercenti.
Attraverso il rapporto annuale 2018 dell’Observatoire de la sécurité des moyens de paiements, la Banque de France ha dettagliato le implicazioni operative dell’entrata in vigore del testo, in particolare per quanto riguarda le procedure di accesso a un conto di pagamento online.
Il documento afferma che un metodo di autenticazione forte è necessario quando il titolare vuole consultare il proprio conto, effettuare un trasferimento, un pagamento con carta bancaria o per un certo numero di transazioni sensibili.
L’articolo 4 della PSD2 definisce l’autenticazione forte come “basata su due o più elementi appartenenti alle categorie: conoscenza, possesso e inerenza (biometria) e che porta alla generazione di un codice di autenticazione”. All’articolo 9, la direttiva richiede che i vari elementi siano indipendenti in modo da garantire “che, in termini di tecnologia, algoritmi e parametri, la compromissione di uno degli elementi non metta in discussione l’affidabilità degli altri”.
Tuttavia, l’OTP via SMS è solo un fattore, quello del possesso del cellulare che riceve il codice. Poiché il codice ricevuto non è indipendente dal cellulare, non può essere considerato un secondo fattore. Il numero della carta, la sua validità e il suo crittogramma non sono considerati un fattore di conoscenza perché appaiono “in chiaro” sulla carta e sono, di fatto, facilmente copiabili.
Verso un nuovo strumento di autenticazione?
Le banche dovranno quindi trovare un nuovo modo di autenticare i propri clienti per le transazioni coperte dalla PSD2, ovvero quelle relative alla gestione dei conti in senso lato. C’è un altro momento della vita in cui l’SMS OTP è molto utilizzato oggi: quando si entra in relazione per l’autenticazione a distanza di prospect o clienti nell’ambito della firma elettronica di un contratto di apertura di un conto e di una proposta commerciale di credito, per esempio.
Per essere valida, una firma elettronica richiede che il firmatario sia identificato e autenticato. Oggi il mercato ha abbracciato due pratiche: la raccolta (e l’analisi) di un documento d’identità e l’acquisizione di un SMS OTP.
Dal1° luglio 2016 le firme elettroniche sono disciplinate dal regolamento europeo eIDAS. Ciò richiede che il mezzo di firma sia sotto il controllo esclusivo del firmatario; nel caso di una firma remota, tale obbligo si concretizza in un codice unico inviato via SMS che solo il firmatario può inserire al momento dell’atto.
Per anni, questo codice di “attivazione” è stato un passo essenziale nel processo di firma elettronica. La domanda è se riuscirà a sopravvivere alla PSD2.
Un primo elemento della risposta è l’armonizzazione dei testi europei che regolano il settore finanziario, con concetti che vengono recepiti nei diversi testi. Ad esempio, gli schemi di identificazione definiti dal regolamento eIDAS hanno trovato rapidamente posto nel recepimento dellaquarta direttiva contro il riciclaggio di denaro e il finanziamento del terrorismo. L’articolo R561-20 del Codice monetario e finanziario cita questi mezzi di identificazione come nuove misure aggiuntive di due diligence quando si avvia una relazione commerciale a distanza (quinta e sesta misura).
Il principale motore di questi cambiamenti sarà senza dubbio l’avversione al rischio del settore. Se un sostituto credibile dell’SMS OTP in termini di implementazione, usabilità e sicurezza arriva sul mercato per i pagamenti sicuri, si diffonderà molto rapidamente anche per altri usi, come le firme elettroniche.