Come trasformare il rischio in vantaggio operativo. Evoluzioni delle norme sulla sicurezza dei pagamenti elettronici: PCI-3DS e PIN, PSD2 e Bancomat. Una nuova ondata di schemi di normazione sta per interessare trasversalmente il mercato
Negli ultimi mesi, la tensione legata all’approssimarsi dell’applicazione del GDPR è cresciuta progressivamente, ma non sono solo gli aspetti di conformità al nuovo Regolamento europeo a preoccupare organizzazioni di ogni tipo e dimensione. Nell’ecosistema dei pagamenti elettronici, si osservano sempre più sovrapposizioni fra diversi schemi di compliance, a volte con requisiti solo apparentemente molto distanti fra di loro. In alcuni casi, è possibile trovare un vantaggio operativo in queste attività, trasformando il rischio di incorrere in “non conformità”, in opportunità quando le diverse norme vengono affrontate congiuntamente cogliendo opportunità e spunti di efficientamento complessivo.
Gli enti regolatori che emettono schemi significativi di certificazione al fine di regolamentare i pagamenti elettronici: l’ex consorzio Bancomat, che gestisce i circuiti nazionali Bancomat e PagoBancomat, l’European Banking Authority e il Payment Card Industry Security Standards Council (PCI-SSC). Il primo ha emesso il “Bancomat Security Verification Standard” i cui requisiti si occupano della gestione di POS e ATM. L’EBA, fra le altre, ha pubblicato due linee guida in adempimento degli art. 96 e 95 della PSD2: “Reporting dei major incident, in ambito PSD2” e “Misure di sicurezza per i rischi di sicurezza e operativi dei servizi di pagamento, in ambito PSD2”. La prima linea guida offre un facile albero decisionale utile nella determinazione dei major incident: è organizzata in otto raccomandazioni di più basso livello, raggruppabili su tre target differenti. La seconda linea guida è invece organizzata in nove linee guida di più basso livello che affrontano il tema dei rischi di sicurezza dagli aspetti di governance ai test di business continuity, non fornendo delle precise indicazioni operative o metodologiche.
Il PCI-SSC è un organismo internazionale nato nel 2006 da VISA, MasterCard, American Express, Discover e JCB, che ha pubblicato lo scorso ottobre lo standard PCI 3D Secure (PCI 3DS) in sostituzione del precedente schema VISA, strettamente collegato alle specifiche EMV versione 2.1.0, regolando lo scambio di messaggi fra 3DS Access Control Server, 3DS Directory Server e 3DS Server nelle transazioni card-not-present. Il protocollo utilizzato permette già da anni agli utenti di registrare un’ulteriore password, dapprima statica e poi dinamica che introduce un ulteriore strato di sicurezza. Lo standard ha una struttura completa e insolitamente è organizzato in due parti: la prima deve applicarsi solo se gli elementi in perimetro non sono già sotto certificazione PCI-DSS, mentre la seconda parte è sempre applicata. Il 2018 vedrà la pubblicazione della versione 3.0 dello standard PCI-PIN, che regola la trasmissione di PIN e PIN Block durante le transazioni online e offline. Questo standard, che sostituisce il noto schema VISA PIN su cui venivano effettuati i “PIN audit”, è principalmente incentrato sulla gestione delle chiavi crittografiche utilizzate a protezione del PIN/PIN Block. Nelle tratte tra POS/ATM e Gestori Terminali è in sovrapposizione con le specifiche Bancomat che ne coprono completamente i requisiti con eccezione del mandato per l’uso obbligatorio dei key blocks, il quale inizierà ad applicarsi progressivamente a partire dal 2019.
Un confronto fra le strutture dei nuovi schemi di EBA PSD2, PCI-3DS e Bancomat, mostra come sia possibile mettere a fattor comune numerosi requisiti derivanti da questi schemi, raggiungendo quelle opportunità e quegli spunti di miglioramento ed efficientamento complessivo dichiarati in precedenza. Vista l’elevata complessità inerente di questi schemi è altamente raccomandabile affrontare questi temi con il supporto di specialisti in materia, capaci di raggiungere gli obiettivi prefissati in modo efficace senza lunghe deviazioni.
Luciano Quartarone e Fabio Guasconi – CLUSIT