Autenticazione Delegata e Passkey in PSD3 / PSR

Il panorama europeo dei pagamenti è stato notevolmente modificato dalla seconda Direttiva sui Servizi di Pagamento (PSD2). Entrata in vigore progressivamente dal 2018, la PSD2 ha imposto l'Autenticazione Forte del Cliente (SCA) per la maggior parte dei pagamenti elettronici al fine di migliorare la sicurezza e combattere le frodi. Questo richiede tipicamente la verifica dell'identità di un utente utilizzando almeno due dei tre fattori indipendenti: Conoscenza (qualcosa che solo l'utente sa, come una password), Possesso (qualcosa che solo l'utente possiede, come un telefono o un token hardware) e Inerenza (qualcosa che l'utente è, come un'impronta digitale o una scansione facciale).

Sebbene i requisiti SCA della PSD2 abbiano dimostrato di ridurre alcuni tipi di frode, hanno anche introdotto attrito nel processo di pagamento, in particolare per i pagamenti con carta che coinvolgono i protocolli 3-D Secure (3DS), i quali spesso reindirizzano gli utenti al dominio della loro banca per l'autenticazione. Questo attrito aggiuntivo al checkout può portare all'abbandono del carrello e a un'esperienza utente meno fluida.

Riconoscendo queste sfide e la rapida evoluzione del mercato dei pagamenti digitali, la Commissione Europea ha pubblicato il 28 giugno 2023 delle proposte legislative per aggiornare il quadro normativo. Questo pacchetto consiste in una nuova Direttiva sui Servizi di Pagamento (PSD3) e un Regolamento sui Servizi di Pagamento (PSR).

Spesso descritta come "un'evoluzione, non una rivoluzione", questa riforma mira a perfezionare concetti esistenti come l'Autenticazione Forte del Cliente (SCA) e l'Open Banking, rafforzare ulteriormente la protezione dei consumatori contro le frodi, promuovere la concorrenza tra i prestatori di servizi di pagamento (PSP) e migliorare il funzionamento generale del mercato dei pagamenti dell'UE. Una delle aree chiave di evoluzione è la chiarificazione esplicita e il quadro fornito per l'Autenticazione Delegata.

Il percorso dalla proposta all'applicazione prevede diverse fasi. A seguito della pubblicazione di giugno 2023, le proposte sono entrate nel processo legislativo dell'UE che coinvolge il Parlamento Europeo e il Consiglio dell'UE. La commissione per i problemi economici e monetari (ECON) del Parlamento ha pubblicato progetti di relazione con emendamenti tra la fine del 2023 e l'inizio del 2024, seguiti dall'adozione della posizione del Parlamento in prima lettura nell'aprile 2024. La fase successiva prevede negoziati tra Parlamento, Consiglio e Commissione per concordare i testi finali. Durante questo processo, gli stakeholder tra cui banche, PSP, aziende tecnologiche e gruppi di consumatori partecipano a consultazioni pubbliche e attività di lobbying per influenzare l'esito.

Sebbene le stime iniziali suggerissero una finalizzazione entro la fine del 2024 o l'inizio del 2025, il processo legislativo può essere complesso e alcune analisi ora suggeriscono possibili ritardi, che potrebbero posticipare l'accordo finale e la data di applicazione al primo trimestre del 2027. Generalmente, si prevede che le nuove norme si applichino 18 mesi dopo la loro pubblicazione nella Gazzetta Ufficiale dell'UE, collocando la probabile data di inizio a metà del 2026 al più presto, ma potenzialmente più tardi a seconda della tempistica di finalizzazione.

Un cambiamento strutturale significativo è l'introduzione del PSR accanto alla PSD3. Il PSR sarà direttamente applicabile in tutti gli stati membri dell'UE, garantendo un'attuazione uniforme delle norme operative come i requisiti SCA e l'accesso all'Open Banking. Questo affronta direttamente una debolezza della PSD2, la cui natura di direttiva ha portato a variazioni nel recepimento e nell'attuazione a livello nazionale, creando frammentazione. La PSD3, rimanendo una direttiva, si concentrerà sull'autorizzazione, la licenza e la supervisione degli istituti di pagamento, consentendo un certo contesto nazionale nella vigilanza del mercato. Questa doppia struttura rappresenta un approccio strategico: mirare a un'armonizzazione più rapida e coerente in aree operative critiche tramite il regolamento, mantenendo al contempo il formato della direttiva per la vigilanza istituzionale dove le specificità nazionali sono più rilevanti.

Date le complessità dei negoziati del trilogo, la successiva necessità per l'Autorità Bancaria Europea (EBA) di sviluppare Norme Tecniche di Regolamentazione (RTS) e Linee Guida dettagliate, e il tempo richiesto all'industria per prepararsi all'implementazione, il periodo di transizione di 18 mesi comunemente citato appare ambizioso. Le aziende dovrebbero tenere conto di possibili ritardi nella loro pianificazione, guardando verso la fine del 2026 o addirittura l'inizio del 2027 come date di applicazione plausibili.

Una delle chiarificazioni più notevoli nel quadro proposto da PSD3/PSR è l'autorizzazione esplicita per l'Autenticazione Delegata (DA).

L'Autenticazione Delegata (DA) si riferisce al processo in cui il Prestatore di Servizi di Pagamento (PSP) di un pagatore, tipicamente la banca che emette lo strumento di pagamento (ad es. l'emittente della carta), consente a una terza parte di eseguire l'Autenticazione Forte del Cliente (SCA) per suo conto.

Il testo originale della proposta di regolamento (Articolo 87 della proposta di PSR, enfasi aggiunta) recita:

I testi provvisori affermano che gli emittenti (tipicamente le banche che forniscono il conto di pagamento) possono delegare la responsabilità di applicare la SCA a determinate terze parti. Si prevede che queste terze parti includano esercenti, gateway di pagamento o acquirenti, marketplace online o fornitori di portafogli digitali.

Questa mossa è significativa perché riconosce formalmente e fornisce un potenziale percorso normativo per scenari in cui un soggetto diverso dall'istituto che detiene il conto esegue il controllo di autenticazione richiesto dalla SCA. L'obiettivo dichiarato dietro l'abilitazione della DA è promuovere l'innovazione nell'esperienza di autenticazione. Consentendo la delega, il regolamento spera di dare potere a quelle entità spesso più vicine all'interazione con il cliente (come esercenti o portafogli) per costruire flussi di autenticazione a basso attrito e più integrati che sfruttano le ultime tecnologie, come la biometria o le passkey, migliorando in definitiva l'esperienza dell'utente. Esempi precoci, come l'implementazione della DA di Stripe lanciata prima della bozza della PSD3, miravano a cogliere questi benefici, riportando tempi di autenticazione più rapidi e un aumento dei tassi di conversione per gli emittenti partecipanti.

Tuttavia, le bozze di proposta introducono una condizione critica: la delega della SCA da parte di un emittente a una terza parte è esplicitamente classificata come outsourcing. Questa classificazione non è meramente semantica; ha un peso normativo significativo. Significa che qualsiasi accordo di DA deve essere conforme alle rigide norme che regolano l'outsourcing da parte delle istituzioni finanziarie, principalmente le Linee Guida dell'EBA sugli Accordi di Outsourcing. Inoltre, gli operatori di portafogli digitali che verificano gli elementi della SCA dovranno avere accordi formali di outsourcing con le banche emittenti.

Questa etichetta di 'outsourcing' presenta un compromesso complesso. Da un lato, permettere esplicitamente la DA segnala un'apertura normativa all'innovazione e a una potenziale migliore UX. Dall'altro, sottoporre questi accordi al pieno peso delle normative sull'outsourcing dei servizi finanziari introduce un notevole onere di conformità. Il processo si trasforma da un potenziale semplice passaggio tecnico alla delega di una funzione di sicurezza fondamentale e regolamentata. Ciò innesca ampi requisiti relativi a due diligence, specifiche contrattuali, gestione del rischio, monitoraggio continuo, diritti di audit e potenzialmente la conformità con il Digital Operational Resilience Act (DORA). Il significativo onere associato a questi requisiti di outsourcing potrebbe potenzialmente fermare proprio l'innovazione che la DA intende incoraggiare, in particolare per gli esercenti più piccoli o i TSP che non dispongono delle risorse per navigare in questo complesso panorama normativo.

La classificazione dell'Autenticazione Delegata come 'outsourcing' secondo le proposte PSD3/PSR significa che tali accordi rientrano pienamente nell'ambito delle Linee Guida dell'EBA sugli Accordi di Outsourcing. Queste linee guida stabiliscono un quadro completo a cui le istituzioni finanziarie (inclusi gli emittenti che delegano la SCA) e, per estensione, i Fornitori di Servizi Tecnici (TSP) che eseguono la funzione delegata, devono attenersi.

Queste linee guida impongono diversi obblighi chiave:

• Due Diligence: Prima di delegare la SCA, l'emittente deve condurre una due diligence approfondita sui Fornitori di Servizi Tecnici (TSP). Ciò comporta la valutazione della reputazione commerciale del TSP, delle capacità tecniche, della stabilità finanziaria, dell'esperienza, delle risorse (umane, IT), della struttura organizzativa e delle misure di sicurezza per garantire che siano idonei a svolgere la funzione critica della SCA.
• Valutazione del Rischio: Un'analisi completa del rischio è obbligatoria prima di stipulare e durante tutto l'accordo di outsourcing. Questa deve coprire i rischi operativi, legali, di conformità, di concentrazione (fare troppo affidamento su un unico TSP) e i rischi associati al sub-outsourcing (dove il TSP delega ulteriormente parti della funzione). L'outsourcing di funzioni ritenute 'critiche o importanti' (con la SCA implicitamente considerata tale, a meno che non sia esplicitamente esentata) innesca requisiti ancora più severi.
• Requisiti Contrattuali: È essenziale un accordo scritto dettagliato. Questo contratto deve definire chiaramente l'ambito della funzione delegata, i ruoli e le responsabilità, gli accordi sul livello di servizio, la legge applicabile, gli obblighi finanziari, le disposizioni sulla sicurezza dei dati (che coprono accessibilità, disponibilità, integrità, riservatezza e sicurezza), i piani di continuità operativa e le clausole di risoluzione. Fondamentalmente, l'accordo deve garantire all'istituzione delegante e ai suoi regolatori diritti illimitati di accesso e audit riguardo alla funzione esternalizzata.
• Monitoraggio Continuo: L'emittente non può semplicemente 'delegare e dimenticare'. Deve monitorare continuamente le prestazioni del TSP rispetto alle metriche concordate, valutare il suo profilo di rischio continuo e rivedere le sue misure di sicurezza e continuità operativa. Fare affidamento esclusivamente sulle certificazioni del TSP non è sufficiente.
• Strategia di Uscita: Per funzioni critiche come la SCA, l'emittente deve avere un piano di uscita documentato. Questo piano dovrebbe delineare le strategie per terminare l'accordo, trasferire la funzione a un altro TSP o riportare la funzione internamente senza interrompere il servizio o compromettere la sicurezza o la conformità.
• Rischio di Concentrazione: Sia le istituzioni deleganti che le autorità competenti devono monitorare i rischi di concentrazione derivanti da più istituzioni che si affidano allo stesso TSP, o a un piccolo numero di TSP dominanti, in particolare per le funzioni critiche.
• Niente 'Scatole Vuote': Le linee guida affermano esplicitamente che l'outsourcing non deve portare a una situazione in cui l'istituzione delegante diventa una 'scatola vuota' priva della sostanza e della capacità operativa per rimanere autorizzata. La responsabilità ultima per la conformità e la gestione del rischio rimane all'organo di gestione dell'istituzione delegante.

Aggiungendo un altro livello di complessità c'è il Digital Operational Resilience Act (DORA), che stabilisce norme armonizzate in tutta l'UE per la gestione dei rischi legati alle Tecnologie dell'Informazione e della Comunicazione (ICT) nel settore finanziario. DORA si applica dal 17 gennaio 2025.

DORA è rilevante per la DA in diversi modi:

• Applicabilità Diretta: DORA si applica direttamente alle entità finanziarie, comprese le banche e altri PSP che delegherebbero la SCA.
• Fornitori Terzi Critici di ICT (CTPP): DORA istituisce un quadro di sorveglianza per i fornitori terzi di ICT ritenuti critici per il sistema finanziario. I grandi TSP che offrono servizi di DA su larga scala (ad es. i principali gateway di pagamento, i fornitori di portafogli, potenzialmente i fornitori di servizi cloud coinvolti) potrebbero essere designati come CTPP, portandoli sotto la supervisione diretta delle autorità dell'UE.
• Integrazione con PSD3/PSR: Le proposte PSD3/PSR fanno esplicito riferimento a DORA, indicando che gli accordi di outsourcing, inclusa la DA, devono essere conformi ai suoi requisiti. Ciò significa che i TSP che eseguono la DA dovranno soddisfare gli standard di DORA per la gestione del rischio ICT, la segnalazione degli incidenti, i test di resilienza e la gestione del rischio di terze parti, aumentando ulteriormente l'onere di conformità.

L'interazione tra le Linee Guida EBA sull'Outsourcing e DORA crea una fitta rete di obblighi di conformità per qualsiasi TSP che si avventuri nella DA. Offrire con successo questi servizi richiederà non solo abilità tecniche, ma anche un investimento significativo in strutture di governance, quadri di gestione del rischio, documentazione solida, prontezza per gli audit e una resilienza operativa dimostrabile. Questo ambiente complesso potrebbe inavvertitamente favorire i TSP più grandi e consolidati con le risorse e l'esperienza per navigare in questi esigenti requisiti.

Una conseguenza cruciale della DA nel quadro proposto è lo spostamento della responsabilità per le transazioni fraudolente in cui la SCA fallisce.

• Le bozze di proposta indicano che la terza parte che esegue la SCA delegata (ad es. esercente, gateway, portafoglio) diventa responsabile dei danni finanziari derivanti da frode se non applica correttamente la SCA. Questo è un cambiamento fondamentale rispetto al tipico spostamento di responsabilità sotto 3DS, dove la responsabilità spesso si sposta sull'emittente se la SCA viene applicata con successo.
• Inoltre, la bozza di PSR introduce una potenziale responsabilità per i fornitori di servizi tecnici e gli operatori di schemi di pagamento se un fallimento della SCA è attribuibile ai loro sistemi o alla loro infrastruttura. Questo punto specifico incontra una forte opposizione, in particolare da parte di Mastercard, che sostiene si basi su idee sbagliate riguardo alle responsabilità di implementazione della SCA.
• Gli emittenti, pur potendo delegare il processo SCA, non sono completamente assolti. Rimangono responsabili per alcuni tipi di frode, come lo 'spoofing' in cui un truffatore si spaccia per la banca. Il Parlamento Europeo ha persino proposto di espandere questi diritti di rimborso nei casi di frode APP.

Questa responsabilità diretta posta sui TSP per i fallimenti della SCA sotto la DA rappresenta un rischio finanziario significativo. Sebbene la promessa di una migliore esperienza utente e di maggiori tassi di conversione sia attraente, il costo potenziale della frode potrebbe agire come un notevole deterrente per molti TSP che contemplano di offrire servizi di DA. Strategie robuste di mitigazione del rischio, che potrebbero includere tariffe di servizio più elevate o assicurazioni specializzate, potrebbero diventare prerequisiti necessari per un'adozione diffusa della DA da parte di esercenti e gateway.

L'Autenticazione Delegata ha il potenziale per rimodellare fondamentalmente l'esperienza utente per i pagamenti con carta, in particolare rispetto al tradizionale processo 3-D Secure (3DS).

Attualmente, il processo 3DS per le sfide SCA comporta tipicamente un passaggio in cui il cliente interagisce con un elemento controllato dall'emittente. Tradizionalmente, ciò significava un reindirizzamento completo del browser dal sito web o dall'app dell'esercente al dominio dell'emittente (ad es. la loro app bancaria o una pagina di autenticazione specifica). Sempre più spesso, le versioni più recenti di 3DS presentano questa sfida in linea tramite un iframe incorporato nella pagina dell'esercente. Sebbene un iframe eviti un abbandono completo della pagina, entrambi i metodi di reindirizzamento dell'attenzione dell'utente a un passaggio controllato dall'emittente possono essere bruschi, aggiungere tempo al processo di checkout e contribuire all'abbandono del cliente.

La DA offre un percorso per eliminare questo attrito nel cambio di processo. Consentendo all'esercente, al gateway di pagamento o al portafoglio digitale di eseguire la SCA direttamente nel proprio ambiente, il passaggio di autenticazione può essere integrato senza soluzione di continuità nel flusso di checkout. Ciò promette un'esperienza più fluida, veloce e coesa per il cliente. Se combinata con metodi di autenticazione moderni e a basso attrito come la biometria integrata nel dispositivo (Face ID, scansioni di impronte digitali) o le passkey, la DA potrebbe ridurre significativamente l'attrito al checkout, portando potenzialmente a tassi di abbandono del carrello più bassi e a tassi di conversione dei pagamenti più alti. Dati reali, come l'aumento del 7% delle conversioni e l'autenticazione quattro volte più veloce riportati da Stripe per le transazioni che utilizzano la loro soluzione DA con i titolari di carta Wise, sottolineano questo potenziale beneficio.

Realizzare questo potenziale richiede un significativo lavoro di base tecnico e commerciale. Implica la creazione di nuovi punti di integrazione e protocolli di comunicazione tra esercenti/gateway/portafogli ed emittenti. Schemi di pagamento come Visa e Mastercard giocano un ruolo importante qui. Mastercard, ad esempio, ha sviluppato il suo Identity Check Express che consente agli esercenti e a Mastercard di autenticare il consumatore per conto dell'emittente all'interno del flusso dell'esercente. Allo stesso modo, Stripe ha costruito le sue capacità di DA basandosi su accordi bilaterali con emittenti specifici come Wise.

Questi sviluppi suggeriscono che la DA è più di un semplice aggiornamento normativo. Agisce come un aiuto per riprogettare i flussi di autenticazione dei pagamenti. Spostare il punto di autenticazione dal dominio dell'emittente verso l'ambiente dell'esercente o del portafoglio crea opportunità per decisioni di autenticazione più ricche e consapevoli del contesto e per esperienze utente meno dirompenti rispetto al modello di reindirizzamento tradizionale. Questo cambiamento architetturale necessita dell'integrazione di metodi di autenticazione moderni come le passkey direttamente nei processi di checkout. Tuttavia, questa transizione dipende dalla creazione di misure di sicurezza robuste, da una chiara allocazione della responsabilità (come discusso in precedenza) e da quadri di fiducia, probabilmente governati da una combinazione di regole di schema, accordi bilaterali e aderenza alle rigide normative sull'outsourcing e DORA.

Mentre le bozze di proposta PSD3/PSR stabiliscono le basi legislative, la forma finale dell'Autenticazione Delegata sarà significativamente influenzata dal dialogo continuo e dalle pressioni dei principali attori del settore. Banche, PSP, fornitori di tecnologia ed esercenti stanno attivamente interpretando queste bozze e sostenendo cambiamenti che si allineano con i loro modelli di business e obiettivi strategici. Molte delle attività di lobbying dell'UE sono accessibili tramite il Registro tedesco delle lobby (nota: questo registro è principalmente in tedesco e molti dei documenti presentati sono stati inviati anche ad altri organi dell'Unione Europea). L'analisi seguente si basa su sintesi e documenti disponibili da queste presentazioni pubbliche.

In qualità di importante fornitore di infrastrutture di pagamento, Stripe vede un'opportunità significativa nella DA. La considerano uno strumento cruciale per migliorare i tassi di conversione dei pagamenti e l'esperienza di checkout del cliente riducendo l'attrito. Stripe ha lanciato proattivamente la propria soluzione di DA, basata su accordi bilaterali con emittenti come Wise, dimostrando il suo impegno per questo modello anche prima della finalizzazione di PSD3/PSR. I loro sforzi di lobbying sembrano concentrati a garantire che l'ambiente normativo supporti l'innovazione e minimizzi gli oneri. Le aree chiave includono la promozione di processi di ri-autorizzazione semplificati per le entità già autorizzate sotto PSD3, la ricerca di maggiore chiarezza e flessibilità riguardo alle esenzioni SCA (come le soglie di Analisi del Rischio della Transazione (TRA) e le Transazioni Iniziate dall'Esercente (MIT)), la garanzia che le piattaforme che utilizzano soluzioni come Stripe Connect non siano inutilmente gravate da requisiti di licenza di agente e la spinta per un accesso diretto ai sistemi di pagamento per i PSP non bancari.

PayPal, un'importante istituzione di moneta elettronica e fornitore di portafogli, è un forte sostenitore di un approccio alla SCA basato sui risultati. Sostengono che le normative dovrebbero dare priorità all'efficacia di sicurezza dimostrabile di un metodo di autenticazione – in particolare la sua resistenza alle minacce moderne come il phishing – piuttosto che aderire strettamente alle tradizionali categorie di fattori Conoscenza/Possesso/Inerenza definite nella PSD2. Evidenziano il successo della loro implementazione di passkey, che ha ridotto significativamente le frodi migliorando al contempo il successo del login. Di conseguenza, PayPal esorta i responsabili politici che progettano il PSR a concentrarsi sulla forza complessiva delle soluzioni di autenticazione, a consentire combinazioni di fattori forti anche se della stessa categoria (ad es. due fattori di possesso), a bilanciare sicurezza e usabilità e a evitare mandati tecnologici eccessivamente prescrittivi.

Mastercard contesta fermamente la classificazione generale di tutta la DA come outsourcing nella bozza. Sostengono, insieme ad altri gruppi del settore, che solo i modelli di autenticazione in cui l'emittente manca di controllo sul processo SCA dovrebbero essere soggetti al pieno rigore dei requisiti di outsourcing. La loro posizione di lobbying riflette questo: cercano chiarimenti sul fatto che la DA non sia un outsourcing 'critico', sostengono accordi di outsourcing scalabili o multilaterali per facilitare l'adozione della DA e vogliono che la proposta di responsabilità per schemi e TSP relativa ai fallimenti della SCA venga rimossa completamente. Inoltre, Mastercard spinge affinché gli esercenti siano obbligati a inviare informazioni aggiuntive, come dati comportamentali e ambientali, agli emittenti per migliorare la valutazione del rischio, e richiede l'autorizzazione esplicita per i TSP di elaborare dati biometrici senza il consenso esplicito dell'utente specificamente per scopi SCA, e suggerisce di affinare le esenzioni SCA per specifici casi d'uso a basso rischio.

Le associazioni di categoria e gli organismi di settore riecheggiano in gran parte le preoccupazioni sollevate dai principali attori. Payments Europe, ad esempio, rispecchia la posizione di Mastercard sulla definizione di outsourcing, sottolineando che solo gli scenari in cui l'emittente perde il controllo dovrebbero innescare le regole di outsourcing. Bitkom, che rappresenta l'industria digitale, chiede anch'essa chiarezza su questo punto e sostiene la regolamentazione esplicita della biometria comportamentale per la SCA. Questi gruppi sottolineano costantemente la necessità di neutralità tecnologica e flessibilità all'interno del quadro SCA per promuovere l'innovazione ed evitare l'esclusione digitale. CCIA Europe solleva preoccupazioni pratiche sull'implementabilità degli ampi diritti degli emittenti di audit e controllo delle disposizioni di sicurezza dei TSP nell'ambito degli accordi di DA.

Tabella: Posizioni chiave del settore su Autenticazione Delegata e SCA sotto PSD3/PSR

La forte e coordinata opposizione all'approccio attuale della bozza sottolinea una tensione fondamentale. L'industria desidera i benefici in termini di esperienza utente e innovazione potenzialmente offerti dalla DA, ma cerca di evitare i significativi oneri di conformità associati all'outsourcing regolamentato secondo le Linee Guida dell'EBA. La loro alternativa proposta – definire l'outsourcing in base al fatto che l'emittente mantenga il controllo – mira a ritagliare uno spazio per la DA che sia meno intensivo dal punto di vista normativo. La risoluzione di questo dibattito durante le discussioni legislative sarà cruciale per determinare la fattibilità pratica e l'attrattiva della DA per molti TSP.

Nonostante questa incertezza normativa, attori di primo piano come Stripe e Mastercard non stanno aspettando. Stanno attivamente sviluppando e implementando soluzioni di DA ora, utilizzando quadri esistenti come accordi bilaterali e regole di schema, spesso incorporando tecnologie avanzate come la biometria e gli standard FIDO. Questa strategia proattiva consente loro di conquistare una quota di mercato iniziale, dimostrare la fattibilità tecnica della DA, potenzialmente plasmare gli standard emergenti e preparare i loro clienti per il panorama futuro. Questo approccio non è guidato esclusivamente dal miglioramento dell'esperienza del consumatore; serve anche a legare i clienti più strettamente al fornitore di pagamenti piuttosto che all'emittente, il tutto navigando nei rischi intrinseci di un ambiente normativo in evoluzione e dei relativi spostamenti di responsabilità. Man mano che l'industria esplora questi nuovi modelli di DA, il ruolo di tecnologie di autenticazione avanzate come le passkey diventa sempre più centrale per raggiungere sia gli obiettivi di sicurezza che di esperienza utente.

Le passkey, basate sullo standard WebAuthn della FIDO Alliance, rappresentano un importante progresso nella tecnologia di autenticazione, e questa sezione discuterà come potrebbero aiutare a colmare il divario per l'Autenticazione Forte del Cliente (SCA) in un contesto di Autenticazione Delegata (DA).

La forza principale delle passkey è l'uso della crittografia a chiave pubblica per creare credenziali uniche per ogni sito web o app. Questo meccanismo le rende intrinsecamente resistenti agli attacchi di phishing, poiché la credenziale funziona solo sul sito legittimo per cui è stata creata e si basa su uno sblocco sicuro del dispositivo (spesso tramite biometria) piuttosto che su segreti condivisi come le password. Questa combinazione offre il potenziale sia per una maggiore sicurezza che per un'esperienza utente più fluida.

Da un punto di vista tecnico, le passkey sembrano idealmente adatte per scenari di Autenticazione Delegata. In un flusso di DA, un esercente o un gateway che esegue la SCA potrebbe chiedere all'utente di autenticarsi utilizzando una passkey memorizzata sul proprio dispositivo (telefono, computer). Questa autenticazione avviene direttamente all'interno dell'ambiente dell'esercente o del TSP, sfruttando le capacità biometriche integrate del dispositivo (come Face ID o la scansione delle impronte digitali) per la verifica, eliminando così la necessità di reindirizzamenti o di ingombranti codici monouso (OTP). Questo si allinea perfettamente con l'obiettivo della DA di creare checkout più fluidi e sicuri. Ma diamo un'occhiata a come un emittente potrebbe controllare e verificare un'autenticazione di terze parti con le passkey.

Tuttavia, l'integrazione delle passkey nel mondo regolamentato della SCA, specialmente sotto la DA, affronta delle sfide. La rigida categorizzazione in tre fattori (Conoscenza, Possesso, Inerenza) della PSD2 ha creato ambiguità su come si inseriscono le passkey, in particolare per quanto riguarda l'elemento 'Possesso' e l'indipendenza dei fattori quando la biometria sblocca il dispositivo che detiene la passkey. L'emergere delle passkey sincronizzate (che possono essere disponibili su più dispositivi) complica ulteriormente questa classificazione.

Sebbene PSD3/PSR introduca una certa flessibilità chiarendo che i fattori di autenticazione devono solo essere indipendenti (la compromissione di uno non influisce sull'altro) piuttosto che appartenere necessariamente a categorie diverse, come esplicitamente dichiarato nella proposta di regolamento:

Questo non risolve completamente l'ambiguità della classificazione né fornisce un'approvazione esplicita per le passkey sincronizzate come conformi alla SCA. Questa incertezza normativa rafforza le argomentazioni di attori come PayPal, che sostengono un approccio alla SCA basato sui risultati, concentrandosi sui risultati di sicurezza comprovati (come la resistenza al phishing) forniti da metodi come le passkey, piuttosto che forzarli in schemi categorici potenzialmente obsoleti. (Per un'analisi più approfondita della SCA basata sui risultati e delle passkey, consultate la nostra analisi sulla SCA basata sui risultati)

Data l'ampia adozione delle passkey sincronizzate da parte di utenti ed esercenti, e le limitazioni di SPC, il quadro PSD3/PSR dovrebbe mirare a creare un percorso chiaro per sfruttare queste relazioni di passkey esistenti all'interno dell'Autenticazione Delegata. Questo approccio si concentrerebbe sulla sicurezza pratica e basata sui risultati, piuttosto che essere vincolato da implementazioni tecniche specifiche concepite prima della maturazione delle passkey sincronizzate. Per raggiungere questo obiettivo, sono necessari diversi sviluppi chiave, incentrati su aggiustamenti normativi, meccanismi di fiducia operativi e standard di settore in evoluzione. Un modello di DA a prova di futuro che sfrutta le passkey sincronizzate potrebbe comportare diversi sviluppi chiave che discuteremo ora.

Una diffusione efficace delle passkey sincronizzate nella DA inizia con una chiara Abilitazione e Mandati Normativi sotto PSD3/PSR. Ciò comporta le seguenti considerazioni chiave:

• Approvazione Esplicita delle Passkey Sincronizzate per la DA: PSD3/PSR dovrebbe chiarire esplicitamente che le passkey sincronizzate, se usate in modo appropriato, possono soddisfare i requisiti SCA in un contesto di DA. L'attenzione dovrebbe essere sul legame crittografico verificabile, sulla resistenza al phishing ottenuta e sull'indipendenza del processo di autenticazione, piuttosto che su un'adesione rigida alle categorizzazioni dei fattori SCA pre-passkey.
• Dati di Autenticazione Ricchi Obbligatori: In linea con le richieste del settore (come quelle di Mastercard), il regolamento dovrebbe imporre che i TSP che eseguono la DA debbano includere dati di autenticazione completi e standardizzati (ad es. dettagli dell'autenticazione con passkey, elementi di assertion FIDO pertinenti e segnali di rischio contestuali) all'interno delle informazioni sulla transazione di pagamento inviate alle reti di pagamento e agli emittenti. Questo si basa su meccanismi esistenti come il campo threeDSRequestorAuthenticationInfo utilizzato in EMV 3DS per i dati FIDO dell'esercente 1.

Oltre alla chiarezza normativa, Operazionalizzare la Fiducia con le Passkey Detenute dall'Esercente è cruciale per un'adozione diffusa. Ciò richiede sistemi e processi robusti per:

• Verifica da parte dell'Emittente della DA Iniziata dall'Esercente: Gli emittenti avrebbero bisogno di sistemi robusti per ricevere e verificare crittograficamente le assertion di autenticazione generate dalle passkey. Fondamentalmente, in molti scenari di DA, la passkey utilizzata potrebbe essere quella che l'utente ha già creato con l'esercente per accedere ai servizi propri dell'esercente.
• Sfida Dinamica e Controllo dell'Emittente: Per mantenere il controllo dell'emittente e garantire il collegamento dinamico, una transazione DA potrebbe funzionare come segue:
  • L'emittente (o la rete di pagamento per suo conto) fornisce una sfida unica e specifica per la transazione al TSP (esercente/gateway).
  • Il TSP chiede all'utente di autorizzare la transazione firmando questa sfida (più i dati critici della transazione) utilizzando la sua passkey sincronizzata esistente registrata con l'esercente.
  • L'assertion firmata viene restituita all'emittente per la verifica.
• Roll-Over Condizionale della DA: Un'autenticazione iniziale più forte direttamente con l'emittente (magari utilizzando una passkey registrata dall'emittente o un robusto flusso di sfida 3DS) potrebbe stabilire una relazione di fiducia per una specifica passkey dell'esercente. Le successive transazioni DA che utilizzano la stessa passkey dell'esercente verificata potrebbero quindi procedere con il modello di sfida dinamica descritto sopra, offrendo un'esperienza utente più fluida finché la passkey rimane valida e i parametri di rischio sono soddisfatti.

Infine, il successo a lungo termine della DA basata su passkey dipenderà da Standard in Evoluzione e da un deciso spostamento verso una Prospettiva SCA Basata sui Risultati. Ciò comporta:

• Ruolo degli Organismi di Settore: Organizzazioni come la FIDO Alliance (inclusi i suoi gruppi di lavoro focalizzati sui pagamenti) ed EMVCo sono cruciali nello sviluppo e nella standardizzazione dei protocolli e dei segnali di fiducia necessari per supportare tali modelli di DA in modo sicuro e scalabile. Ciò include la definizione di come le assertion di autenticazione dalle passkey detenute dall'esercente possano essere presentate e verificate in modo affidabile dagli emittenti in un contesto di DA.
• Oltre le Definizioni Rigide della SCA: L'obiettivo finale dovrebbe essere quello di passare a un approccio alla SCA basato sui risultati. Se un metodo di DA che utilizza passkey sincronizzate (anche quelle create con l'esercente) può dimostrare di fornire un'autenticazione a più fattori resistente al phishing e collegata dinamicamente alla transazione, dovrebbe essere considerato conforme. Ciò dà priorità al risultato di sicurezza effettivo rispetto all'aderenza a interpretazioni tradizionali, a volte obsolete, degli elementi SCA, promuovendo così l'innovazione e sfruttando tecnologie già familiari agli utenti.

Questa evoluzione consentirebbe all'ecosistema dei pagamenti di capitalizzare il significativo investimento e l'adozione esistenti delle passkey sincronizzate sia da parte degli utenti che degli esercenti, creando un percorso per un'Autenticazione Delegata più sicura, fluida e ampiamente accessibile.

Il diagramma di sequenza sopra illustra un potenziale futuro per l'Autenticazione Delegata (DA) che sfrutta le passkey all'interno dell'ecosistema dei pagamenti. Raffigura un flusso semplificato in cui gli esercenti, utilizzando le passkey, potrebbero eseguire l'Autenticazione Forte del Cliente (SCA) per conto degli emittenti. Questa visione si allinea con la direzione di PSD3/PSR e la crescente adozione della tecnologia passkey.

Verifica della Realtà: Tuttavia, questo futuro immaginato non è ancora lo standard attuale. Diverse sfide pratiche devono essere affrontate per un'adozione diffusa. I quadri normativi, in particolare sotto l'imminente PSD3/PSR, devono chiarire completamente come le passkey sincronizzate si inseriscono nell'Autenticazione Forte del Cliente e come verrà gestita la responsabilità negli scenari di Autenticazione Delegata. Gli standard tecnici essenziali, compresi quelli per gli emittenti per verificare le passkey detenute dall'esercente e per garantire un collegamento dinamico della transazione coerente su tutte le piattaforme, sono ancora in fase di maturazione. Costruire un'ampia fiducia degli emittenti nei processi di autenticazione gestiti dagli esercenti è anche un passo fondamentale. Inoltre, garantire un'esperienza utente fluida, gestire potenzialmente più passkey per utente e raggiungere un supporto universale browser/piattaforma per tutte le funzionalità specifiche dei pagamenti richieste rimangono sforzi continui. Infine, affrontare eventuali percezioni di sicurezza residue riguardo agli ecosistemi di passkey sincronizzate e all'affidabilità dell'attestazione sarà importante per costruire una piena fiducia.

Nonostante questi ostacoli – molti dei quali sono specifici della legislazione europea sulla SCA che, è importante ricordare, si applica solo all'Europa – la tecnologia sottostante per un tale sistema è in gran parte già disponibile. Ciò è dimostrato dalla realtà odierna: l'ampia adozione delle passkey da parte di importanti attori al di fuori dell'UE, come PayPal, e l'uso estensivo da parte di numerose banche statunitensi (incluse quelle che utilizzano Banno di Jack Henry e molte altre). Il flusso raffigurato è quindi tecnicamente fattibile e capitalizzerebbe su questo forte slancio esistente di adozione delle passkey da parte di utenti ed esercenti, piuttosto che lavorare contro di esso. Questo approccio potrebbe aprire la strada a esperienze di pagamento più sicure e fluide a livello globale.

Le proposte PSD3 e PSR rappresentano un'evoluzione significativa nel quadro normativo dei pagamenti dell'UE, con l'obiettivo di basarsi sulle fondamenta della PSD2 affrontandone al contempo i limiti e adattandosi a un mercato in rapida digitalizzazione.

Uno sviluppo chiave è l'abilitazione esplicita dell'Autenticazione Delegata (DA), che consente a terze parti come esercenti e portafogli di eseguire l'Autenticazione Forte del Cliente (SCA) per conto delle banche emittenti. Tuttavia, questa abilitazione arriva con un'avvertenza cruciale all'interno dell'UE: la classificazione della DA come 'outsourcing'. Ciò innesca una complessa rete di obblighi di conformità secondo le Linee Guida dell'EBA sugli Accordi di Outsourcing e il Digital Operational Resilience Act (DORA). Inoltre, le proposte spostano la responsabilità per la SCA fallita direttamente sull'entità che esegue l'autenticazione delegata.

Questo crea una tensione fondamentale, in particolare nel contesto europeo. Da un lato, c'è la spinta normativa per una maggiore sicurezza, controllo e resilienza, manifestata attraverso rigorosi requisiti di outsourcing e resilienza operativa. Dall'altro, c'è il forte desiderio dell'industria per l'innovazione, la flessibilità e migliori esperienze utente, che la DA, in particolare se combinata con metodi moderni come le passkey, promette di offrire. Gli intensi sforzi di lobbying che circondano la definizione di 'outsourcing' ai fini della DA evidenziano questo conflitto. È degno di nota che, sebbene questi specifici ostacoli normativi siano prominenti nell'UE, la tecnologia passkey sottostante sta vedendo una robusta adozione globale e un'implementazione di successo in altri mercati con panorami normativi diversi.

Il futuro tasso di adozione e l'impatto dell'Autenticazione Delegata, specialmente all'interno dell'UE, dipendono in modo critico dai dettagli finali del processo legislativo – in particolare per quanto riguarda l'ambito delle regole di outsourcing, l'allocazione della responsabilità e, soprattutto, il riconoscimento esplicito delle passkey sincronizzate come meccanismo conforme alla SCA all'interno della DA. Sarà inoltre fondamentale la capacità dell'industria di stabilire quadri di fiducia pratici e scalabili tra emittenti e TSP che eseguono l'autenticazione.

Le passkey, in particolare le passkey sincronizzate, sono intrinsecamente allineate con gli obiettivi della DA, offrendo una robusta resistenza al phishing e il potenziale per esperienze utente fluide e basate sulla biometria. Rappresentano un'alternativa convincente alle password tradizionali e agli OTP. La sfida non risiede nella fattibilità tecnica dell'utilizzo delle passkey per la DA – come dimostrato dalla loro adozione globale di successo per vari scopi di autenticazione – ma nel navigare nei requisiti normativi specifici dell'UE e nello stabilire criteri chiari e basati sui risultati per la loro accettazione sotto la SCA. Un approccio che dia priorità ai risultati di sicurezza dimostrabili delle autenticazioni con passkey (ad es. verificabilità crittografica, resistenza al phishing, collegamento dinamico) rispetto a un'adesione rigida alle tradizionali categorizzazioni dei fattori sarà essenziale per sbloccare il loro pieno potenziale nella DA.

Per le aziende che operano nell'ecosistema dei pagamenti europeo, i prossimi anni richiedono un attento monitoraggio della finalizzazione di PSD3, PSR e degli standard tecnici EBA associati. Le organizzazioni dovrebbero valutare proattivamente come l'Autenticazione Delegata, potenziata dall'ecosistema maturo delle passkey, potrebbe rimodellare le loro strategie di pagamento e autenticazione. Ciò comporta non solo la valutazione del potenziale di tecnologie come le passkey sincronizzate, ma anche la preparazione ai cambiamenti operativi e di conformità necessari per costruire una fiducia verificabile con i partner negli accordi di DA.

Per i fornitori di soluzioni di autenticazione, l'opportunità risiede nello sviluppo di offerte sicure, facili da usare e architettate per aiutare i clienti (TSP) a soddisfare i rigorosi requisiti di conformità della DA nel panorama PSD3/PSR. Ciò include la facilitazione dello scambio sicuro di dati di autenticazione e il supporto di meccanismi che consentano agli emittenti di verificare con fiducia le transazioni DA eseguite con passkey detenute dall'esercente, promuovendo in definitiva le esperienze di pagamento sicure e fluide che PSD3/PSR mira a raggiungere sfruttando lo slancio globale della tecnologia passkey.