L’EBA ha pubblicato delle nuove Q&A che chiariscono in modo esaustivo l’applicazione dell’autenticazione forte del cliente (SCA) ai digital wallet nell’ambito della revisione della direttiva sui servizi di pagamento (PSD2).
Le Q&A chiariscono l’applicazione dell’autenticazione forte del cliente all’iscrizione di una carta di pagamento in un digital wallet e all’avvio di operazioni di pagamento con versioni digitalizzate di una carta di pagamento.
Esse chiariscono inoltre i requisiti applicabili all’esternalizzazione dell’applicazione dell’SCA ai fornitori di digital wallet.
Partendo dall’iscrizione di una carta di pagamento in un digital wallet, la Q&A 5622, ad esempio, chiarisce che questo processo porta alla creazione di un token/versione digitalizzata della carta di pagamento e richiede l’applicazione dell’autenticazione forte del cliente (SCA) ai sensi dell’articolo 97, paragrafo 1, lettera c), della PSD2, in quanto si tratta di un’azione che può comportare il rischio di frodi o altri abusi.
Applicando l’autenticazione forte del cliente, il prestatore di servizi di pagamento (PSP) verifica a distanza che l’utente dei servizi di pagamento (PSU) sia il legittimo utilizzatore della carta di pagamento e associa il PSU e la versione digitalizzata della carta di pagamento al rispettivo dispositivo.
La Q&A 6141 aveva già chiarito che il PSP che ha emesso la carta di pagamento (l’emittente) è tenuto ad applicare le SCA quando aggiunge una carta di pagamento a un digital wallet ed è responsabile di fornire i rispettivi elementi di autenticazione forte del cliente al PSU.
L’emittente è inoltre tenuto a garantire l’adozione di adeguate misure di sicurezza per proteggere la riservatezza e l’integrità delle credenziali di sicurezza personalizzate dell’PSU.
Per quanto riguarda l’esternalizzazione, le Q&A, nel complesso, chiariscono che gli emittenti possono esternalizzare la fornitura e la verifica degli elementi di SCA a una terza parte (ad esempio, concludendo accordi contrattuali con la terza parte), come un fornitore di digital wallet, nel rispetto dei requisiti generali sull’outsourcing, compresi i requisiti degli orientamenti dell’EBA sugli accordi di esternalizzazione.
Tuttavia, la responsabilità della conformità ai requisiti di autenticazione forte del cliente non può essere esternalizzata e gli emittenti rimangono pienamente responsabili della conformità ai requisiti della PSD2 e alle norme tecniche di regolamentazione (RTS) su SCA&CSC.
Per quanto riguarda l’avvio di operazioni di pagamento elettronico, la Q&A 5622 chiarisce che anche l’avvio di operazioni con la versione digitalizzata della carta di pagamento richiede l’applicazione di SCA ai sensi dell’articolo 97, paragrafo 1, lettera b), della PSD2, a meno che non si applichi una delle esenzioni specifiche dall’applicazione di SCA stabilite negli RTS su SCA&CSC.
Infine, la Q&A 6145 chiarisce che lo sblocco di un telefono cellulare mediante dati biometrici (ad esempio l’impronta digitale) o con un PIN/password non può essere considerato un elemento SCA valido ai fini dell’aggiunta di una carta di pagamento a un digital wallet, se il meccanismo di blocco dello schermo del dispositivo mobile non è un processo sotto il controllo dell’emittente.
La Q&A 6464 chiarisce inoltre che anche l’emissione di un nuovo token, in sostituzione di uno precedentemente esistente, e il suo collegamento a un dispositivo/utente richiedono l’applicazione dei requisiti dell’autenticazione forte del cliente.