icon
skip to content

PSD2, collegamento dinamico e autenticatori FIDO

PSD2, Dynamic Linking, FIDO Authenticators

 

Gli ultimi cambiamenti nell'area della tecnologia finanziaria associati al regolamento dell'Unione Europea PSD2 (Direttiva sui servizi di pagamento) interesseranno molte persone comuni che si sono abituate a utilizzare l'online banking su base giornaliera (o anche di tanto in tanto ). Questo perché le innovazioni PSD2 dipendono da un mezzo di autenticazione forte. Quindi, se decidi di provare una nuova applicazione fintech, devi essere pronto a fornire quel mezzo.

Con PSD2, puoi migliorare notevolmente la tua esperienza utente cercando e provando diverse soluzioni che soddisfino le tue esigenze. Tuttavia, diverse soluzioni fintech avranno requisiti diversi per l'autenticazione forte. Ciò significa che gli utenti saranno costretti ad aggiungere un portachiavi al proprio portachiavi ogni volta che decidono di iniziare a utilizzare una nuova applicazione?

L'approccio FIDO (Fast IDentity Online) elimina la situazione sopra descritta fornendo una soluzione standardizzata universale per l'autenticazione forte. Un utente può utilizzare un singolo autenticatore conforme a FIDO per un numero illimitato di risorse desiderate. Tuttavia, un utente deve avere una certa consapevolezza dell'argomento per poter scegliere un vero dispositivo FIDO.

RTS (Norme tecniche di regolamentazione) su SCA (Strong Customer Authentication) (articolo 5 della direttiva (UE) 2018/389) su richiesta della PSD2 (articolo 97, paragrafo 2, della direttiva (UE) 2015/2366) — tra le altre capacità di autenticazione — descrive il collegamento dinamico. Con il collegamento dinamico, i fornitori di servizi di pagamento forniscono i seguenti requisiti:  

  1. il pagatore è messo a conoscenza dell'importo dell'operazione di pagamento e del beneficiario;
  2. il codice di autenticazione generato è specifico per l'importo della transazione di pagamento e il beneficiario accettato dal pagatore al momento dell'avvio della transazione;
  3. il codice di autenticazione accettato dal prestatore di servizi di pagamento corrisponde all'importo specifico originale dell'operazione di pagamento e all'identità del beneficiario concordata dal pagatore;
  4. qualsiasi modifica dell'importo o del beneficiario comporta l'invalidazione del codice di autenticazione generato.

 

In pratica, ciò significa che un utente dovrebbe essere in grado di approvare o rifiutare la transazione, ma deve vedere tutte le informazioni sulla transazione, inclusi l'importo e il beneficiario, subito dopo aver inviato la richiesta di la transazione, ma prima della conferma definitiva. Inoltre, deve avvenire direttamente sul loro autenticatore. Dietro le quinte, questo approccio consente l'applicazione di una sequenza di passaggi di crittografia per eliminare la minaccia di alterazione o spoofing della transazione.

Per utilizzare l'approccio universale FIDO nei casi d'uso PSD2, un autenticatore FIDO deve fornire una funzionalità nota come conferma della transazione (WYSIWYS - What You See Is What You Sign). Se un autenticatore FIDO implementa la funzione, che si tratti di un token hardware o di un telefono cellulare, esiste un modo per visualizzare e confermare la transazione utilizzando le funzionalità dell'autenticatore. Naturalmente, l'opzione più conveniente per visualizzare le informazioni sulla transazione è un telefono cellulare.

Tutto quello che devi sapere è che se hai intenzione di acquistare un autenticatore FIDO per le tue applicazioni fintech, hai bisogno di una funzionalità WYSIWYS o di conferma della transazione. Non tutti i dispositivi forniscono questa funzionalità per impostazione predefinita.

Related Posts