L’introduzione del nuovo Regolamento (UE) 2024/886 sui bonifici istantanei rappresenta un passo significativo verso l’ottimizzazione e la sicurezza dei pagamenti elettronici nell’Unione Europea. Dal punto di vista della sicurezza informatica, però, ci sono diversi aspetti tecnici che meritano attenzione.

In primo luogo, il Regolamento prevede l’implementazione di misure di sicurezza più rigorose per garantire l’integrità e la riservatezza delle transazioni.

Con l’aumento dei pagamenti istantanei, è fondamentale che i prestatori di servizi di pagamento (PSP) adottino tecnologie avanzate per proteggere i dati sensibili degli utenti.

Ciò include l’uso di crittografia robusta e protocolli di autenticazione multifattoriale, che riducono il rischio di frodi e accessi non autorizzati.

Nuovi obblighi sulle tempistiche e adeguamenti di sicurezza

Tra i primi obblighi che il nuovo regolamento porta con sé ci sono le tempistiche. La rapidità con cui i bonifici istantanei vengono elaborati – 24 ore su 24 e 7 giorni su 7 – richiede un’infrastruttura tecnologica robusta e sicura.

I prestatori di servizi di pagamento (PSP) devono garantire che i loro sistemi siano in grado di gestire un volume elevato di transazioni in tempo reale, senza compromettere la sicurezza.

Secondo il regolamento, i prestatori di servizi di pagamento (PSP) devono garantire che le transazioni di bonifico istantaneo siano elaborate in tempo reale. In particolare, il PSP del pagatore deve inviare l’operazione di pagamento al PSP del beneficiario entro dieci secondi dalla ricezione dell’ordine di pagamento. Questo vincolo temporale richiede un’infrastruttura tecnologica altamente efficiente e reattiva.

Per rispettare le tempistiche di elaborazione, i PSP devono disporre di sistemi informatici che possano gestire un elevato volume di transazioni simultanee. Ciò implica l’uso di architetture scalabili e resilienti, in grado di mantenere prestazioni elevate anche durante picchi di traffico.

La sicurezza di tali sistemi deve essere garantita attraverso misure come la segmentazione della rete, l’uso di firewall avanzati e sistemi di rilevamento delle intrusioni.

La rapidità di elaborazione non deve compromettere la sicurezza dei dati. I PSP devono implementare protocolli di crittografia robusti per proteggere le informazioni sensibili durante la trasmissione.

Questo è particolarmente importante in un contesto in cui le transazioni avvengono in tempo reale, poiché i dati devono essere protetti da potenziali attacchi man-in-the-middle.

La necessità di elaborare le transazioni rapidamente richiede anche che i processi di autenticazione siano efficienti. L’implementazione di sistemi di autenticazione a più fattori (MFA) deve essere bilanciata con la necessità di non rallentare il processo di pagamento.

I PSP devono sviluppare soluzioni che consentano una verifica rapida e sicura dell’identità dell’utente, riducendo al contempo il rischio di frodi.

Per garantire la sicurezza delle transazioni istantanee, i PSP devono implementare sistemi di monitoraggio in tempo reale che possano rilevare attività sospette o anomalie.

Questi sistemi devono essere in grado di analizzare i dati delle transazioni mentre vengono elaborate, identificando potenziali frodi o violazioni della sicurezza. La capacità di rispondere rapidamente a tali minacce è cruciale per mantenere la fiducia degli utenti.

Nonostante le misure di sicurezza, è fondamentale che i PSP abbiano piani di contingenza in atto per affrontare eventuali incidenti di sicurezza. Ciò include procedure per la gestione delle violazioni dei dati e la comunicazione con gli utenti in caso di problemi.

La rapidità di risposta a tali incidenti è essenziale per minimizzare i danni e mantenere la fiducia nel sistema di pagamento.

La verifica della corrispondenza tra IBAN e nome beneficiario

Un altro aspetto cruciale è il “Verification of Payee”, un meccanismo che mira a garantire che il pagatore stia inviando fondi al beneficiario corretto. Da regolamento i PSP sono obbligati a fornire questo servizio senza costi aggiuntivi per gli utenti finali (USP), garantendo così che la verifica del beneficiario non comporti oneri economici per il pagatore. L’adeguamento è obbligatorio entro ottobre 2025 (18 mesi dall’entrata in vigore del regolamento).

Questo sistema non solo aiuta a prevenire errori di pagamento, ma è anche una misura di sicurezza fondamentale per combattere le frodi. Tuttavia, per implementare efficacemente questa funzionalità, è necessaria una connessione infrastrutturale tra i diversi PSP, che attualmente non è completamente sviluppata. La mancanza di soluzioni infrastrutturali adeguate potrebbe rappresentare una vulnerabilità, rendendo necessaria una maggiore cooperazione tra le istituzioni finanziarie.

Dal punto di vista tecnico, visto che il servizio di verifica deve essere effettuato immediatamente dopo che il pagatore ha fornito le informazioni relative al beneficiario e prima che gli venga data l’opzione di autorizzare il bonifico, si può pensare a una integrazione AJAX in fase di digitazione di IBAN e beneficiario, con scambio di API sottostante (avendo a mondo consolidato appunto un sistema di interscambio tra istituti).

Oppure si può ipotizzare che il controllo intervenga subito dopo l’inserimento dei dati, nella schermata dove vengono riepilogati i dati del bonifico, per essere appunto confermati con la “firma” dell’operazione (solitamente un’autorizzazione SCA biometrica o, purtroppo, ancora anche con OTP). Questo assicura che il pagatore sia informato prima di completare l’operazione.

I PSP devono stabilire collegamenti diretti con altri PSP per inviare e ricevere richieste di verifica. Questi collegamenti possono essere realizzati attraverso API (Application Programming Interface) o altre soluzioni tecniche che garantiscano la rapidità e la sicurezza delle comunicazioni.

È essenziale che i dati scambiati tra i PSP siano conformi agli standard definiti dall’EPC, come l’uso dell’IBAN e di altri identificativi (ad esempio, il codice fiscale o il LEI) per facilitare la corrispondenza. L’EPC ha avviato una consultazione pubblica e prevede di rilasciare linee guida formali per supportare i PSP nell’implementazione dello schema VOP.

Queste linee guida saranno fondamentali per garantire che tutti gli operatori seguano pratiche coerenti e sicure nell’esecuzione delle verifiche.

Indiscrezioni non ufficiali fanno capire che potrebbe esserci dietro la Rete Nazionale Interbancaria (RNI) di Nexi, come parte di questo processo e il recente interesse con ipotesi di acquisto proprio di questa rete, da parte di Cassa Depositi e Prestiti, potrebbe essere l’inizio di un sistema interbancario riportato sotto il controllo pubblico, sottolineando che si tratta di infrastruttura strategica per la stabilità del sistema economico del Paese (operazione stimata in 400 milioni di euro).

Misure solide anti-frode

Il regolamento richiede che i PSP adottino misure solide di prevenzione delle frodi. Ciò significa che devono essere in grado di identificare e mitigare le minacce in tempo reale, utilizzando tecnologie come l’intelligenza artificiale e l’apprendimento automatico per analizzare i modelli di comportamento delle transazioni e rilevare attività sospette.

La capacità di rispondere rapidamente a potenziali minacce è essenziale per mantenere la fiducia degli utenti e garantire la sicurezza del sistema. L’autenticazione forte del cliente è un requisito fondamentale che richiede l’uso di almeno due fattori di autenticazione da categorie diverse (qualcosa che l’utente conosce, possiede o è).

I PSP devono implementare sistemi di autenticazione che possano includere password, token fisici, biometria (come impronte digitali o riconoscimento facciale) e notifiche push su dispositivi mobili. L’uso di MFA (Multi-Factor Authentication) è essenziale per ridurre il rischio di accessi non autorizzati.

I PSP devono anche adottare sistemi di monitoraggio che analizzano le transazioni in tempo reale per identificare comportamenti sospetti. Questi sistemi possono utilizzare algoritmi di machine learning per rilevare anomalie rispetto ai modelli di spesa abituali degli utenti.

Le transazioni che presentano caratteristiche sospette (ad esempio, importi elevati, località insolite o frequenza anomala) devono essere contrassegnate per ulteriori verifiche. Questo processo deve essere rapido per non compromettere l’esperienza dell’utente.

È fondamentale che il personale dei PSP riceva formazione regolare sulle tecniche di frode e sulle misure di prevenzione. La consapevolezza delle minacce emergenti e delle migliori pratiche di sicurezza è essenziale per ridurre il rischio di frodi interne ed esterne.

I PSP possono condurre simulazioni di frode per testare la prontezza del personale e l’efficacia delle misure di sicurezza implementate.

Partecipare a reti di sicurezza e gruppi di lavoro può fornire ai PSP accesso a risorse e conoscenze condivise per migliorare le loro misure di prevenzione delle frodi. I PSP devono condurre audit regolari delle loro misure di sicurezza e dei processi di prevenzione delle frodi per identificare vulnerabilità e aree di miglioramento.

È importante effettuare valutazioni del rischio per comprendere le minacce specifiche a cui sono esposti e per adattare le misure di sicurezza di conseguenza.

Altri nuovi obblighi dei prestatori di pagamento

Inoltre, il Regolamento introduce un modello di controllo della compliance che semplifica le attività di monitoraggio per i PSP. Invece di controllare la conformità per ogni singola transazione, i PSP dovranno effettuare controlli giornalieri sulla propria clientela.

Questo approccio non solo riduce il carico di lavoro, ma potrebbe anche migliorare la sicurezza, poiché consente una gestione più efficiente delle liste di sanzioni e dei rischi associati.

Infine, è importante considerare l’impatto delle nuove tecnologie e delle innovazioni nel settore dei pagamenti. L’adozione di soluzioni digitali avanzate, come l’intelligenza artificiale e l’analisi dei dati, può migliorare la capacità dei PSP di rilevare attività sospette e prevenire frodi in tempo reale.

Tuttavia, queste tecnologie devono essere implementate con attenzione, poiché possono anche introdurre nuove vulnerabilità se non gestite correttamente.

In sintesi, il nuovo Regolamento sui bonifici istantanei non solo promuove l’efficienza e la rapidità delle transazioni, ma pone anche un forte accento sulla sicurezza informatica.

Le istituzioni finanziarie dovranno investire in tecnologie avanzate e collaborare strettamente per garantire che il sistema di pagamenti rimanga sicuro e affidabile in un panorama in continua evoluzione.