Symantec
05/03/2015

Frodi online, un "business" da 800 milioni di euro. Le nuove linee guida dell'EBA

Preoccupata dall’escalation delle frodi online, l’Autorità Bancaria Europea ha appena pubblicato le sue linee guida finali sulla sicurezza dei pagamenti via Internet, che i fornitori di servizi di pagamento online dovrebbero implementare entro il 1° agosto 2015.



In attesa della revisione della Direttiva sui Servizi di Pagamento, prevista per il 2017/2018, l’European Banking Authority (EBA) ha ritenuto necessaria una pronta implementazione di misure che garantiscano una maggiore sicurezza dei pagamenti effettuati via Internet.

Le linee guida dell’EBA, pubblicate lo scorso 19 dicembre, stabiliscono i requisiti minimi di sicurezza che i fornitori di servizi di pagamento dell’Unione Europea dovrebbero implementare entro il 1° agosto 2015 e si basano sul lavoro tecnico del Forum Europeo per la Sicurezza dei Pagamenti al Dettaglio (SecuRe Pay).


L’Autorità Bancaria Europea ha deciso di emanare queste linee guida a causa del notevole aumento delle truffe nei pagamenti via Internet riscontrato negli ultimi anni: le cifre a disposizione riportano infatti ben 794 milioni di euro di perdite nel 2012 (il 21,2% in più rispetto all’anno precedente) per truffe nei pagamenti effettuati tramite sola carta di credito.

Tra le misure finalizzate a rendere più sicuri i pagamenti via Internet, le linee guida dell’EBA richiedono, in particolare, che i fornitori di servizi di pagamento prendano idonei provvedimenti per non rischiare la contraffazione dei propri siti Web, ciò mediante l’adozione di certificati SSL di tipo Extended Validation o con altri metodi di autenticazione simili, ed effettuino inoltre una Strong Authentication del cliente, in modo tale da verificarne l’identità prima di procedere al pagamento online. Per Strong Authentication le linee guida intendono una procedura basata sull’uso di due o più dei seguenti elementi:

  • qualcosa che soltanto il cliente conosce (per esempio una password);
  • qualcosa che soltanto il cliente possiede (per esempio un token);
  • una qualche caratteristica propria soltanto del cliente (per esempio un’impronta digitale).

Gli elementi utilizzati devono essere mutuamente indipendenti, nel senso che la violazione di uno di essi non deve compromettere nessuno degli altri. Inoltre, almeno uno degli elementi deve essere non riutilizzabile, non replicabile e non in grado di essere sottratto via Internet. La procedura di strong authentication infine deve essere realizzata in modo tale da proteggere la riservatezza dei dati di autenticazione.