Wallester Insights: PSD2 e Strong Customer Authentication Compliance

Pubblicato: 2023-07-21

Qualsiasi software deve includere strumenti di autenticazione per garantirne la credibilità e l'usabilità tra diversi tipi di pubblico. È diventato un componente cruciale dell'architettura di sicurezza e protezione e il suo ruolo difficilmente può essere sottovalutato nel settore FinTech. Con diverse transazioni di e-commerce che avvengono ogni secondo, questo mercato è incline ad affrontare più riciclaggio di denaro e minacce di frode. Da questo punto di vista, la scelta di un servizio di emissione di carte conforme agli standard di autenticazione e sicurezza informatica di fascia alta è più di una semplice raccomandazione.

È qui che entrano in gioco le normative PSD2. Resta sintonizzato per comprendere il vero significato del termine e il ruolo del suo impatto sull'ambiente finanziario di qualsiasi azienda. Avanti!

Sommario mostra
  • Tecniche avanzate di clonazione
  • PSD2: definizione, influenza e obiettivi
  • La direttiva riveduta sui servizi di pagamento (PSD2)
  • Lavorare con piattaforme di emissione di carte professionali: Wallester Edition
  • Avvolgetelo

Tecniche avanzate di clonazione

shopping-fintech-customer-point-of-sale-pos-payment-commerce

Attualmente, l'autorizzazione in tempo reale delle carte EMV clonate rimane un compito irrealizzabile. L'estrazione di chiavi crittografiche essenziali per la generazione di crittogrammi di pagamento è rimasta sfuggente sia agli attori malintenzionati che ai ricercatori diligenti. Tuttavia, è fondamentale riconoscere che esistono metodi alternativi per creare repliche di carte funzionali:

Uno di questi metodi utilizzati dai criminali comporta l'iscrizione del valore Track2 Equivalent sulla banda magnetica. Duplicando le informazioni presenti sulla banda magnetica di una carta, nota come Track2 Equivalent, questa tecnica funge da parametro per l'identificazione della carta all'interno dei sistemi HSM (Hardware Security Module) e altri sottosistemi dedicati responsabili dell'elaborazione della carta.

Di conseguenza, individui malintenzionati utilizzano occasionalmente questo attacco incorporando Track2 Equivalent Data su una banda magnetica, consentendo loro di eseguire transazioni fraudolente come tipiche transazioni su banda magnetica o utilizzando la modalità tecnica di fallback. Gli skimmer, dispositivi specificamente progettati per estrarre tali dati dagli sportelli automatici, sono comunemente usati in questi casi.

Per duplicare le transazioni, gli autori possono ricorrere agli attacchi EMV Pre-play e Re-play. L'attacco Re-play si concentra sull'elusione dei meccanismi progettati per garantire l'unicità di ogni transazione e crittogramma. Sfruttando questa vulnerabilità, gli aggressori possono "clonare" le transazioni per un uso futuro senza richiedere il possesso della carta originale. Nei casi in cui un terminale compromesso genera lo stesso campo UN (Unpredictable Number), un crittogramma ottenuto dalla carta con un valore UN prevedibile può essere riutilizzato un numero illimitato di volte.

Anche nei giorni successivi, gli aggressori possono inviare informazioni su un vecchio crittogramma con la richiesta di autorizzazione contrassegnata con la data del giorno precedente. Lo schema Pre-play diventa rilevante quando un terminale compromesso genera un'ONU prevedibile invece di una identica. In tali scenari, un utente malintenzionato, dopo l'accesso fisico alla carta, può clonare più transazioni per un uso futuro. Tuttavia, a differenza dell'attacco iniziale, ogni transazione può essere utilizzata solo una volta in questo particolare scenario.

Correlati: Conformità PCI WooCommerce: tutto ciò che devi sapere!

PSD2: definizione, influenza e obiettivi

wallet-money-credit-debit-card-payment-security-safety

Dall'uscita della prima direttiva sui servizi di pagamento nel 2007, il mercato ha subito drastici cambiamenti e modifiche. L'avanzamento delle tecnologie e il boom dei pagamenti online mostrano anche il lato opposto della medaglia. I nuovi modelli di business sono spesso accompagnati da politiche non regolamentate, mentre lo sviluppo dell'economia API contribuisce al costante aumento del livello di frode in Europa.

In poche parole, la PSD2 è una serie di standard e leggi che devono essere seguiti da qualsiasi servizio di pagamento per essere in grado di operare nell'UE e nel SEE. Questa politica protegge le transazioni basate su Internet e rafforza l'ambiente economico sia in teoria che in pratica.

Ecco alcune caratteristiche che distinguono la PSD2 da altre norme finanziarie:
  • Rende più trasparente l'emissione delle carte poiché diventa obbligatorio per i fornitori di servizi conformi rivelare pubblicamente le proprie informazioni finanziarie. Allo stesso tempo, questa innovazione aiuta i nuovi giocatori a essere competitivi e a offrire le loro soluzioni in coppia con organizzazioni consolidate.
  • PSD2 ha stabilito licenze per soluzioni di emissione di carte. Da un lato, consente alle imprese che offrono tali servizi nell'UE di dimostrare la loro affidabilità e credibilità, pur avendo meno esperienza. D'altra parte, questo metodo è efficiente anche per il pubblico target, consentendo loro di scegliere facilmente il miglior istituto di emissione ed elaborazione delle carte.
  • La PSD2 va di pari passo con la forte autenticazione del cliente. L'autenticazione a due fattori e mezzi simili eseguono il backup della maggior parte dei pagamenti online e fungono da ulteriore livello di protezione per tali operazioni finanziarie. C'è una piccola scappatoia in questa direttiva. Quando una delle parti impegnate non si trova all'interno del SEE, non dovrebbe essere vincolata all'obbligo di attuare la cosiddetta SCA.

A partire dal 2022, si prevedeva che più di cinquecento milioni di persone avrebbero effettuato acquisti online in Europa. È probabile che questo tasso aumenti ancora di più. Il backup di un numero così elevato di transazioni tramite servizi conformi alla PSD2 porterà sicuramente vantaggi a lungo termine.

La direttiva riveduta sui servizi di pagamento (PSD2)

Fintech-Google-Pay-Wallet-Buy-Purchase-Shop-Payment

Ogni paese in tutto il mondo ha le proprie raccomandazioni relative ai limiti No CVM (Metodo di verifica del titolare della carta), che si applicano quando la verifica del pagatore non è richiesta. Questo è comunemente noto come lo schema Tap & Go. Ad esempio, all'interno dello Spazio economico europeo, esiste un limite di transazione consigliato di € 50.

Mentre i negozi e le banche di acquisizione hanno la libertà di fissare i propri limiti per i terminali, si assumono anche i rischi associati di frode No CVM. Questo è il motivo per cui non tutte le banche o gli esercenti possono scegliere di fissare limiti superiori alla media, in quanto potrebbero attirare un numero maggiore di truffatori.

Una truffa diffusa che coinvolge carte contactless rubate sta approfittando del programma Tap & Go conducendo transazioni multiple entro i limiti No CVM. Raramente i sistemi antifrode intervengono per bloccare tali transazioni. Alcuni audaci truffatori hanno persino trovato cassieri disposti a dividere una grossa fattura in diverse transazioni più piccole, come £ 30 ciascuna, aggirando efficacemente le restrizioni.

Lotta contro queste attività fraudolente

Per combattere queste attività fraudolente, l'Unione Europea ha introdotto una serie di nuove normative note come Direttiva sui servizi di pagamento, versione 2 (PSD2). Tali regolamenti includono requisiti specifici relativi alla frequenza della verifica del pagatore. A partire dal 2020, le banche emittenti sono tenute a imporre limiti al numero di transazioni al di sotto della soglia Tap & Go. Devono tenere traccia dell'importo totale speso e richiedere un PIN dopo ogni cinque transazioni o quando il titolare della carta raggiunge l'equivalente dell'importo massimo su cinque transazioni Tap & Go, ad esempio 250 euro.

MasterCard e Visa offrono due alternative per le transazioni che superano i limiti Tap & Go: limiti soft e limiti hard. La maggior parte dei paesi segue lo schema dei limiti flessibili, che richiede una verifica aggiuntiva del pagatore, come una firma o un PIN online, per i pagamenti superiori al limite stabilito. Tuttavia, il Regno Unito opera nell'ambito del regime Hard Limits, che impone l'uso di una carta abilitata per il chip per i pagamenti che superano i limiti "Tap & Go". È importante notare che questo scenario non si applica ai portafogli mobili, poiché hanno limiti separati.

Gli esperti di sicurezza hanno condotto test per valutare l'efficacia di queste regole ed esplorare potenziali modi in cui possono essere aggirate utilizzando vulnerabilità note pubblicamente o varianti scoperte di recente. I risultati hanno rivelato che gli hacker in possesso di carte rubate e un terminale personalizzato potrebbero effettuare pagamenti nei normali negozi che superano i limiti predeterminati reimpostando questi limiti utilizzando il loro terminale compromesso.

Lavorare con piattaforme di emissione di carte professionali: Wallester Edition

Schermata della soluzione di pagamento co-brand Wallester-White-label-emittente-di-carte

Il numero e la varietà di servizi che seguono le norme della PSD2 continuano ad aumentare, il che rappresenta un'opportunità perfetta per le aziende di trovare la migliore soluzione strategica ed economica per le proprie esigenze e obiettivi. Collaborando con Wallester, decidi le carte di credito e di debito che sono sicure da utilizzare nell'UE per scopi di e-commerce. Con tecnologie SCA avanzate come 3D Secure, verifica biometrica, PIN e altre, fai un passo avanti proattivo creando un ambiente finanziario affidabile e credibile per i potenziali utenti dei tuoi servizi.

La quantità e la regolarità delle procedure SCA sono determinate da diversi fattori: dal comportamento e dalle abitudini di acquisto del tuo pubblico al tipo di commerciante che sei.

L'elenco delle limitazioni e dei controlli tipici include quanto segue:
  • Il sistema limiterà il numero disponibile di pagamenti contactless e richiederà agli utenti finali di digitare un PIN quando viene raggiunto il limite.
  • Il servizio verifica i pagamenti se superano l'importo massimo di denaro da spendere per acquisto o per lo shopping online in generale.

I suddetti criteri dipendono anche dalle proprie normative. Wallester consente ai clienti di impostare restrizioni di prestazioni personalizzate durante l'emissione del tipo e del numero di carte desiderati, visitare il loro sito Web https://wallester.com.

Correlati: Automazione della conformità HIPAA con DevOps | Tutto quello che devi sapere!

Avvolgetelo

conclusione

Sebbene le carte bancarie contactless offrano praticità, possiedono anche vulnerabilità che possono essere sfruttate dai truffatori. Le modalità legacy e l'utilizzo di bande magnetiche introducono rischi per la sicurezza, consentendo agli aggressori di clonare carte e manipolare i dati delle transazioni. Nonostante questi rischi, le banche continuano a supportare metodi di pagamento obsoleti per diversi motivi, tra cui compatibilità, costi associati, adozione da parte degli utenti e accettazione internazionale.

Inoltre, i metodi di verifica del titolare della carta possono essere aggirati e lo schema Tap & Go è suscettibile di abusi. Sebbene siano state introdotte normative come la PSD2 per combattere le frodi, i limiti possono ancora essere aggirati utilizzando terminali compromessi. I continui progressi nella sicurezza dei pagamenti sono fondamentali per affrontare efficacemente queste sfide.

Se vuoi garantire la salute e lo stato della tua azienda a lungo termine, è meglio prendersi cura di quanto sia conforme alle norme e ai regolamenti più recenti ora. Grazie a soluzioni come Wallester, non devi preoccuparti di come implementare gli standard PSD2 e SCA: è fatto per te per impostazione predefinita.