Oracle e Mobysign hanno presentato la loro partnership strategica su PSD2 e Mobile Payment a Londra e Amsterdam il 18 e 19 aprile durante l’Oracle Modern Business Experience, uno degli eventi europei più importanti dell’anno per Oracle. La collaborazione strategica globale tra Oracle e Mobysign ha portato all’elaborazione di una soluzione comune per le banche e gli istituti di pagamento per la direttiva europea PSD2 sui pagamenti focalizzato sulla Strong Customer Authentication e sul Mobile Payment.

Per effetto della direttiva, banche e prestatori di servizi di pagamento dovranno dotare i clienti di strumenti di autenticazione molto più robusti agli attacchi degli hacker rispetto alle comuni soluzioni, e pubblicare le Open API per permettere alle nuove terze parti previste dalla PSD2 di offire i propri servizi a consumatori e aziende.

Oracle ha sviluppato le proprie Open API e ha integrato al loro interno la Strong Customer Authentication di Mobysign, in modo da offrire congiuntamente una soluzione innovativa alle banche, già disponibile sull’Oracle Marketplace.

Antonio Bonsignore, fondatore di Mobysign, e Oracle hanno illustrato i vantaggi della soluzione congiunta, in una presentazione dedicata a Londra e in una tavola rotonda ad Amsterdam. Tra i pregi della soluzione, il fatto che tutte le comunicazioni tra la app Mobysign di autenticazione e la banca non transitano attraverso terze parti, con notevoli vantaggi in termini di sicurezza.

Un bel passo avanti rispetto a soluzioni che prevedono il transito di credenziali attraverso i sistemi di terzi o di soluzioni di screen scraping, con i conseguenti rischi per il cliente e per la banca. Dato l’aumento considerevole di attacchi man-in-the-middle negli ultimi anni, PSD2 ha dettato i requisiti tecnici con cui proteggere gli account bancari e gli issuer delle carte. Mobysign ha anticipato la normativa sviluppando dal 2011 una soluzione brevettata in tutta Europa, basata sui concept ora base della direttiva Europea.

Le soluzioni basate sulle classiche chiavette generatrici di numeri da trascrivere sulle pagine web non rispondono ai nuovi criteri di sicurezza perchè i numeri generati non dipendono dai dati della transazione, consentendo così agli hacker di carpire tali informazioni e utilizzarle su transazioni fraudolente.

Analogamente accade per le comuni app generatrici di codici. Anche le usuali soluzioni via SMS utilizzate dalle banche non soddisfano i requisiti di sicurezza previsti da PSD2, poichè per gli hacker non è difficile deviare gli SMS sui propri terminali e autorizzare transazioni fraudolente, mentre il titolare della carta o del conto corrente ne è del tutto ignaro.

Anche la firma digitale remota non è di alcun aiuto, anche se rilasciata da un certifcatore accreditato, perchè il tema è l’autenticazione del cliente dal proprio dispositivo verso Internet, canale, questo, non protetto affatto dalla firma remota che interviene successivamente.

Va inoltre attentamente considerato che i tool di autenticazione utente su smartphone e tablet devono possedere ambienti di esecuzione diversi rispetto alle app di mobile banking: cioè la app di autenticazione semplicemente deve essere una app separata, non all’interno della app di Mobile Banking.

I requisiti di sicurezza richiesti dalla nuova direttiva vanno seguiti senza sconti

Tentare di adattare in maniera non efficace soluzioni non compliant esporrebbe le banche a rischi elevati, non tanto per le multe che potranno forse ricevere, ma per gli attacchi a cui di certo saranno soggette: gli attuali pagamenti elettronici online sono basati per lo più sull’uso di carte di credito con plafond tipico di 1.000-2.000 euro al mese e stiamo assistendo ad una escalation di frodi informatiche senza precedenti.

Con PSD2 l’instant payment la posta si alza e il limite della transazione viene portato a 15.000 euro. Gli hacker non staranno a guardare. Non vi sono dubbi che senza una strong customer authentication realmente compliant i danni per le banche saranno gravissimi. E i consumatori, date le cifre in gioco, andranno fino in fondo in caso di contenzioso, mentre oggi spesso lasciano correre per i costi legali.

La Strong Customer Authentication Mobysign è compliant alla PSD2 e relativi RTS, con presidi anti man-in-the-middle che consentono all’utente addirittura di prevenire gli attacchi man-in-the-middle. Non solo. La sicurezza non è nulla se la user experience non è semplice: Mobysign consente di non dover ricordare password e username, ma semplicemente utilizzare l’impronta digitale o un unico PIN sullo smartphone.

Le banche, oltre alla sicurezza devono fare i conti con i nuovi operatori del mondo dei pagamenti, come gli Over The Top, che sottrarranno alle banche revenue basate sulle transazioni di pagamento.

La soluzione integrata Oracle-Mobysign può essere adottata dalla banca solo per l’autenticazione e per le Open API in maniera esclusiva, oppure in modo che l’utente possa utilizzare lo stesso strumento con più banche senza alcun problema di sicurezza, grazie alla tecnologia innovativa adottata. In questo caso è previsto un modello di revenue share in favore della banca, che trasforma in revenue quelli che di solito sono solo costi di sicurezza.