EBA, con Q&A n. 7286/2024, ha chiarito se una chiave API possa o meno essere considerata un elemento di conoscenza dell’autenticazione forte del cliente (SCA).
Si ricorda che, ai sensi dell’art. 4, punto 30, della Direttiva (UE) 2015/2366 (PSD2), per SCA si intende un’autenticazione basata sull’uso di due o più elementi classificati come conoscenza (qualcosa che solo l’utente conosce), possesso (qualcosa che solo l’utente possiede) e inerzia (qualcosa che l’utente è), che sono indipendenti.
L’ente finanziario che ha posto la domanda aveva scelto di utilizzare per la SCA la combinazione dell’elemento possesso e dell’elemento conoscenza.
Per l’elemento possesso, il cliente deve configurare un HSM nel proprio ambiente, generare una coppia di chiavi, memorizzare la chiave privata nell’HSM e inviare tramite una connessione sicura la chiave pubblica all’ente finanziario.
Per la chiave di conoscenza, il cliente deve accedere al portale dell’ente finanziario, utilizzando un ID utente e una OTP (One Time Password, ricevuta dall’ente finanziario), e creare quella che l’ente finanziario chiama una chiave API: la chiave API viene creata dall’ente finanziario e durante la creazione la chiave viene mostrata in chiaro per un brevissimo istante; dopo la creazione, la chiave API non può più essere visualizzata in chiaro.
Il cliente deve conservare la chiave API in modo sicuro: l’ente finanziario suggerisce di conservare la chiave API, ad esempio, in un file, in un database, in un archivio chiavi o in un HSM, e potrebbe trattarsi dello stesso HSM utilizzato dal cliente per la chiave privata dell’elemento di possesso.
L’hash della chiave API viene conservato dall’ente finanziario e viene utilizzato dall’ente stesso per convalidare l’uso dell’elemento di conoscenza al momento dell’autorizzazione della transazione effettuata dal cliente.
Per l’avvio delle transazioni, il cliente deve firmare con la sua chiave privata e copiare la chiave API come elemento di conoscenza nel portale dell’ente finanziario.
EBA preliminarmente ricorda che una chiave API può costituire un elemento di conoscenza SCA valido, a condizione che il prestatore di servizi di pagamento (PSP) rispetti tutti i requisiti applicabili ai sensi del Regolamento delegato (UE) 2018/389 della Commissione (le norme tecniche di regolamentazione relative alla SCA), che includono:
- l’obbligo di cui all’art. 6, par. 1, di adottare misure per mitigare il rischio che gli elementi classificati come conoscenza siano scoperti o divulgati a soggetti non autorizzati
- il requisito di cui all’art. 9 di garantire l’indipendenza degli elementi SCA
- l’obbligo di cui all’art. 24, par. 2, lett. b), di garantire che l’associazione, tramite un canale remoto, dell’identità dell’utente del servizio di pagamento (PSU) con le credenziali di sicurezza personalizzate e con i dispositivi o il software di autenticazione sia effettuata utilizzando un’autenticazione forte del cliente.
Sebbene la memorizzazione non sia esplicitamente richiesta, un elemento di conoscenza SCA dovrebbe essere noto solo all’utente e non accessibile a soggetti non autorizzati né recuperabile dal sistema stesso.
Inoltre, la chiave API, in quanto fattore SCA, dovrebbe essere associata al PSU in conformità con l’art. 24, par. 2, lett. b), del regolamento delegato.
Nel caso descritto dal richiedente, per EBA, l’associazione con il PSU non sembra soddisfare i requisiti dell’art. 24, par. 2, lett. b), in quanto viene utilizzato un solo fattore SCA valido (possesso tramite password monouso).
Come chiarito nel parere EBA (Op-2018-04), un ID utente non costituisce un elemento di conoscenza valido: sulla base delle informazioni fornite dal richiedente, per EBA non è possibile concludere se siano soddisfatti i requisiti di cui agli articoli 6, paragrafo 1, e 9 del regolamento delegato.
In conclusione, la qualificazione di una chiave API come elemento di conoscenza dipende dalla sua implementazione.
