EBA, con Q&A n. 7376/2025, ha chiarito se i fornitori di servizi di pagamento che gestiscono i conti debbano fornire tutte le tecniche di crittografia forti e ampiamente riconosciute (ad esempio RSA ed ECC) attualmente disponibili sul mercato, oppure deve essere fornita solo la tecnica di crittografia indicata nella documentazione delle specifiche tecniche dell’API in conformità all’art. 30, par. 3 dell’RTS su SCA e CSC (EBA/RTS/2017/02).
Ai sensi dell’art. 35, per. 1, dell’RTS su SCA e CSC, i prestatori di servizi di pagamento di radicamento del conto, i prestatori di servizi di pagamento (ASPSP) che emettono strumenti di pagamento basati su carta, i prestatori di servizi di informazione sui conti e i prestatori di servizi di disposizione di ordine di pagamento devono garantire che, durante lo scambio di dati tramite Internet, venga applicata una crittografia sicura tra le parti comunicanti per tutta la durata della rispettiva sessione di comunicazione, al fine di salvaguardare la riservatezza e l’integrità dei dati, utilizzando tecniche di crittografia avanzate e ampiamente riconosciute.
Tuttavia, in questo contesto, la SCAR non precisa se i prestatori di servizi di pagamento siano obbligati a utilizzare solo una o più delle tecniche di crittografia avanzate e ampiamente riconosciute (come RSA ed ECC), come indicato nella documentazione delle specifiche tecniche dell’interfaccia di accesso ai sensi del secondo comma dell’art. 30, par. 3 dell’RTS su SCA e CSC.
Alcuni ASPSP hanno deciso di non fornire solo RSA per tutte le tecniche di crittografia avanzate e ampiamente riconosciute e ciò ha causato il rifiuto delle connessioni API a causa dell’utilizzo di un certificato con algoritmo ECC.
L’art. 35, par. 1, del Regolamento Delegato (UE) 2018/389 (RTS SCA&CSC) prescrive che “i prestatori di servizi di pagamento di radicamento del conto (ASPSP), i prestatori di servizi di pagamento che emettono strumenti di pagamento basati su carta (CBPII), i prestatori di servizi di informazione sui conti (AISP) e i prestatori di servizi di disposizione di ordine di pagamento (PISP) garantiscono che, durante lo scambio di dati tramite Internet, venga applicata una crittografia sicura tra le parti comunicanti per tutta la durata della rispettiva sessione di comunicazione, al fine di salvaguardare la riservatezza e l’integrità dei dati, utilizzando tecniche di crittografia solide e ampiamente riconosciute“.
A tale riguardo, qualsiasi tecnica di crittografia solida e ampiamente riconosciuta può essere utilizzata per salvaguardare la riservatezza e l’integrità dello scambio di dati.
Di conseguenza, un ASPSP che abbia indicato una particolare tecnica di crittografia nella documentazione delle specifiche tecniche dell’interfaccia di programmazione dell’applicazione (API) che soddisfa i requisiti dell’art. 35, par. 1, non sarebbe tenuto a fornire tutte le tecniche di crittografia solide e ampiamente riconosciute.