Adeguamenti alla normativa di recepimento della...

Adeguamenti alla normativa di recepimento della direttiva PSD2 – Parte seconda - Ver.1.08 Pag. 1

Digital Banking Imprese

Adeguamenti alla normativa di recepimento della direttiva PSD2

Parte seconda: utilizzo app mobile Digital Banking Imprese per accesso e firma.

Executive summary Dopo una prima fase nella quale è stato introdotto l’obbligo di un secondo fattore di sicurezza, ora gli “utenti firmatari” (Facoltizzati) devono provvedere a sostituire il loro token fisico con un’app mobile, pena l’impossibilità di usufruire del Servizio. Se sei un firmatario, puoi usare questi link per andare direttamente alle istruzioni per certificare il tuo numero di cellulare e installare e registrare l’App DBI (rif. capitolo 3). La data ultima entro la quale completare il processo di migrazione verrà comunicata per tempo.

1. Quadro normativo e relativi impatti su Digital Banking Imprese ................................................................................. 3

1.1 Applicazione degli RTS a DigitaI Banking Imprese .................................................................................................. 3

1.2 Strumenti di sicurezza forniti da UBI ai soggetti che utilizzano Digital Banking Imprese ....................................... 3

1.3 Decorrenza blocco operatività in caso di mancata adozione strumenti di sicurezza ............................................. 3

2. Caratteristiche app mobile Digital Banking Imprese .................................................................................................... 4

3. Attivazione App DBI ...................................................................................................................................................... 5

3.1 Prerequisito: certificare il proprio numero di cellulare .......................................................................................... 5

3.2 Scelta dello strumento di autenticazione per gli “utenti non firmatari” ................................................................ 6

3.3 Una sola App DBI per dispositivo, più dispositivi per lo stesso soggetto: chiarimenti ........................................... 6

3.4 Installazione e registrazione dell’App DBI ............................................................................................................... 7

4. Accesso a Digital Banking Imprese .............................................................................................................................. 10

4.1 Accesso all’App DBI (modalità “Stand-alone”) ...................................................................................................... 10

http://servizi.lombardasistemiservizi.it/CantiereTrasparenza/Digital_Banking_Imprese/Guida_adeguamenti_DBI_PSD2.pdf


4.2 Accesso al portale web usando l’App DBI come strumento di sicurezza.............................................................. 11

4.2.1 Accesso con notifica push .............................................................................................................................. 11

4.2.2 Accesso in modalità fall-back (QR Code) ........................................................................................................ 12

5. Autorizzazione disposizioni ......................................................................................................................................... 14

5.1 Autorizzazione in modalità “Stand-alone” ............................................................................................................ 14

5.2 Autorizzazione usando l’App DBI come strumento di sicurezza ........................................................................... 15

5.2.1 Autorizzazione con notifica push ................................................................................................................... 15

5.2.2 Autorizzazione in modalità fall-back (QR Code)............................................................................................. 16

6. Appendice ................................................................................................................................................................... 18

6.1 Tabella riepilogativa modalità di accesso e autorizzazione .................................................................................. 18

6.2 Elenco delle modifiche apportate alle precedenti versioni .................................................................................. 18


1. Quadro normativo e relativi impatti su Digital Banking Imprese

Il 13 gennaio 2018 è entrata in vigore la normativa di recepimento in Italia della Direttiva 2366/2015/UE (di seguito, la “PSD2”) che si prefigge fra l’altro, di aumentare il livello di sicurezza dei servizi di pagamento elettronici; per consentire il raggiungimento dei citati obiettivi prefissati dalla PSD2, dal 14 settembre 2019 sono diventati efficaci gli RTS aventi ad oggetto la sicurezza delle credenziali di accesso, dei dati dei soggetti che utilizzano i servizi di pagamento, l’accesso alle informazioni, nonché la sicurezza delle transazioni online.

1.1 Applicazione degli RTS a DigitaI Banking Imprese

L’applicazione a Digital Banking Imprese del regolamento delegato UE 2018/389 (RTS), concernente il recepimento delle norme tecniche di regolamentazione per l'autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri, comporta, tra l’altro, che:

• tutti gli utenti devono accedere utilizzando una modalità di autenticazione forte (SCA), che preveda l'utilizzo di almeno due fattori di sicurezza;

• gli “utenti firmatari” (Facoltizzati) devono autorizzare gli ordini di pagamento in abbinamento ad un codice, dinamico e univoco, calcolato dalla piattaforma DBI sulla base degli importi e dei beneficiari delle operazioni disposte (Dynamic linking).

1.2 Strumenti di sicurezza forniti da UBI ai soggetti che utilizzano Digital Banking Imprese

Per garantire gli standard di sicurezza obbligatoriamente richiesti dalla normativa, la Banca consente la fruizione del DBI ai soli soggetti dotati di appositi strumenti di sicurezza, resi disponibili dalla Banca stessa:

• app mobile Digital Banking Imprese (di seguito “App DBI”) - consente la generazione del Token Mobile da utilizzare ai fini SCA per accedere o effettuare disposizioni; è messa a disposizione gratuitamente ed è utilizzabile da Amministratore, “utenti firmatari” e “utenti non firmatari” (Utilizzatori).

• Token fisico - strumento di sicurezza alternativo all’App DBI, è fornito a pagamento dalla Banca; utilizzabile a regime solo dagli “utenti non firmatari”, per un periodo transitorio, lo potranno continuare ad usare anche quei firmatari che non avranno ancora attivato l’App DBI.

1.3 Decorrenza blocco operatività in caso di mancata adozione strumenti di sicurezza

Gli "utenti non firmatari", pena l'impossibilità di accedere a DBI, dallo scorso 14 settembre devono obbligatoriamente disporre di un Token fisico; dalla data di rilascio dell’app in poi possono usare, in alternativa, anche l’App DBI.

Gli "utenti firmatari", già dotati di un secondo fattore di sicurezza, avranno invece tempo per certificare il proprio numero di cellulare e adottare l’App DBI; il tutto può essere fatto online, senza necessità di coinvolgere l'Amministratore o la filiale.

L’Amministratore è esso stesso sottoposto alle prescrizioni di una o dell’altra delle casistiche sopra riportate, in relazione al fatto se sia o meno un firmatario, ossia soggetto facoltizzato ad autorizzare le disposizioni di pagamento.


2. Caratteristiche app mobile Digital Banking Imprese

L’app mobile Digital Banking Imprese, disponibile per Android e IOS, si affianca al preesistente portale web e, pur non sostituendolo completamente, da un lato permette a tutti gli utenti DBI la fruizione in mobilità di un sottoinsieme di funzionalità informative e dispositive e dall’altro rappresenta uno strumento di sicurezza PSD2 Compliant che permette agli utenti censiti nel portale web di accedervi e, se abilitati, anche di firmare disposizioni di pagamento. Tale app eredita le caratteristiche del portale web Digital Banking Imprese, dato che essa stessa è multibanca, multiazienda (un’azienda per volta) e multipostazione (un singolo soggetto accede a postazioni diverse con la stessa App DBI); può essere usata da tutti gli utenti censiti in DBI, in relazione al proprio profilo operativo, secondo due diverse modalità:

• come applicazione Stand-alone e consente di: - consultare saldi e movimenti di conto corrente CBI (in euro e divisa); - consultare la lista degli effetti in scadenza; - consultare gli insoluti (esiti disposizioni di incasso Ri.ba e SDD); - effettuare bonifici singoli SCT (solo a beneficiari in rubrica); - effettuare giroconti/girofondi; - pagare gli effetti in scadenza; - autorizzare distinte* in modalità integrata (embedded);

• Come “strumento di sicurezza SCA compliant” e permette di - autorizzare l’accesso al portale web DBI; - autorizzare le disposizioni di pagamento (uso obbligatorio per i firmatari) e confermare operazioni

sensibili lato sicurezza (messa alla firma, modifiche alla rubrica, modifiche a utenti e profili).

In quest’ultimo caso l’app agisce quindi in modalità disaccoppiata (decoupled) rispetto al portale web, sfruttando, in alternativa:

- notifica push: funziona solo su dispositivo primario, in presenza di rete Internet e solo per alcuni tipi di distinta*;

- QR Code: soluzione di fall-back, funziona anche su dispositivi secondari, anche offline e per tutti i tipi di distinta.

Quando un utente installa e registra l’App DBI, il suo Token fisico torna a disposizione dell’Amministratore che, di conseguenza, può associarlo a nuovi “utenti non firmatari” di quella stessa postazione (o usarlo per sostituire Token fisici guasti); l’uso dell’App in modalità Stand-alone non è separabile dall’uso della stessa come “strumento di sicurezza SCA compliant”; un “utente non firmatario” può chiedere all’Amministratore di ritornare ad utilizzare un Token fisico (ma così perderà anche l’accesso all’App DBI), mentre per i firmatari il processo di adozione dell’App DBI è irreversibile.

* sono autorizzabili tutte le distinte CBI eccetto F24, URGP e Freccia; sono escluse, per ora, anche tutte le “Disposizioni UBI online” e le richieste di Anticipo fattura.


3. Attivazione App DBI

3.1 Prerequisito: certificare il proprio numero di cellulare

L’Amministratore e gli “utenti firmatari” sono obbligati a inserire in DBI un numero di cellulare a loro intestato (o univocamente riconducibile) attivando una specifica procedura di certificazione. Gli “utenti non firmatari” che intendono adottare l’App DBI quale strumento di sicurezza SCA Compliant in sostituzione del Token fisico non devono invece certificare alcun numero di cellulare, in quanto vengono intermediati, in fase di registrazione, dall’Amministratore, che deve però, a sua volta, disporre di un cellulare certificato. E’ importante sottolineare come il numero di cellulare certificato venga usato solo per ricevere, una tantum, il codice SMS necessario per registrare un nuovo dispositivo; non è invece prevista la spedizione di alcun SMS durante il normale utilizzo quotidiano dell’App DBI. Per i contratti in essere, l’Amministratore e gli “utenti firmatari” avranno tempo per certificare autonomamente il loro numero di cellulare, eseguendo, direttamente in DBI, questi passi:

• cliccare sull’icona “utente” posta in alto a destra; la presenza della voce “Certificazione cellulare” indica che è necessario perfezionare il processo di certificazione del proprio numero di cellulare;

• per accedere alla funzionalità di certificazione del cellulare è necessario utilizzare il proprio Token Fisico: per questo motivo sarà richiesto di inserire l’OTP mostrato sul display e di premere “Conferma”.

• inserire due volte il numero di cellulare da certificare, che deve risultare intestato (o univocamente riconducibile) al soggetto indicato a sinistra dell’icona “utente”; se si tratta di un numero di cellulare riferito ad uno stato estero, inserire anche il prefisso internazionale (es. +33 o 0033 per la Francia); premere “Salva”;

• nella mappa successiva, inserire il codice numerico di 6 cifre che nel frattempo viene inviato via SMS sul numero di cellulare da certificare; se non arriva entro pochi secondi o viene cancellato per errore, chiederne un nuovo codice premendo il tasto “Rinvia SMS”; l’SMS ha una validità di 15 minuti.


• Premere tasto "Conferma"

Tale operatività non è richiesta per i contratti aperti dopo il 28/11/19 in quanto il processo di certificazione dei numeri di cellulare appartenenti ad Amministratore e firmatari verrà espletato direttamente in filiale.

3.2 Scelta dello strumento di autenticazione per gli “utenti non firmatari” In fase di inserimento di un nuovo “utente non firmatario”, l'Amministratore deve valutare se lo stesso abbia la possibilità di utilizzare l'App DBI (gratuita) sul suo cellulare aziendale (o privato), oppure se sia più opportuno dotarlo di un Token fisico a pagamento; nel secondo caso, l’Amministratore ne dovrà fare richiesta alla sua filiale UBI di riferimento. Anche gli utenti già censiti e dotati di Token fisico possono passare all’App mobile: in questo caso basta che completino il processo di registrazione dell’App e poi restituiscano il Token fisico in loro possesso all’Amministratore, che lo potrà così riassegnare ad altri utenti.

3.3 Una sola App DBI per dispositivo, più dispositivi per lo stesso soggetto: chiarimenti

Il dispositivo registrato con a bordo l’App DBI rappresenta, a livello SCA PSD2, un fattore di possesso (“una cosa che hai”); il processo di registrazione del dispositivo (enrollment) può infatti essere eseguito solo da un soggetto che dispone di una specifica quantità di sicurezza (codice di registrazione SMS) ricevuta sul suo cellulare certificato (o quello dell’amministratore in caso di utente non firmatario), e che contemporaneamente possiede le credenziali di accesso a DBI. In relazione all’uso l’App DBI è necessario chiarire alcuni aspetti:

• su un singolo dispositivo può essere installata una sola App DBI, associata univocamente al Codice Fiscale del soggetto registrato;

• una stessa App DBI può essere usata dal medesimo soggetto per accedere, ed eventualmente firmare, su più postazioni (intese come contratti caratterizzati da differente un Codice cliente);

• non è necessario installare l’App DBI sullo smartphone che corrisponde al numero di cellulare certificato;

• ogni soggetto può installare l’App DBI, oltre che sul dispositivo iniziale (primario), su altri 3 dispositivi (secondari), previa autorizzazione esplicita concessa utilizzando il dispositivo primario;

• eventuali dispositivi secondari saranno utilizzabili come back-up del primario: per questi non cambia l’uso in modalità Stand-alone, mentre in veste di strumento SCA funzionano solo con il QR Code;

• la scelta del dispositivo primario non è irrevocabile, perché ciascuno soggetto è libero di scegliere di volta in volta quale sia il suo dispositivo primario tra quelli registrati; un apposito messaggio verrà visualizzato sul dispositivo che viene declassato;

• ciascun utente per sé (da App DBI), e l’Amministratore per tutti (da portale web), può annullare la registrazione di un dispositivo (de-enrollment);


• Amministratori e “utenti firmatari” non possono annullare in autonomia la registrazione dell’ultimo dispositivo rimasto attivo, ma per farlo devono rivolgersi alla loro filiale, per specifici motivi di sicurezza

• se l’app è registrata su un unico dispositivo e la si disinstalla: o per poterla installare su un nuovo dispositivo occorrerà rivolgersi alla filiale per un de-

enrollment (lo stesso vale se non si riesce ad accedere a nessuno dei dispositivi registrati perché guasti, smarriti o con App DBI rimossa);

o non ci sono problemi invece se la si installa sullo stesso dispositivo.

Un utente che vuole garantirsi la continuità operativa in caso di indisponibilità del suo dispositivo primario può registrare la sua App DBI su dispositivi diversi: ad esempio, oltre che sul suo telefono aziendale, potrà registrare l’app anche sul suo tablet (vedi par. 2.3) e sul suo telefono personale; in modalità stand-alone potrà usare indifferentemente tutti e tre i suoi dispositivi; in veste di strumento SCA, solo il primario riceverà le notifiche, mentre gli altri supporteranno solo la modalità QR Code; così facendo, se il suo dispositivo primario andrà smarrito o sarà da buttare, l’utente potrebbe promuovere a primario uno dei due rimanenti, e poi registrarsene uno nuovo. Se invece un utente usa un solo dispositivo e vuole sostituirlo con uno nuovo, deve tenere presente che per installare un nuovo dispositivo deve avere il vecchio ancora funzionante; se avesse già disinstallato l’App DBI dal dispositivo vecchio, deve reinstallarla; solo dopo che il nuovo è ok, si può de-enrollare il vecchio (in alternativa deve chiedere alla filiale un de-enrollment). Non è contemplata la possibilità che un solo dispositivo possa essere usato come “fattore di possesso” contemporaneamente per più soggetti.

3.4 Installazione e registrazione dell’App DBI

Il processo di installazione dell’App DBI e la contestuale registrazione del dispositivo (enrollment) è simile per tutti gli utenti DBI; per prima cosa è necessario individuare il dispositivo personale dove installare l’app, usando i seguenti criteri:

• l’App DBI è progettata per essere utilizzata da uno smartphone ma è fruibile anche da tablet, ancorché in modalità non certificata dal fornitore, in relazione soprattutto ad una grafica (rendering) non ottimizzata;

• il dispositivo (smartphone o tablet) non deve essere necessariamente dotato di scheda SIM;

• per ricevere le notifiche basta che il dispositivo sia collegato ad Internet (es. tramite Wi-fi);

• per usare il QR Code, il dispositivo deve avere una fotocamera incorporata;

• un singolo dispositivo può ospitare una sola App DBI, la quale può essere associata ad un solo soggetto.

Identificato il dispositivo, si procede con l’installazione dell’App DBI e con la registrazione del dispositivo:

• scaricare l’app “Digital Banking Imprese” da Google Play Store (Android ver. 6 in poi) o App Store (IOS ver. 11 in poi) e installarla su un dispositivo personale; verificare di non aver disabilitato sul dispositivo l’aggiornamento della data e ora fornito in automatico dalla rete (es. Android 9: Impostazioni, Gestione generale, Data e ora – iOS 13: Impostazioni, Generali, Data e ora)

• aprire l’App, scegliere “INIZIA”, identificarsi come UTENTE o AMMINISTRATORE, inserire le proprie credenziali di accesso a Digital Banking Imprese (le stesse usate per accedere al relativo portale web);

https://play.google.com/store/apps/details?id=it.ubi.digital.banking.imprese


• inserire il codice di registrazione ricevuto via SMS sul numero di cellulare certificato; gli “utenti non firmatari” dovranno richiedere questo codice all’Amministratore, che a sua volta lo avrà ricevuto sul suo numero di cellulare certificato; il codice ha una validità di 15 minuti.

• personalizzare il PIN di 6 cifre da utilizzare ai fini SCA (accesso rapido, autorizzazione); su dispositivi che ne sono dotati, potrà poi essere abilitato l’utilizzo della biometria (es. Touch-id, Face-id) in modo da sostituire l’inserimento del PIN con una modalità più comoda e veloce; per verifica, il PIN dovrà essere inserito una seconda volta.


4. Accesso a Digital Banking Imprese

4.1 Accesso all’App DBI (modalità “Stand-alone”)

Accedere all’App DBI inserendo il proprio PIN o usando la biometria; se si gestiscono più postazioni, prima scegliere a quale avere accesso.

A discrezione del soggetto che sta accedendo, anche con la biometria attiva, è sempre possibile usare il PIN (Accedi con PIN) o inserire le credenziali DBI (ACCEDI CON PASSWORD).


4.2 Accesso al portale web usando l’App DBI come strumento di sicurezza Accedere al portale web da www.ubibanca.com, “Accesso clienti”, “Digital Banking Imprese”; inserire le proprie credenziali, premere “CONFERMA”. Così facendo appare la seguente mappa, con l’invito ad autorizzare l’accesso tramite app; contemporaneamente viene spedita una notifica push sul dispositivo primario.

Ad utente a cui è stata associata l’App DBI come dispositivo di sicurezza e che accede al portale senza aver completato la registrazione dell’app stessa, è impedito l’accesso con la seguente motivazione: “Manca ancora un passaggio; chiedi al tuo amministratore come procedere”.

4.2.1 Accesso con notifica push

Se sussistono le condizioni, ossia il dispositivo primario è nella disponibilità di chi sta accedendo e lo stesso dispositivo è raggiungibile via Internet, si può aprire la notifica e confermare


l’accesso, inserendo il proprio PIN (o biometria); scompare la mappa in precedenza apparsa sul portale web e viene caricata l’homepage.

4.2.2 Accesso in modalità fall-back (QR Code)

Se si è consapevoli di avere a disposizione un dispositivo secondario o il dispositivo primario non raggiungibile da Internet, premendo il tasto “GENERA QR CODE” si può passare direttamente alla modalità di fall-back; in caso contrario, dopo 60 secondi appare la seguente mappa, che consente di rinviare una nuova notifica o passare alla modalità di fall-back.

Premendo il tasto “GENERA QR CODE”, appare la seguente mappa:


Aprire l’App DBI, scegliere “SCANSIONA QR CODE” e inquadrare il QR Code mostrato dal portale web; una volta decodificata l’immagine, l’App DBI chiede di inserire il PIN (o biometria) e poi mostra un codice di 6 cifre che deve essere poi digitato nella nella textbox “Codice“ presente in mappa web e premere “ENTRA”.


5. Autorizzazione disposizioni

5.1 Autorizzazione in modalità “Stand-alone”

Una volta avuto accesso all’App DBI e aver selezionato l’azienda con cui operare, autorizzare la singola distinta o selezionarne più contemporaneamente (“VEDI TUTTE LE DISTINTE”), premere “AUTORIZZA”, verificare se i dettagli delle disposizioni sono conformi a quanto ci si aspetta, premere “CONFERMA” e poi inserire il PIN (o la biometria ).


5.2 Autorizzazione usando l’App DBI come strumento di sicurezza Avviare l’iter di autorizzazione delle distinte secondo quanto normalmente previsto dal portale web DBI; giunti alla pagina di firma, un messaggio invita a confermare l’operazione usando l’App DBI; contemporaneamente viene spedita una notifica push sul dispositivo primario.

5.2.1 Autorizzazione con notifica push

Se sussistono le condizioni, ossia il dispositivo primario è nella disponibilità di chi accede e lo stesso è raggiungibile via Internet, si può aprire la notifica, inserire il proprio PIN (o biometria) per consultare il dettaglio di cosa si sta firmando e, se tutto è conforme a quanto ci si aspetta, premere “CONFERMA” e inserire nuovamente il proprio PIN (o biometria) per la definitiva autorizzazione.


5.2.2 Autorizzazione in modalità fall-back (QR Code)

Se si è consapevoli di avere a disposizione un dispositivo secondario o il dispositivo primario non raggiungibile da Internet, premendo il tasto “GENERA QR CODE” si può passare direttamente alla modalità di fall-back, altrimenti, dopo 60 secondi, appare la seguente mappa, che consente di farsi mandare una nuova notifica sul dispositivo primario o passare alla modalità di fall-back.

Premendo il tasto “Genera QR Code”, appare la seguente mappa:


Aprire l’App DBI, scegliere “SCANSIONA QR CODE” e inquadrare il QR Code mostrato dal portale web; una volta decodificata l’immagine, l’App chiede di inserire il PIN (o biometria) e poi mostra un codice di 6 cifre che deve essere poi digitato nella nella textbox “Codice“ presente in mappa web e premere “Autorizza”.


6. Appendice

6.1 Tabella riepilogativa modalità di accesso e autorizzazione

Modalità Dispositivo Accesso Autoriz. distinte tipo A

Autoriz. distinte tipo B.

Stand-alone (solo App)

Primario

Secondario

Disaccoppiata (web + App)

Primario

Secondario

Distinte tipo A: SCT, Stipendi, Giroconti,Bonifici estero XML e porting, Pagamento effetti, SDD, Riba, Mav (CBI) Distinte tipo B: tutte le CBI non incluse in tipo A (es.F24, URGP, Freccia), tutte le disposizioni UBI online , Anticipo fattura.

6.2 Elenco delle modifiche apportate alle precedenti versioni

Data Versione Modifica apportata

03/12/19 1.01 - 3.4: inserite versioni minime Android e IOS; inserito link diretto a Google Play su immagine

16/12/19 1.02 - 3.3: inserito chiarimento su disinstallazione ultimo dispositivo disponibile

20/12/19 1.03 - 3.4: inserita raccomandazione verifica data e ora aggiornate in automatico

09/01/20 1.04 - 3.3: precisata casistica per la quale è necessario richiedere de-enrollment alla filiale

27/02/20 1.05 - Termine ultimo migrazione “utenti firmatari” da Token fisico a App spostato a data da definire

19/03/20 1.06 - Portato da ver.10 a ver.11 il requisito minimo per i sistemi operativi IOS.

11/05/20 1.07 - Executive summary: link diretto a istruzioni certificazione e registrazione - 3.3: per reinstallare l’App sullo stesso dispositivo primario non è necessario il de-enrollment

12/06/20 1.08 - Executive summary: tolto riferimento a tre mesi di preavviso per la comunicazione della data ultima di migrazione

Adeguamenti alla normativa di recepimento della...

Documents

Transcript of Adeguamenti alla normativa di recepimento della...