Conformità

L’NYDFS disciplina circa 1.500 banche e istituti finanziari. Tra questi figurano istituti statunitensi e molti istituti internazionali con sede operativa a New York. Il regolamento Requisiti di cibersicurezza per le società di servizi finanziari consiste in 22 disposizioni che richiedono alle organizzazioni di servizi finanziari di proteggere meglio i dati. Gli istituti finanziari devono implementare controlli efficaci per prevenire l’accesso non autorizzato ai sistemi informatici o alle informazioni non pubbliche attraverso la valutazione del rischio e i mezzi per farlo possono essere l’autenticazione a più fattori, l’autenticazione biometrica o l’autenticazione risk-based. Maggiori informazioni in questo blog: NYDFS – Requisiti di cibersicurezza per le società di servizi finanziari

La Direttiva UE sui servizi di pagamento (PSD2) contiene alcuni requisiti relativi alla Strong Customer Authentication (SCA). Gli istituti finanziari devono conformarsi a questi requisiti entro il settembre 2019. Tuttavia, specifici provider di servizi di pagamento (PSP) potrebbero aver diritto a un’estensione eccezionale nel contesto dei pagamenti con carta per il commercio elettronico secondo un recente parere dell’ABE.

Questi requisiti includono cinque criteri di conformità:

• Autenticazione avanzata: L’autenticazione deve essere basata su due o più fattori, tra cui password o PIN, token o dispositivi mobili, o biometria.

• Analisi del rischio della transazione: Obbliga all’uso dell’analisi del rischio della transazione per scoraggiare i pagamenti fraudolenti.

• Protezione antireplica: La PSD2 impone l’uso di contromisure dedicate per la clonazione delle app di dispositivi mobili nelle applicazioni.

• Link dinamico: Per le transazioni di pagamento, il codice di autenticazione deve essere collegato dinamicamente sia all’importo che al beneficiario.

• Elementi indipendenti: I provider di servizi di pagamento devono adottare misure di sicurezza per ridurre il rischio derivante da dispositivi mobili compromessi.

Il nuovo Quadro di certificazione della cibersicurezza nell’UE, originariamente proposto nel 2017, è stato sviluppato per migliorare la cibersicurezza dei servizi online e dei dispositivi dei consumatori, compresi i dispositivi IoT. Una volta approvato formalmente dal Parlamento europeo, verrà pubblicato nella Gazzetta ufficiale dell’UE ed entrerà ufficialmente in vigore immediatamente. Per maggiori informazioni, leggi il comunicato stampa ufficiale.

Per migliorare la resilienza contro le minacce informatiche, la Saudi Arabian Monetary Authority (SAMA) ha introdotto il Quadro di cibersicurezza SAMA nel maggio 2017. Quest’ultimo segue una tendenza globale con cui gli organismi di regolamentazione dei governi e del settore bancario in tutto il mondo stanno introducendo standard di cibersicurezza e apposite linee guida.

I quattro aspetti chiave del quadro sono:

• Gestione dell’identità e dell’accesso
• Canale di comunicazione sicuro per l’online e il mobile banking
• Application shielding per dispositivi mobili
• Rilevamento e prevenzione delle frodi

Maggiori informazioni in questo blog: Conformità al Quadro di cibersicurezza SAMA

Il 15 marzo 2020, l’Agenzia di regolamentazione e supervisione bancaria della Turchia ha pubblicato il Regolamento sui sistemi informatici delle banche e sui servizi bancari elettronici.
Il regolamento è entrato in vigore il 1° luglio 2020 e ha un impatto significativo su banche, aziende di audit, aziende tecnologiche che offrono servizi esternalizzati alle banche e aziende che offrono soluzioni di open banking.

Il regolamento tratta:

• La creazione e la gestione dei sistemi informatici delle banche
• La sicurezza delle informazioni delle banche
• I servizi bancari elettronici

Learn the impact on SMS-OTP, 2FA, mobile application security, transaction security, and more: https://www.onespan.com/blog/financial-regulatory-landscape-in-turkey

La Monetary Authority of Singapore (MAS) ha emesso le linee guida Technology Risk Management (TRM) e Business Continuity Management (BCM).

Le linee guida TRM forniscono indicazioni per la sicurezza nello sviluppo del software, la sorveglianza informatica, la simulazione di attacchi e come gestire i rischi informatici correlati con l’Internet delle cose. Le TRM includono anche una sezione sulla "Sicurezza dei servizi finanziari online", che tratta quanto segue:

• Sec. 14.1.7 "I dispositivi mobili rooted o jailbroken devono essere inibiti dall’accesso alle applicazioni mobili degli istituti finanziari per eseguire transazioni finanziarie, dal momento che tali dispositivi sono più suscettibili a malware e vulnerabilità della sicurezza."

• Sec. 14.2.1 "L’autenticazione a più fattori deve essere implementata al momento del login per i servizi finanziari online per rendere sicura la procedura di autenticazione del cliente."

• Sec. 14.2.4 “L’istituto finanziario può applicare un approccio risk-based e implementare un’adeguata autenticazione risk-based o adattiva che presenti ai clienti opzioni di autenticazione commisurate al livello di rischio della transazione e alla sensibilità delle informazioni."

• Sec. 14.2.8 “Ove vengano usati token software per l’autenticazione del cliente, devono essere implementate misure appropriate, tra cui la verifica dell’identità del cliente, il rilevamento e il blocco dei dispositivi rooted o jailbroken e l’esecuzione del binding del dispositivo, per la procedura di consegna del token software."

• Sez. 14.3.1 “L’istituto finanziario deve implementare sistemi di monitoraggio o sorveglianza delle frodi in real time per identificare e bloccare transazioni online sospette o fraudolente."

Standard di sicurezza dei dati del settore delle carte di pagamento

Il PCI DSS 3.2 è uno standard di sicurezza delle informazioni per le organizzazioni che gestiscono carte di credito dei principali enti emittenti di carte. È stato messo in atto per affrontare le minacce alla sicurezza delle informazioni di pagamento dei clienti. Tutte le entità coinvolte nel trattamento delle carte di pagamento devono conformarsi al PCI DSS, compresi gli acquirenti, gli emittenti, i commercianti, i responsabili del trattamento e i provider di servizi. Questo si applica anche a tutte le altre entità che memorizzano, trattano o trasmettono i dati dei titolari di carte.

Il requisito 8.3, diventato obbligatorio nel 2018, richiede alle organizzazioni di incorporare l’autenticazione a più fattori per tutti gli accessi non console all’ambiente dei dati dei titolari di carte, oltre agli accessi remoti alla rete effettuati dall’esterno della rete dell’entità.

Per adattarsi all’ambiente mutevole delle minacce e contrastare i criminali informatici, SWIFT (Society for Worldwide Interbank Financial Telecommunication) ha introdotto il Quadro dei controlli di sicurezza SWIFT e il Customer Security Programme (CSP). Per maggiori informazioni su come SWIFT contribuisce a garantire la sicurezza e l’integrità dei sistemi che si connettono alla rete SWIFT, consulta questo blog.

Negli Stati Uniti le leggi federali e statali attribuiscono alle firme elettroniche lo stesso status legale delle firme autografe. Il Federal Electronic Signatures in Global and National Commerce Act (ESIGN) dà il riconoscimento legale alle firme elettroniche e alle registrazioni in modo che soddisfino i requisiti legali “per iscritto” nelle transazioni, comprese le divulgazioni, e permette alle organizzazioni di soddisfare i requisiti legali di conservazione dei documenti solo attraverso l’uso di registrazioni elettroniche. L’ESIGN richiede il consenso di una persona per condurre attività commerciali elettronicamente.

A livello statale, quarantasette stati, il Distretto di Columbia, Porto Rico e le Isole Vergini hanno adottato l’Uniform Electronic Transactions Act (UETA). Inoltre, la legge federale ESIGN prevede che le firme elettroniche siano legalmente applicabili per il commercio tra stati e negli stati che non hanno adottato l’UETA.

Il 20 dicembre 2018, il 21st Century Integrated Digital Experience Act (21st Century IDEA) è stato convertito in legge. Quest’ultimo introduce funzionalità e standard di sicurezza minimi per le agenzie federali negli Stati Uniti con l’obiettivo di migliorare le interazioni digitali tra cittadini e pubblica amministrazione. Per esempio, richiede alle agenzie di offrire versioni digitali di tutti i servizi cartacei e di accettare firme elettroniche dai cittadini.

Maggiori informazioni in questo blog.

Il FINRA Rule 4512(a)(3) statunitense (Informazioni sul conto del cliente) in precedenza richiedeva alle società di intermediazione di ottenere la firma manuale di ogni persona fisica designata e autorizzata a esercitare discrezione in un conto prima di aprirlo. Il 16 aprile 2019, la Security Exchange Commission (SEC) statunitense ha approvato una proposta di modifica al regolamento 4512(a)(3) che dà ai membri la possibilità di ottenere una firma elettronica anziché una firma manuale.

Maggiori informazioni in questo blog.

Numerosi stati USA hanno approvato o stanno esaminando la legislazione che autorizzerebbe i loro notai statali a eseguire notarizzazioni online a distanza. Questo include:

• Indiana SB 372 (convertito in legge il 13/3/18; in vigore dall’1/7/19)
• Louisiana HCR 31 (introdotto il 6/4/18; passato alla Camera e al Senato)
• Michigan H 5811 (convertito in legge il 28/6/18; in vigore dal 30/3/19)
• Minnesota SF 893 (convertito in legge il 20/5/18; in vigore dall’1/1/19)
• Nevada A. 413 (convertito in legge il 9/6/17; in vigore dall’1/7/18)
• Ohio SB 263 (convertito in legge nel 12/18; in vigore dal 19/09/19)
• Dakota del Nord HB 1110 (convertito in legge l’11/3/19)
• Dakota del Sud HB 1272 (convertito in legge il 18/3/19)
• Tennessee SB 1758 (convertito in legge il 15/5/18; in vigore dall’1/7/19)
• Texas HB 1217 (convertito in legge l’1/6/17; in vigore dall’1/7/18)
• Kentucky SB 114 (convertito in legge il 25/3/19; in vigore dall’1/1/20)

Simile alle leggi UETA degli Stati Uniti, le leggi provinciali canadesi sulla firma elettronica attribuiscono alle firme elettroniche lo stesso status legale delle firme autografe.

In tutto il Canada sono state emanate leggi sul commercio elettronico e sulla firma elettronica sostanzialmente uniformi. Tutte le province e i territori hanno statuti autonomi di applicazione generale sul commercio elettronico, basati su leggi modello promulgate dalle Nazioni Unite e dalla Uniform Law Conference of Canada (ULCC).

Per esempio, in Ontario, l’Electronic Commerce Act, 2000 (ECA) disciplina l’uso di documenti elettronici nelle transazioni commerciali. In un rapporto intitolato Electronic Signatures in Canadian Law, il principale studio legale canadese Stikeman Elliott LLP afferma: “Nonostante alcune variazioni, gli statuti provinciali sul commercio elettronico generalmente stabiliscono che le firme, i documenti e gli originali non sono non validi o inapplicabili per il solo fatto di essere in forma elettronica”.

Per saperne di più, leggi la guida legale di Stikeman Elliott sulle firme elettroniche.

Il Regolamento per l’identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel mercato interno (eIDAS) del 2014 è entrato in vigore in tutta l’Unione europea il 1° luglio 2016, sostituendo la direttiva 1999/93/CE sulle firme elettroniche. A differenza della direttiva, il regolamento eIDAS si applica allo stesso modo a ogni Stato membro dell’UE.

L’eIDAS facilita il riconoscimento transfrontaliero delle firme e delle identità elettroniche. Identifica inoltre tre livelli di firma elettronica: la firma elettronica semplice, avanzata e qualificata.

Scopri l’applicabilità legale dei tre livelli di firma elettronica in questo white paper: eIDAS e firma elettronica: una prospettiva legale, a cura di Lorna Brazell di Osborne Clarke LLP.

Il 26 giugno 2020 la legge n. 7247 è stata pubblicata nella Gazzetta Ufficiale. La legge modifica diverse leggi esistenti che riguardano i contratti elettronici. I cambiamenti ora autorizzano le società di servizi finanziari ad accettare le firme elettroniche per aprire conti bancari, richiedere prestiti, leasing e carte di credito.

Learn more details in this blog: https://www.onespan.com/blog/financial-regulatory-landscape-in-turkey

In Brasile, l’uso della firma elettronica rientra in due categorie:

• Neutrale dal punto di vista tecnologico: La legge brasiliana permette la firma elettronica nei casi in cui il tipo di firma non è specificato dalla legge. In questo approccio, la firma elettronica deve garantire l’integrità del documento firmato e l’autenticità dell’autore della firma, ma la legge non specifica la tecnologia da utilizzare. La libertà di forma nella legge brasiliana implica questo approccio neutrale rispetto alla tecnologia.
• Tecnologia specifica: Alcuni tipi di documenti e firmatari richiedono l’uso di un certificato digitale rilasciato al firmatario dall’infrastruttura ICP-Brasil. Si tratta di un sistema con tecnologia specifica in cui i certificati ICP-Brasil forniscono una verifica esterna attendibile della firma elettronica. ICP-Brasil stabilisce l’infrastruttura a chiave pubblica per il paese, che fornisce la marcatura temporale e le politiche necessarie per creare l’equivalente di una firma digitale qualificata.

Scopri di più in questo white paper in portoghese sulle Firme elettroniche e la legge in Brasile, scritto in collaborazione con Opice Blum LLP.

La legge 527 del 1999 ha stabilito che la firma elettronica è equivalente alla firma autografa. Dà alle firme elettroniche la stessa validità e lo stesso effetto giuridico di una firma autografa, a condizione che la firma elettronica rispetti i requisiti di affidabilità indicati nel decreto 2364 del 2012.

Scopri di più in questo white paper in spagnolo sulle Firme elettroniche e la legge in Colombia, scritto in collaborazione con Erick Rincón Cárdenas, partner di Rincón Cárdenas & Moreno.

Nel 2000 il Congresso della Repubblica del Perù ha approvato la legge n. 27269 sulle firme e i certificati digitali, che recita quanto segue: "Lo scopo di questa legge è regolare l’uso delle firme elettroniche, concedendo loro la stessa validità ed efficacia legale delle firme autografe o simili che implicano una dichiarazione di volontà".

Scopri di più in questo white paper in spagnolo sulle Firme elettroniche e la legge in Perù, scritto in collaborazione con Erick Rincón Cárdenas, partner di Rincón Cárdenas & Moreno.

Nel 1999 il parlamento australiano ha approvato l’Electronic Transactions Act, modificato nel 2011. L’Electronic Transactions Act dà alle firme elettroniche lo stesso status legale delle firme autografe.

Secondo il governo australiano, "se una legge del Commonwealth richiede di dare informazioni per iscritto, fornire una firma autografa, produrre un documento in forma materiale o registrare o conservare informazioni, l’Electronic Transactions Act significa che si possono fare queste cose elettronicamente".

Scopri di più nel nostro eBook Firme elettroniche e aspetti legislativi: Rassegna legislativa globale.

In vigore dal 2001, l’Electronic Signatures and Certification Business Act del Giappone riconosce l’applicabilità legale di due tipi di firme elettroniche usate in tutto il mondo: le firme elettroniche avanzate e le firme elettroniche qualificate.

Scopri di più nel nostro eBook Firme elettroniche e aspetti legislativi: Rassegna legislativa globale.

Nata nel 1998, questa legge fornisce la base legale per le firme elettroniche e dà prevedibilità e certezza ai contratti elettronici. Secondo il governo di Singapore, “nel mondo elettronico le firme autografe possono essere sostituite dalle firme digitali. Come le firme scritte, le firme digitali possono essere usate per stabilire l’identità di una parte o per vincolarsi legalmente. L’Electronic Transactions Act prevede il riconoscimento delle firme digitali secondo la legge di Singapore”.

Scopri di più nel nostro eBook Firme elettroniche e aspetti legislativi: Rassegna legislativa globale.