RBI estende la scadenza per conformarsi alle norme sulla tokenizzazione delle carte fino al 30 settembre

La Reserve Bank of India (RBI) venerdì ha prorogato di tre mesi fino al 30 settembre il termine per la tokenizzazione della carta in archivio (CoF), alla luce delle varie dichiarazioni ricevute dagli organismi del settore. Card-on-file, o CoF, si riferisce alle informazioni sulla carta memorizzate dal gateway di pagamento e dai commercianti per elaborare transazioni future. La tokenizzazione è il processo di sostituzione dei dettagli della carta reale con un codice alternativo univoco chiamato "Token", consentendo così transazioni più sicure.

La RBI ora ha ordinato ai commercianti di attuare le sue norme sulla tokenizzazione entro il 30 settembre. Questa è la terza volta che la banca centrale ha prorogato il termine della sua attuazione.

Le parti interessate del settore hanno evidenziato alcune questioni relative all'attuazione del quadro per quanto riguarda le transazioni di check-out degli ospiti, ha affermato la RBI in una nota.

Inoltre, una serie di transazioni elaborate utilizzando i token deve ancora guadagnare terreno in tutte le categorie di commercianti.

"Questi problemi vengono affrontati in consultazione con le parti interessate e, per evitare interruzioni e disagi per i titolari di carte, la Reserve Bank ha annunciato oggi un'estensione della suddetta linea temporale del 30 giugno, di altri tre mesi, ovvero fino al 30 settembre", ha detto.

In base al mandato RBI per migliorare la sicurezza delle transazioni online, i dettagli della carta salvati sul sito Web/app del commerciante dovevano essere eliminati dai commercianti entro il 30 giugno.

Ad oggi, sono stati creati circa 19.5 crore token, afferma la dichiarazione.

“La scelta di CoFT (ovvero la creazione di token) è volontaria per i titolari di carta. Coloro che non desiderano creare un token possono continuare a effettuare transazioni come prima inserendo manualmente i dettagli della carta al momento dell'esecuzione della transazione (comunemente denominata "transazione di checkout dell'ospite")", ha osservato.

Lo scopo fondamentale della tokenizzazione è aumentare e migliorare la sicurezza dei clienti. Con la tokenizzazione, la memorizzazione dei dettagli della carta è limitata.

Attualmente, molte entità, inclusi i commercianti, coinvolti in una catena di transazioni con carta online memorizza i dati della carta come il numero della carta, la data di scadenza (Card-on-File) citando la comodità e il comfort del titolare della carta per effettuare transazioni in futuro.

Sebbene questa pratica renda conveniente, la disponibilità dei dettagli della carta con più entità aumenta il rischio che i dati della carta vengano rubati/utilizzati in modo improprio. Ci sono casi in cui tali dati memorizzati dai commercianti sono stati compromessi.

Dato che molte giurisdizioni non impongono un ulteriore fattore di autenticazione (AFA) per l'autenticazione delle transazioni con carta, i dati rubati nelle mani di truffatori possono comportare transazioni non autorizzate e una conseguente perdita monetaria per i titolari di carta. Anche all'interno dell'India, le tecniche di ingegneria sociale possono essere impiegate per perpetrare frodi utilizzando tali dati, afferma la dichiarazione.

Per creare un token nell'ambito del framework CoF, ha affermato, il titolare della carta deve sottoporsi a un processo di registrazione una tantum per ciascuna carta su ogni sito Web/applicazione mobile di un commerciante online/e-commerce inserendo i dettagli della carta e dando il consenso per la creazione di un token .

Il consenso viene convalidato mediante autenticazione tramite un AFA. Successivamente, viene creato un token, specifico per la carta e il commerciante online/e-commerce. Il token non può essere utilizzato per il pagamento presso nessun altro commerciante.

Per le transazioni future eseguite sullo stesso sito Web/applicazione mobile del commerciante, il titolare della carta può identificare la carta con le ultime quattro cifre durante il processo di pagamento, ha affermato la RBI.

Pertanto, il titolare della carta non è tenuto a ricordare o inserire il token per transazioni future e una carta può essere tokenizzata presso qualsiasi numero di commercianti online o di e-commerce, ha osservato.

Questa estensione di tre mesi da parte della RBI offrirà un respiro a tutte le parti coinvolte per conformarsi alle norme sulla tokenizzazione e aiuterà sicuramente a una transizione più agevole, ha affermato Vishwas Patel, Direttore Esecutivo, Infibeam Avenues Ltd e Presidente, Payment Council of India ( PCI).