DFA OPEN DAY ON LINE PAYMENTS FORENSICS Avv. Giuseppe Serafini Slide della relazione tenuta il giorno 8 maggio 2013

1. Elementi di
On Line Payment Forensics
Avv. Giuseppe Serafini

2. SAQ
ASV
QSA
PFI

3. Decreto Crescita 2.0. - L. 221/2012
AZZERAMENTO DEL DIVARIO DIGITALE
E MONETA ELETTRONICA
Art. 15 Pagamenti elettronici
(4). - A decorrere dal 1° gennaio 2014, i soggetti che effettuano l'attività di
vendita di prodotti e di prestazione di servizi, anche professionali, sono tenuti
ad accettare anche pagamenti effettuati attraverso carte di debito. Sono in
ogni caso fatte salve le disposizioni del decreto legislativo 21 novembre 2007, n.
231.
(5). - Con uno o più decreti del Ministro dello sviluppo economico, (di concerto
con il Ministro) dell'economia e delle finanze, sentita la Banca d'Italia, vengono
disciplinati gli eventuali importi minimi, le modalità e i termini, anche in
relazione ai soggetti interessati, di attuazione della disposizione di cui al comma
precedente. Con i medesimi decreti può essere disposta l'estensione degli
obblighi a ulteriori strumenti di pagamento elettronici anche con tecnologie
mobili.

6. “some questions ”
(1). - Esistono “norme” o “standard” dedicati che trovano applicazione specifica
in materia di sicurezza dei pagamenti effettuati con carta di credito/debito? Se si,
che vincolatività hanno? Sono previste sanzioni per l'inosservanza? Se si, di che
genere?
(2). - Ed ancora, esistono raccomandazioni (guidelines) specifiche per i pagamenti
effettuati via “Mobile” oppure attraverso servizi di “Cloud computing”?
(3). - Infine - per ora - esistono standard, procedure, raccomandazioni, linee di
condotta, soggetti stabiliti, per l'effettuazione di operazioni di investigazione
digitale nel campo dei pagamenti effettuati con carte di credito? Se si, che
vincolatività hanno?

10. Generalità
PCI è elaborato (V.2. 2010) dai gestori (PCI SSC) del circuito dei pagamenti mediante carta
di credito/debito (VISA, MASTERCARD, AMERICAN EXPRESS Discover Financial
Services, JCB), la sua vincolatività è contrattualmente imposta, (cfr. 1341 e 1342 cod. civ.)
si applica a tutte le entità che “processano” (process, store, transmit) determinati dati (ad
es.: PAN Primary Account Number) relativi a pagamenti effettuati con carte di
credito/debito, a prescindere dal numero delle transazioni effettuate.
Rilevano in tale ambito, Merchant (ad es. P.A. ASL, Supermercati, Farmacie, Hotel, e-
commerce), Acquirer (banche), Service Provider*, Cloud Service Provider* etc.
Lo standard si applica altresì ai soggetti che sviluppano applicazioni di pagamento (PA -
DSS = Payment Application Data Security Standard) nonché ai costruttori di dispositivi
abilitati a ricevere pagamenti sotto forma di PTS = PIN Transaction Security, (a set of
modular evaluation requirements managed by PCI Security Standards Council, for PIN
acceptance POI = Point of Interaction terminals).
Lo standard, prevede anche **soggetti dedicati per svolgimento di determinate attività.

13. Cloud & Mobile Payments
Standard:
PCI Data Security Standard (PCI DSS)
Version: 2.0
Date: February 2013
Author: Cloud Special Interest Group PCI
Security Standards Council
Information Supplement:
PCI DSS Cloud Computing Guidelines
Guideline:
PCI Mobile Payment Acceptance Security
Guidelines
Version: 1.0
Date: February 2013
Author: Emerging Technologies,PCI Security
Standards Council
PCI Mobile Payment Acceptance Security
Guidelines for Merchants as End-Users

28. La parola al Giudice ....
Grazie per l'attenzione