Strong customer authentication: differenze tra le versioni

Naviga nella cronologia in modo interattivo

← Differenza precedente

Contenuto cancellato Contenuto aggiunto

VisualeWikitesto

Versione delle 20:19, 18 gen 2021 modifica Vgg5465 (discussione \| contributi) Rollbacker 5 053 modifiche m fix note Etichetta: Modifica visuale ← Differenza precedente		Versione attuale delle 11:37, 12 gen 2025 modifica annulla Quitexalex (discussione \| contributi) 16 modifiche Funzionalità collegamenti suggeriti: 2 collegamenti inseriti. Etichette: Modifica visuale Modifica da mobile Modifica da web per mobile Attività per i nuovi utenti Suggerito: aggiungi collegamenti
(14 versioni intermedie di 10 utenti non mostrate)
Riga 1: La '''Strong Customer Authentication''' ('''SCA'''), cioè l'autenticazione del cliente tramite un sistema multifattoriale, è un requisito per servizi online che richiedono un elevato livello di sicurezza. ~~{A\|\|economia\|gennaio 2021}}~~ La '''Strong Customer Authentication''' ('''SCA'''), cioè l'autenticazione del cliente tramite un sistema multifattoriale, è un requisito per i pagamenti online previsto dalla Direttiva dei Sistemi di Pagamento [[PSD2]].<ref>{{Cita web\|url=https://ec.europa.eu/commission/presscorner/home/en\|titolo=Press corner\|sito=European Commission - European Commission\|lingua=en\|accesso=2021-01-18}}</ref> La SCA è correntemente utilizzata dalle banche, dai [[prestatori di servizi di pagamento]] anche per servizi diversi da quelli di pagamento, laddove si richiesto un elevato livello di confidenza sull'identità della controparte. Essa prevede che per alcuni tipi di pagamento in alcune condizioni (ad esempio per importi sopra 500 euro) sia chiesto al cliente di autenticarsi con più fattori, di cui uno in diretto possesso del clientele stesso: oltre al numero e CVV della carta di credito, viene quindi richiesto l'inserimento di una OTP (One Time Password, password da utilizzare una sola volta) inviata via sms, l'inserimento dell'impronta digitale, un tap sull'app della banca, ecc.<ref>{{Cita web\|url=https://www.eba.europa.eu/regulation-and-policy/payment-services-and-electronic-money/regulatory-technical-standards-on-strong-customer-authentication-and-secure-communication-under-psd2\|titolo=Regulatory Technical Standards on strong customer authentication and secure communication under PSD2\|sito=European Banking Authority\|data=2019-04-12\|lingua=en\|accesso=2021-01-18}}</ref> == Requisiti == La SCA prevede che per alcuni tipi di pagamento in alcune condizioni sia chiesto al cliente una [[autenticazione a due fattori]] o più. === Autenticazione === Con l’entrata in vigore di questa nuova normativa, verrà richiesta al cliente un’autenticazione più approfondita, in particolare la SCA richiederà per l'autenticazione la verifica di almeno due di questi tre elementi:<ref name=":0">{{Cita pubblicazione\|data=2018-03-13\|titolo=Commission Delegated Regulation (EU) 2018/389 of 27 November 2017 supplementing Directive (EU) 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication (Text with EEA relevance. )\|numero=32018R0389\|lingua=en\|accesso=2021-01-18\|url=http://data.europa.eu/eli/reg_del/2018/389/oj/eng}}</ref> # conoscenza: identificazione ~~con~~tramite un codice ~~criptato~~mnemonico che solo il cliente conosce, ~~può trattarsi~~per dies. una parola chiave piuttosto che un codice (PIN) o una domanda di sicurezza; # possesso: identificazione ~~con~~tramite qualcosa che è in possesso aldel cliente e che quest'ultimo può utilizzare, tipicamente una [[carta di debito]] o di credito, un ~~device~~dispositivo come lo smartphone piuttosto che ununa ~~device~~smart ~~portatile~~key o ancora un token bancario; # inerenza: identificazione con una caratteristica fisica del cliente:, per es. impronta digitale o lineamenti biometrici del viso, ovvero tratti che~~, in qualche modo,~~ sono in grado di caratterizzare il cliente identificandolo ~~nella sua persona~~ in modo univoco. Si tratta di una regola rigida ma permetterà all'utente finale una protezione maggiore da possibili frodi finanziarie, inoltre questa normativa si rivela vantaggiosa anche per i negozianti tramite ~~e-commerce~~[[commercio elettronico]] che potranno godere di una maggiore affidabilità, dando l’opportunità di incrementare la clientela che si dedicherà allo shopping online con maggiore predisposizione.▼ ▲Si tratta di una regola rigida ma permetterà all'utente finale una protezione maggiore da possibili frodi finanziarie, inoltre questa normativa si rivela vantaggiosa anche per i negozianti tramite e-commerce che potranno godere di una maggiore affidabilità, dando l’opportunità di incrementare la clientela che si dedicherà allo shopping online con maggiore predisposizione. === Transazioni === La nuova normativa prevede che alcune tipologie di transazioni possano essere esentate dal processo SCA a due livelli, in particolare:<ref name=":1" /><ref name=":0" /> * Le transazioni che prevedono un importo '''al di sotto dei 30 euro''', che, se ripetute nel corso del tempo e sommate in un arco di 24 ore non superino i 100 euro o una serie di cinque transazioni consecutive. Nel caso si dovesse arrivare a queste numeriche scatta il meccanismo dell’autenticazione '''SCA.''' * Per '''transazioni a basso rischio''', ovvero quelle operazioni che sono analizzate dai ~~payment~~fornitori ~~service~~di servizi di ~~provider~~pagamento e nel momento in cui la soglia della percentuale di frodi del ~~payment~~fornitore di servizi di ~~provider~~pagamento rimane al di sotto dei parametri relativi ai pagamenti su carta esclude l’adozione della SCA. * Pagamenti ricorsivi con un valore fisso'''.''' Ad esempio degli abbonamenti a dei servizi, in queste circostanze la autenticazione forte entra in azione solo per la prima transazione mentre non viene richiesta per tutti i successivi rinnovi che possono essere considerati come delle operazioni automatiche. In caso di cambi di valore da parte del servizio o della modalità di utilizzo dello stesso, verrà richiesta nuovamente l'autenticazione forte per completare il pagamento. * Nel caso di pagamenti verso venditori identificati come beneficiari credibili. In questo caso l’autenticazione forte viene richiesta al primo pagamento nei pagamenti successivi si potranno effettuare pagamenti senza '''SCA'''. == Nel mondo == === Unione Europea === Per le Banche ed i PSP (Prestatori di Servizi di Pagamento), l'utilizzo della SCA è un requisito disciplinato dalla seconda Direttiva dell'Unione Europea (UE) 2015/2366 sui Sistemi di Pagamento [[PSD2]]<ref>{{Cita web\|url=https://ec.europa.eu/commission/presscorner/home/en\|titolo=Press corner\|sito=European Commission - European Commission\|lingua=en\|accesso=2021-01-18}}</ref> e del Regolamento delegato della [[Commissione europea\|Commissione Europea]] n. 2018/389 del 27 novembre 2017 <ref name=":1">{{Cita web\|url=https://www.eba.europa.eu/regulation-and-policy/payment-services-and-electronic-money/regulatory-technical-standards-on-strong-customer-authentication-and-secure-communication-under-psd2\|titolo=Regulatory Technical Standards on strong customer authentication and secure communication under PSD2\|sito=European Banking Authority\|data=2019-04-12\|lingua=en\|accesso=2021-01-18}}</ref>, e richiesto sia per servizi di pagamento bancario (SCT o bonifico, SCTinst o bonifico istantaneo, pagamenti Target 2 e Target 2 cross-border, ecc), che per servizi informativi che richiedono lo scambio di dati confidenziali, come per es. il saldo del conto, l'elenco dei movimenti ecc. == Note == <references />~~{{Portale\|Sicurezza informatica}}~~ ==Voci correlate== * [[Autenticazione a due fattori]] * [[Prestatori di servizi di pagamento]] {{Portale\|diritto\|sicurezza informatica}} [[Categoria:Strumenti di pagamento]] [[Categoria:Identificazione personale]]