Strong customer authentication

La Strong Customer Authentication (SCA), cioè l'autenticazione del cliente tramite un sistema multifattoriale, è un requisito per i pagamenti online previsto dalla Direttiva dei Sistemi di Pagamento PSD2.^[1]

Essa prevede che per alcuni tipi di pagamento in alcune condizioni (ad esempio per importi sopra 500 euro) sia chiesto al cliente di autenticarsi con più fattori, di cui uno in diretto possesso del clientele stesso: oltre al numero e CVV della carta di credito, viene quindi richiesto l'inserimento di una OTP (One Time Password, password da utilizzare una sola volta) inviata via sms, l'inserimento dell'impronta digitale, un tap sull'app della banca, ecc.^[2]

Requisiti

Autenticazione

Con l’entrata in vigore di questa nuova normativa, verrà richiesta al cliente un’autenticazione più approfondita, in particolare la SCA richiederà per l'autenticazione la verifica di almeno due di questi tre elementi:^[3]

identificazione con un codice criptato che solo il cliente conosce, può trattarsi di una parola chiave piuttosto che un codice (PIN) o una domanda di sicurezza;
identificazione con qualcosa che è in possesso al cliente e che quest'ultimo può utilizzare, tipicamente un dispositivo come lo smartphone piuttosto che un dispositivo portatile o ancora un token bancario;
identificazione con una caratteristica fisica del cliente: impronta digitale o lineamenti biometrici del viso, ovvero tratti che, in qualche modo, sono in grado di caratterizzare il cliente identificandolo nella sua persona in modo univoco.

Si tratta di una regola rigida ma permetterà all'utente finale una protezione maggiore da possibili frodi finanziarie, inoltre questa normativa si rivela vantaggiosa anche per i negozianti tramite commercio elettronico che potranno godere di una maggiore affidabilità, dando l’opportunità di incrementare la clientela che si dedicherà allo shopping online con maggiore predisposizione.

Transazioni

La nuova normativa prevede che alcune tipologie di transazioni possano essere esentate dal processo SCA a due livelli, in particolare:^[3]

Le transazioni che prevedono un importo al di sotto dei 30 euro, che, se ripetute nel corso del tempo e sommate in un arco di 24 ore non superino i 100 euro o una serie di cinque transazioni consecutive. Nel caso si dovesse arrivare a queste numeriche scatta il meccanismo dell’autenticazione SCA.
Per transazioni a basso rischio, ovvero quelle operazioni che sono analizzate dai fornitori di servizi di pagamento e nel momento in cui la soglia della percentuale di frodi del fornitore di servizi di pagamento rimane al di sotto dei parametri relativi ai pagamenti su carta esclude l’adozione della SCA.
Pagamenti ricorsivi con un valore fisso. Ad esempio degli abbonamenti a dei servizi, in queste circostanze la autenticazione forte entra in azione solo per la prima transazione mentre non viene richiesta per tutti i successivi rinnovi che possono essere considerati come delle operazioni automatiche. In caso di cambi di valore da parte del servizio o della modalità di utilizzo dello stesso, verrà richiesta nuovamente l'autenticazione forte per completare il pagamento.
Nel caso di pagamenti verso venditori identificati come beneficiari credibili. In questo caso l’autenticazione forte viene richiesta al primo pagamento nei pagamenti successivi si potranno effettuare pagamenti senza SCA.

Note

^ (EN) Press corner, su European Commission - European Commission. URL consultato il 18 gennaio 2021.
^ (EN) Regulatory Technical Standards on strong customer authentication and secure communication under PSD2, su European Banking Authority, 12 aprile 2019. URL consultato il 18 gennaio 2021.
^ ^a ^b (EN) Commission Delegated Regulation (EU) 2018/389 of 27 November 2017 supplementing Directive (EU) 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication (Text with EEA relevance. ), 32018R0389, 13 marzo 2018. URL consultato il 18 gennaio 2021.

Collegamenti esterni

Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di Sicurezza informatica

[1] (EN) Press corner, su European Commission - European Commission. URL consultato il 18 gennaio 2021.

[2] (EN) Regulatory Technical Standards on strong customer authentication and secure communication under PSD2, su European Banking Authority, 12 aprile 2019. URL consultato il 18 gennaio 2021.

[:0-3] (EN) Commission Delegated Regulation (EU) 2018/389 of 27 November 2017 supplementing Directive (EU) 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication (Text with EEA relevance. ), 32018R0389, 13 marzo 2018. URL consultato il 18 gennaio 2021.

[1]

[2]

[3]