11 Giu PAGAMENTI DIGITALI E PSD2: L’AUTENTICAZIONE FORTE DIVENTA D’OBBLIGO

PAGAMENTI DIGITALI E PSD2: L’AUTENTICAZIONE FORTE DIVENTA D’OBBLIGO

14 SETTEMBRE 2019

Si chiama Strong Customer Authentication (SCA) una delle principali novità della PSD2, ovvero la più recente Direttiva europea sui servizi di pagamento digitali (UE 2366 del 2015) entrata in vigore il 13 gennaio 2018.

Conosciuta anche come autenticazione a due fattori (2FA), la SCA consiste nella verifica di almeno due elementi di diversa tipologia per accertare l’identità di un utente di servizi di pagamento o la validità dell’uso di uno specifico strumento di pagamento: i fattori necessari per l’autenticazione vengono combinati in modo dinamico legando ciascuna transazione ad un importo e un beneficiario specifico, certificandone dunque l’unicità.

Si tratta di un’efficace misura di sicurezza divenuta fondamentale nel contesto di un’inarrestabile crescita dei pagamenti tramite internet e i dispositivi mobili. Soltanto in Italia, la Polizia Postale e delle Comunicazioni, parla di truffe online in crescita con 3355 denunce, 39 arresti, circa 160mila segnalazioni e il sequestro di 22.687 spazi virtuali registrati nel 2018. [1]

Sono proprio la sicurezza e la protezione degli utenti ad essere il punto nodale nell’elaborazione delle normative europee sui pagamenti digitali: dapprima la Payments Service Directive (PSD) del 2009, che ha segnato l’inizio di una rivoluzione per il settore bancario e successivamente la revisione della stessa, la PSD2 che apre una nuova fase nel percorso di evoluzione del mercato europeo dei pagamenti in cui la sicurezza dei pagamenti digitali diventa essenziale per favorire un contesto stabile ed affidabile per il commercio elettronico a tutela di tutte le parti coinvolte.

In questa direzione va l’autenticazione forte, che a breve dovrà essere implementata da tutte le aziende coinvolte nei processi finanziari e di pagamento oggetto della normativa PSD2: il termine entro il quale queste dovranno conformarsi alle norme tecniche (RTS – Regulatory Technical Standards) della più recente direttiva europea è il 14 settembre 2019.

Come funziona la SCA? Quando si applica?

I fattori presenti nella Strong Customer Authentication

La SCA si realizza in presenza di almeno due dei seguenti tre fattori:

•        Conoscenza – Qualcosa che solo l’utente conosce (es.: PIN o password);
•        Inerenza – Qualcosa che l’utente “è” (es.: biometria, modelli comportamentali, riconoscimento vocale);
•        Possesso – Qualcosa che solo l’utente possiede (ad esempio, un telefono cellulare o un token).

Tali elementi devono essere reciprocamente indipendenti (la violazione di uno non deve compromettere l’affidabilità dell’altro) e appartenere a categorie diverse (non sarà possibile utilizzare due elementi di inerenza o solo due elementi di possesso).

SCA: quando deve essere applicata

L’autenticazione forte del cliente (SCA) deve essere applicata:

•        Quando un cliente accede al proprio account di pagamento online
•        Quando un cliente autorizza un pagamento elettronico
•        Quando un cliente esprime un consenso ad un’azione attraverso un canale remoto che può comportare un rischio di frode.

 

Le esenzioni: quando si applicano

Sono previste alcune esenzioni dall’obbligo di autenticazione forte del cliente:

•        Transazioni ricorrenti – Stesso importo, stesso beneficiario.
•        Transazioni di basso valore – pagamenti di valore inferiore a € 30,00 o cumulativamente a € 100,00.
•        Beneficiari attendibili – beneficiario incluso nell’elenco dei soggetti affidabili.
•        Tassi di frode e analisi di rischio – transazioni fino ad un valore massimo di € 500,00
•        Altre tipologie

La valutazione della necessità o meno di procedere alla SCA è demandata ai prestatori dei servizi di pagamento.

È fondamentale sottolineare l’importanza dell’autenticazione a due o più fattori, che ad oggi è il sistema di protezione più sicuro che abbiamo a disposizione per proteggere i nostri account e le nostre operazioni online con tutti i dati sensibili ad essi connessi.

La certezza di riconoscimento dell’identità delle persone e la sicurezza nell’effettuare le operazioni online sono state al centro dei servizi offerti da MyBank fin dalla sua nascita.

I processi di autorizzazione elettronica di MyBank sin dal 2013 sono basati su un’architettura che prevede la SCA e su standard e protocolli web sicuri e costantemente aggiornati. Come precursore dell’Open Banking, MyBank ha adottato fin da subito l’autenticazione a due fattori e messo al centro della sua soluzione la sicurezza degli utenti.

Conclusioni

La Strong Customer Authentication è un elemento necessario per poter ottemperare ai requisiti della PSD2 che diventeranno obbligatori a partire dal 14 settembre 2019 ma è anche un’opportunità per creare maggiore fiducia da parte degli utenti nei confronti del mercato digitale.

L’applicazione della SCA contribuirà senza dubbio alla protezione di chi opera online e alla lotta contro le cause più comuni dei reati online.

Pioniere nell’adottare l’autenticazione forte, MyBank offre una soluzione di pagamento perfettamente in linea con i requisiti della PSD2, a supporto di un ecosistema digitale affidabile e assicurando agli utenti transazioni senza rischi con una semplicità di utilizzo significativa.

[1] http://www.interno.gov.it/it/notizie/anno-rete-tutela-dei-cittadini-i-dati-2018-postale