Meglio conosciuta come autenticazione a due fattori, la SCA permette di accertare l’identità di un utente di servizi di pagamento. Si tratta di una delle novità della Direttiva europea sui servizi di pagamento digitali.
Una delle principali novità del nuovo sistema PSD2 della Direttiva europea sui servizi di pagamenti digitali è la Strong Customer Authentication (SCA), ovvero il riconoscimento dell’identità dell’utente attraverso la verifica a due fattori diversi.
L’obiettivo di questo nuovo sistema di «autenticazione forte» è quello di garantire la sicurezza ed evitare l’attacco informatico sui conti correnti.
Ma cos’è e come funziona la Strong Customer Authentication (SCA)? Che cosa cambierà con la sua introduzione per i risparmiatori?
Strong Customer Authentication: cos’è e come funziona
L’autenticazione a doppio fattore (detta anche autenticazione forte) è il nuovo sistema introdotto dalla Direttiva europea sui servizi di pagamenti digitali. In altre parole, gli utenti che intendono effettuare un pagamento sfruttando i servizi bancari digitali, dovranno realizzare una verifica a due fattori che permetta di identificare la loro identità tramite - appunto - due fattori diversi combinati tra loro in modo dinamico.
Affinché possa realizzarsi, però, la SCA ha bisogno di tre fattori portanti:
- Conoscenza, ovvero qualcosa che solo l’utente conosce (per esempio un PIN o una password);
- Inerenza, ovvero qualcosa che l’utente “è” (per esempio biometria, modelli comportamentali, riconoscimento vocale);
- Possesso, ovvero qualcosa che solo l’utente possiede (per esempio, un telefono cellulare o un token).
Questi elementi devono rimanere tra loro indipendenti e appartenere a categorie diverse.
SCA: casi di applicazione ed esenzione
La Strong Customer Authentication ha un ambito di applicazione relativo a tre sfere di azioni principali. Essa si applica:
- nel momento in cui un cliente effettua un pagamento online,
- nel momento in cui un cliente entra nella propria area personale (home banking),
- nel momento in cui viene espresso un consenso a un’azione tramite un canale remoto che nasconde il rischio di frode.
Tuttavia, esistono anche dei casi di esenzione dall’applicazione del sistema di sicurezza e autenticazione a doppio fattore
Si tratta di:
- Transazioni ricorrenti, per esempio quelle che prevedono lo stesso importo o lo stesso beneficiario,
- Transazioni di basso valore, ad esempio i pagamenti di valore inferiore a 30,00 euro o cumulativamente a 100,00 euro.
- Beneficiari attendibili, ovvero uno dei beneficiari inclusi nell’elenco dei soggetti affidabili,
- Tassi di frode e analisi di rischio, cioè quelle transazioni fino ad un valore massimo di 500,00 euro.
SCA: le banche sono pronte?
La Direttiva europea che ha introdotto il sistema PSD2 doveva entrare in vigore il 14 settembre 2019, ma l’European Bank Authority ha concesso uno slittamento di 15 mesi, prorogando la scadenza al 31 dicembre 2020. La Strong customer authentication, infatti, non comporta soltanto una nuova autenticazione a due fattori, ma anche l’adeguamento dei protocolli utilizzati dai fornitori di servizi di pagamento dei merchant online.
Per capire quale fosse la preparazione delle banche italiane in vista dell’entrata in vigore di questo nuovo sistema, l’Osservatorio Innovative Payments del Politecnico di Milano ha analizzato — al 30 novembre 2020 - i metodi di autenticazione di 33 issuer tra banche e istituti di pagamento italiani. Dai risultati si evince come soltanto una banca su dieci sia realmente in linea con la nuova direttiva europea che prevede l’introduzione dell’autenticazione a due fattori.
Dalla ricerca è emerso anche come una banca su due proponga ai clienti soltanto l’autenticazione a un fattore, mentre una filiale su tre sta effettuando la transizione.
Generalmente, comunque, le banche italiane hanno scelto di inviare un codice tramite SMS al cliente una volta che quest’ultimo ha inserito i dati della sua carta su un sito di e-Commerce. Tra i metodi più utilizzati, comunque, ci sarebbe anche lo sfruttamento dell’applicazione bancaria combinato con altri strumenti di tipo biometrico.
© RIPRODUZIONE RISERVATA