Tre le principali novità del nuovo sistema PSD2 (Payment Services Directive) della Direttiva europea sui servizi di pagamenti digitali, che da gennaio 2021 tutte le piattaforme di e-commerce devono implementare nelle proprie procedure di pagamento, c’è la Strong Customer Authentication (SCA) che richiede informazioni aggiuntive, un’autenticazione a due fattori, per accertare la propria identità e procedere all’acquisto.
La Strong Customer Authentication, oltre alla nuova autenticazione a due fattori, comporta anche l’adeguamento dei protocolli utilizzati dai fornitori di servizi di pagamento dei merchant online. L’obiettivo è di evitare frodi o violazioni privacy e, di conseguenza, aumentare la fiducia dei consumatori nell’effettuare acquisti in rete.
Vediamo dunque di capire bene cos’è e come funziona la Strong customer authentication (SCA) per comprendere il suo ruolo nel garantire la sicurezza dei pagamenti sul web.
=> Acquisti sicuri online: il decalogo
Strong Customer Authentication (SCA)
Il nuovo sistema di “autenticazione forte”, a Strong Customer Authentication (SCA), prevede il riconoscimento dell’identità dell’utente attraverso la verifica a due fattori diversi.
L’autenticazione forte poggia le sue basi su tre elementi che devono rimanere tra loro indipendenti e appartenere a categorie diverse:
- Conoscenza, per l’identificazione dell’utente bisogna inserire qualcosa che solo l’utente conosce (per esempio un PIN o una password);
- Inerenza: l’identificazione SCA ha bisogno anche qualcosa che l’utente “è”, ricorrendo a tecnologie come biometria, modelli comportamentali, riconoscimento vocale e così via;
- Possesso, identificando l’utente attraverso qualcosa che solo lui possiede: un telefono cellulare o un token, ad esempio.
Ad esempio, le banche italiane hanno scelto per lo più di inviare un codice tramite SMS al cliente una quando quest’ultimo inserisce i dati della sua carta su un sito di e-commerce e di sfruttare l’app bancaria combinata con altri strumenti di tipo biometrico.
=> Carte di credito prepagate: guida alle tipologie
SCA: quando è obbligatoria
La SCA è obbligatoria non solo per i siti di e-commerce e quelli che richiedono pagamenti online, ma anche qualora si voglia accedere a servizi che prevedono l’accesso a un’area personale come l’home banking o nel momento in cui viene espresso un consenso a un’azione tramite un canale remoto che nasconde il rischio di frode.
=> Sistemi e metodi per password sicure
SCA: quando è facoltativa
Tra i casi di esonero dall’implementazione della SCA ci sono:
- le transazioni ricorrenti (la SCA sarà richiesta solo per la prima transazione);
- le transazioni di basso valore, inferiore a 30 euro o cumulativamente a 100 euro, o cinque transazioni consecutive dall’ultimo pagamento verificato con SCA;
- pagamenti verso beneficiari attendibili, quando il negozio online viene segnalato tra i negozi di fiducia dal titolare della carta alla propria banca. La SCA sarà richiesta per la creazione e/o la modifica della lista di beneficiari di fiducia o al primo pagamento;
- transazioni a basso rischio, entro i 500 euro, se l’emittente della carta che sta effettuando il pagamento o l’acquirente che sta gestendo la transazione possono dimostrare di avere un livello di frodi al di sotto di una determinata soglia.
