Viviamo in un mondo di acronimi. Nell’adv siamo già abituati ad esempio a CPM, PPC, PPL, PPS, RTB e… nel mondo dei pagamenti?
Abbiamo già parlato la scorsa volta di PSD2, oggi vediamo la temutissima SCA: Strong Customer Authentication.
Si chiama Strong Customer Authentication (SCA) una delle principali novità della PSD2, ovvero la più recente Direttiva europea sui servizi di pagamento digitali (UE 2366 del 2015) entrata in vigore il 13 gennaio 2018.
Ne sentirai parlare perché, dal 14 Settembre 2019, potrebbe impattare su molte aziende che vendono online ed è temuta perché si pensa possa abbassare il tasso di conversione. E, su questo fronte, c’è proprio un acceso dibattito (se ne è parlato molto anche all’ultimo Netcomm Forum di Milano).
Conosciuta anche come autenticazione a due fattori (2FA), la SCA consiste nella verifica di almeno due elementi di diversa natura per accertare l’identità di un utente che vuol effettuare un pagamento online: i fattori necessari per l’autenticazione vengono combinati in modo dinamico legando ciascuna transazione ad un importo e un beneficiario specifico, certificandone dunque l’unicità.
Si tratta di un’efficace misura di sicurezza divenuta fondamentale nel contesto di un’inarrestabile crescita dei pagamenti tramite internet e i dispositivi mobili. Soltanto in Italia, la Polizia Postale e delle Comunicazioni, parla di truffe online in crescita con 3355 denunce, 39 arresti, circa 160mila segnalazioni e il sequestro di 22.687 spazi virtuali registrati nel 2018 (Fonte: www.interno.gov).
Bada bene, non è mia intenzione fare terrorismo sull’online, anzi. Ci sono però alcuni aspetti che non vanno sottovalutati, soprattutto visto che il digitale sta permeando sempre di più ogni aspetto della nostra vita. Non bisogna prendere la cosa alla leggera.
Sono proprio la sicurezza e la protezione degli utenti ad essere il punto nodale nell’elaborazione delle normative europee sui pagamenti digitali: dapprima la Payments Service Directive (PSD) del 2009, che ha segnato l’inizio di una rivoluzione per il settore bancario e successivamente la revisione della stessa, la PSD2 che apre una nuova fase nel percorso di evoluzione del mercato europeo dei pagamenti in cui la sicurezza dei pagamenti digitali diventa essenziale per favorire un contesto stabile ed affidabile per il commercio elettronico a tutela di tutte le parti coinvolte.
Sottolineo: a tutela. Il legislatore sembra vederci lungo, vuole imporre un qualcosa a nostro vantaggio. Sia come consumatori, sia come aziende. E, parer mio, sebbene possa allungare il processo d’acquisto, non credo che, diventando la normalità, lo disincentivi (forzo il paragone: abbiamo smesso di guidare con l’obbligo delle cinture di sicurezza? Abbiamo smesso di andare nei locali pubblici con il divieto del fumo?).
In questa direzione va l’autenticazione forte, che a breve dovrà essere implementata da tutte le aziende coinvolte nei processi finanziari e di pagamento oggetto della normativa PSD2: il termine entro il quale queste dovranno conformarsi alle norme tecniche (RTS – Regulatory Technical Standards) della più recente direttiva europea è il 14 settembre 2019.
Come funziona la SCA? Quando si applica?
I fattori presenti nella Strong Customer Authentication
La SCA si realizza in presenza di
almeno due dei seguenti tre fattori:
- Conoscenza. Qualcosa che solo l'utente conosce (es.: PIN o password).
- Inerenza. Qualcosa che l'utente “è” (es.: biometria, modelli comportamentali, riconoscimento vocale).
- Possesso. Qualcosa che solo l'utente possiede (ad esempio, un telefono cellulare o un token).
Tali elementi devono essere reciprocamente indipendenti (la violazione di uno non deve compromette l'affidabilità dell'altro) e appartenere a categorie diverse (non sarà possibile utilizzare due elementi di inerenza o solo due elementi di possesso).
SCA: quando deve essere applicata
L’autenticazione forte del cliente (SCA) deve essere applicata:
- Quando un cliente accede al proprio conto di pagamento online
- Quando un cliente effettua una operazione di pagamento elettronico
- Quando un cliente esegue un'azione attraverso il canale remoto che può comportare un rischio di frode.
Le esenzioni: quando si applicano
Sono previste alcune esenzioni dall’obbligo di autenticazione forte del cliente:
- Transazioni ricorrenti: stesso importo, stesso beneficiario.
- Transazioni di basso valore: pagamenti di valore inferiore a € 30,00 o cumulativamente a € 100,00.
- Beneficiari attendibili: beneficiario incluso nell’elenco dei soggetti affidabili.
- Tassi di frode e analisi di rischio: transazioni fino ad un valore massimo di € 500,00.
- Altre tipologie
La valutazione della necessità o meno di procedere alla SCA è demandata ai prestatori dei servizi di pagamento.
È importante sottolineare l’importanza dell’autenticazione a due o più fattori, che
ad oggi è il sistema di protezione più sicuro che abbiamo a disposizione per proteggere i nostri account e le nostre operazioni online.
Quindi, teoricamente, i vari “one payment checkout” potrebbero avere vita breve. Salvo esenzioni, per ogni operazione che andremo ad eseguire dovremo autenticarci. Una bella rottura di balle? Forse. Ma non desideriamo tutti operare in un mondo più sicuro? Non prendiamo le cose alla leggera “tanto a me non succede”, soprattutto quando in ballo ci sono i soldi.
Chi mi conosce sa che da tre anni a questa parte lavoro in una azienda (MyBank) che fa della certezza di riconoscimento dell’identità delle persone e la sicurezza nell’effettuare le operazioni online un proprio cavallo di battaglia. E la SCA non ci fa paura perché la adottiamo da sempre.
Conclusioni
La Strong Customer Authentication è un elemento necessario per poter ottemperare ai requisiti della PSD2 che diventeranno obbligatori a partire dal 14 settembre 2019.
Si sta discutendo molto sulle “esenzioni”. Su chi si prenda o meno la responsabilità in caso, per un certo tipo di pagamento, non venga richiesta una autenticazione “forte” (quella a due fattori appunto).
L’applicazione della SCA contribuirà senza dubbio alla protezione dei consumatori e alla lotta contro le cause più comuni dei reati online. E’ un passo avanti, deciso, secco. Speriamo solo di non vedere una attuazione “all’italiana”.