Cos’è e come funziona l’autenticazione forte nei pagamenti online
L’autenticazione forte del cliente o SCA (Strong Customer Authentication) è simile all’autenticazione a due fattori: se un cliente effettua un acquisto online con la propria carta di debito o di credito, la SCA può richiedere che utilizzi due forme di autenticazione, come ad esempio un codice generato dalla propria app bancaria. Questo evita transazioni fraudolente. Ecco nel dettaglio tutti gli aspetti tecnici per applicare la normativa agli shop online.
Cos’è e a cosa serve l’autenticazione forte dei clienti
L’autenticazione forte del cliente conosciuta anche con l’acronimo inglese SCA (Strong Customer Authentication) è una misura di sicurezza che prevede un’autenticazione a due fattori per accertare in maniera univoca l’identità dei soggetti che effettuano pagamenti online o qualsiasi tipo di transazione digitale che comporti lo scambio di dati sensibili e a rischio frode. Ad aver introdotto l’autenticazione forte è la PSD2 (Payment Services Directive 2), la seconda direttiva europea sui servizi di pagamento, nata con lo scopo di dare una spinta ai pagamenti digitali nell’Unione Europea rendendoli più sicuri e quindi aumentando la fiducia del cliente in questo tipo di transazioni.
La normativa PSD2 ha portato sul mercato nuovi standard di sicurezza per il mondo dell’Home Banking e per quello delle disposizioni di pagamento online, con lo scopo di limitare al massimo i tentativi di frode da parte di soggetti terzi non autorizzati. Tra i servizi abilitati dalla PSD2 vi sono ad esempio quelli che consentono l’accesso al proprio conto tramite area riservata, ovvero un’interfaccia online sicura e in modo autenticato da parte di soggetti terzi (TPP) che possono essere anche diversi da chi gestisce i conti, ad esempio dalla banca dove è attivo il proprio conto corrente.
Quali sono i requisiti di autenticazione forte?
La procedura di autenticazione forte dell’utente prevede che chiunque si trovi nella condizione di dover eseguire un pagamento digitale debba farsi riconoscere provando in maniera inconfutabile la propria identità. Dovrà cioè dimostrare di essere il titolare del conto corrente da cui verranno prelevati i soldi e di voler effettuare quel pagamento.
L’identificazione avviene tramite un’autenticazione a due fattori, la banca o un altro prestatore di servizi di pagamento dovrà verificare l’autenticazione almeno attraverso due dei seguenti elementi:
- Conoscenza: si chiede qualcosa che solo l’utente è in grado di conoscere, ad esempio una password o un PIN, ma anche una sequenza tracciata su un dispositivo o la risposta a una domanda di sicurezza.
- Possesso: viene chiesto di usare qualcosa che solo il cliente possiede, dallo smartphone alle smart card, token bancari o badge.
- Inerenza: si richiede qualcosa che caratterizza l’utente in maniera inconfutabile e che è solo sua come l’impronta digitale, il riconoscimento facciale o vocale, la scannerizzazione dell’iride o il proprio DNA.
La condizione fondamentale è che i tre fattori siano indipendenti tra loro in modo che la violazione di uno dei tre non comprometta gli altri due. Un esempio di SCA? Quando un cliente sta per portare a termine il processo di pagamento online, verrà generato un codice di autorizzazione monouso, ovvero accettato una sola volta dal prestatore di servizi di pagamento e che non può essere usato per altre transazioni. Può capitare anche che gli acquisti online effettuati tramite smartphone richiedano di confermare il pagamento con il pin dell’applicazione o con l’impronta digitale. Sul lato pratico i prestatori di servizi devono garantire adeguate misure di sicurezza.
Quando c’è l’obbligo di autenticazione forte
L’autenticazione forte è obbligatoria nei seguenti casi:
- quando si accede al proprio conto online, ad esempio per conoscere il saldo;
- per effettuare un pagamento elettronico a distanza o nel punto vendita del venditore;
- quando si effettua attraverso un canale a distanza un’azione, che potrebbe comportare un rischio di frode nei pagamenti o altri tipi di abusi.
La SCA è disciplinata da specifiche norme europee e si applica sia ai pagamenti online che a quelli contactless offline. Per adeguare il proprio e-commerce alle procedure di autenticazione forte e offrire ai propri clienti transazioni sicure e affidabili è importante adottare dei piccoli accorgimenti:
- Informarsi su quali transazioni sono soggette a SCA e sulle diverse soluzioni di pagamento che verranno offerte dai diversi istituti. In questo modo sarà possibile scegliere la soluzione giusta per il proprio negozio online e individuare la tecnologia più adatta.
- Affidarsi a istituti di pagamento capaci di gestire interfacce di autenticazione attraverso i protocolli di sicurezza “EMV 3DS” e “3DS 1.0”. Meglio diffidare dei fornitori che non supportano questi protocolli.
- Riportare nelle condizioni generali di vendita del sito e-commerce i requisiti secondo i quali verrà applicata l’autenticazione forte del cliente.
- Richiedere ai provider di adeguare il sito ai protocolli previsti dall’EMV 3DS per l’utilizzo delle carte di credito. Tra gli adeguamenti c’è anche la possibilità di predisporre un’autenticazione definitiva: il cliente accerterà la propria identità solo alla prima operazione senza il bisogno di ulteriori autenticazioni per gli acquisti futuri.
Autenticazione forte e Psd2: tutti i casi di esenzione
La normativa prevede che alcune tipologie di transazioni vengano esentate dal processo di autenticazione forte. Ecco in quali casi:
- Transazioni di modesta entità, ad esempio quelle al di sotto dei 30 euro, che, se ripetute nel corso del tempo e sommate in un arco di 24 ore, non arrivano a superare i 100 euro o cinque transazioni singole consecutive esenti.
- Transazioni considerate a basso rischio, nel caso in cui la soglia della percentuale di frodi del payment provider che sta gestendo la transazione sia pari o al di sotto di determinati tassi di riferimento normativamente stabiliti.
- I pagamenti ricorsivi con un valore fisso, ad esempio gli abbonamenti. La SCA verrà richiesta solo per la prima transazione, salvo che l’importo non vari.
- I pagamenti verso beneficiari di fiducia. In questo caso l’autenticazione forte viene richiesta solo al primo pagamento.