Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

IL VADEMECUM

Strong Customer Authentication (SCA): cosa cambia negli acquisti online con la PSD2

La nuova Strong Customer Authentication (SCA o Autenticazione Forte del Cliente) impone l’obbligo per le istituzioni finanziarie e di pagamento di verificare l’identità del cliente che sta effettuando il pagamento. Ecco cosa prevede la nuova normativa, le esenzioni e gli oneri per la sua applicazione

08 Ott 2019
A

Ivano Asaro

Osservatorio Innovative Payments del Politecnico di Milano

R

Matteo Risi

Osservatorio Innovative Payments del Politecnico di Milano


Il 14 settembre è diventata attuativa la nuova direttiva europea sui servizi di pagamento, nota come PSD2, che prevede importanti novità all’interno del mercato finanziario europeo. Tra queste novità quella che sarà più evidente per i cittadini europei è l’entrata in vigore della cosiddetta Autenticazione Forte del Cliente (o Strong Customer Authentication – SCA) per autorizzare le transazioni finanziarie online (ma non solo).

Strong Customer Authentication: le motivazioni

In pratica, quello che la normativa impone è l’obbligo per le istituzioni finanziarie e di pagamento di verificare l’identità del cliente che sta effettuando il pagamento.

L’inasprimento delle regole per la verifica del cliente è, nei piani del legislatore europeo, fondamentale per incrementare la sicurezza negli acquisti online, ridurre le frodi e aumentare nel contempo la fiducia dei consumatori nei confronti dei pagamenti elettronici, anche a discapito, talvolta, di esperienze d’uso più semplici come l’acquisto “one-click” dei grandi attori del web.

Cosa prevede la nuova normativa

La SCA prevede che gli istituti finanziari verifichino almeno due di tre “fattori” dei propri clienti:

  1. qualcosa che solo il cliente sa (password, PIN ecc.);
  2. qualcosa che solo il cliente ha (smartphone, token bancario ecc.);
  3. qualcosa che solo il cliente è (riconoscimento facciale, impronta digitale ecc.).

Nei pagamenti in negozio l’autenticazione forte è il momento del pagamento con carta (qualcosa che io ho) con inserimento del PIN (qualcosa che io so). Fanno eccezione i pagamenti contactless, per cui non era richiesto PIN sotto ai 25€ e per cui, anche con l’entrata in vigore della PSD2, sono previste delle “eccezioni” all’inserimento del PIN (trattate più avanti nell’articolo).

Ben diverso è il caso dei pagamenti online, nei quali per definizione la carta non è presente e quindi viene a mancare uno dei due fattori (qualcosa che io ho: la carta) che caratterizzano il pagamento in negozio.

Sono stati bocciati:

  • i codici stampati sulla carta perché non sono stati ritenuti, da parte del regolatore, un’evidenza del possesso della carta stessa;
  • le classiche “chiavette” (o “token”) bancarie, colpevoli di generare un codice (OTP, one time password) che dura pochi secondi ma che non esclude la possibilità per un truffatore di compiere una seconda operazione-lampo.

Sono stati approvati, invece:

  • tutte le tecnologie biometriche di riconoscimento della persona (qualcosa che io sono) presenti ormai sulla maggior parte dei nostri smartphone, dal riconoscimento facciale alla scansione dell’impronta digitale;
  • OTP “usa e getta” che già ora vengono inviati via SMS (qualcosa che io ho: il cellulare).

Strong Customer Authentication: le esenzioni

Esistono però delle eccezioni all’applicazione di queste norme. In particolare, saranno esentati:

  • pagamenti contactless: il limite massimo di spesa senza SCA è stato fissato a 50€; si potrà poi pagare senza PIN finché non si raggiungeranno i 150€ complessivi di spesa oppure finché non si faranno più di 5 pagamenti consecutivi;
  • pagamento di trasporti o parcheggi presso terminali self-service;
  • micro-pagamenti online: il limite massimo di spesa senza SCA è stato fissato a 30€; si potrà poi pagare senza utilizzare un secondo fattore di verifica finché non si raggiungeranno i 100€ complessivi di spesa oppure finché non si faranno più di 5 pagamenti consecutivi;
  • pagamenti online verso un sito “di fiducia”: l’utente potrà decidere di evitare la SCA all’interno di alcuni siti di cui si fida, a favore di un’esperienza di acquisto più semplice e veloce;
  • pagamenti ricorrenti: solo se l’importo è fisso come nel caso degli abbonamenti;
  • pagamenti online a favore di un sito “sicuro”: il commerciante che vende online può decidere di evitare ai propri utenti di effettuare la SCA se introduce un sistema di controllo delle frodi che distingue le transazioni sospette (che verranno bloccate o verranno sottoposte a SCA) da quelle lecite; questa eccezione viene concessa solo a quei commercianti che, insieme ai loro fornitori di servizi di accettazione dei pagamenti, hanno dimostrato di avere un basso numero di frodi nel corso dell’ultimo periodo.

Le tempistiche della Strong Customer Authentication

L’entrata in vigore, fissata per lo scorso 14 settembre, potrebbe essere in alcuni casi posticipata. La European Banking Authority, infatti, ha concesso alle banche centrali il potere, “in casi eccezionali”, di concedere agli attori del mercato del tempo supplementare per migrare ad approcci di autenticazione conformi alla SCA per “ridurre fortemente i rischi di disservizi nei pagamenti online con carta”.

Questa deroga potrà essere concessa ai soli operatori che ne facciano una esplicita richiesta alla Banca d’Italia motivando la propria richiesta.

Chi deve occuparsi delle modifiche

L’onere di adeguarsi alla nuova normativa sull’Autenticazione Forte ricade sui prestatori di servizi di pagamento e sulle istituzioni finanziarie che supportano i business online.

Non si tratta dunque di una normativa che impatta direttamente chi gestisce siti di eCommerce, anche se questi ultimi sono senza dubbio molto interessati (e talvolta anche preoccupati) dall’introduzione di queste disposizioni.

Si teme, infatti, che la ridefinizione dei metodi di autenticazione dei pagamenti online, che in alcuni casi si traduce nell’introduzione di ulteriori step di verifica, possa portare a un aumento del tasso di abbandono dei carrelli virtuali.

Conclusioni

Sebbene siano effettivamente possibili dei disagi, soprattutto nel periodo di transizione alle nuove regole, non si tratta in ogni caso di un cambiamento da temere.

In primis, va sottolineato come i consumatori sono già abituati in molti casi ad utilizzare un secondo fattore per effettuare i propri pagamenti online (per esempio il token o l’SMS con il codice OTP). La normativa in questo caso aiuta semplicemente a definire i metodi leciti per la verifica del cliente.

I fattori di verifica che verranno adottati da ora in poi, però, non potranno più essere complicati codici da inserire previe lunghe registrazioni o simili, ma dovranno essere semplici come sbloccare il proprio smartphone tramite lettura dell’impronta digitale o riconoscimento facciale.

L’inserimento di un secondo fattore di autenticazione, inoltre, se ben integrato nel flusso di checkout del sito internet, aumenta il livello di sicurezza reale e percepito. Avere a disposizione un sistema che garantisce un livello di sicurezza maggiore per i pagamenti online potrebbe aumentare (e non diminuire quindi) gli acquisti eCommerce, andando a convincere quella fetta di popolazione che ancora è restia a effettuare pagamenti online.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5