Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

ACQUISTI ON-LINE

Strong Customer Authentication (SCA), quanto (non) sono pronte le banche alla PSD2

L’obbligo della Strong Customer Authentication (SCA), per le banche, viene rinviato al prossimo 31 dicembre 2020. “Falsa partenza”, dunque, per le disposizioni in materia di sicurezza dei pagamenti digitali introdotte dalla direttiva PSD2: nel mercato italiano solo una banca su 10 offre metodi già 100% SCA-compliant. Facciamo il punto

05 Dic 2019
A
Ivano Asaro

Direttore Osservatorio Innovative Payments Politecnico di Milano

R
Matteo Risi

Ricercatore Osservatorio Innovative Payments Politecnico di Milano


La Strong Customer Authentication (SCA) è una delle principali novità della PSD2, la recente Direttiva europea sui servizi di pagamento digitali. Conosciuta anche come Autenticazione Forte, la SCA ha come obiettivo quello di accertare l’identità di un utente che vuole utilizzare servizi di pagamento online, riducendo così al minimo il rischio di frodi e aumentando la sicurezza di questi processi di acquisto.

Nonostante l’entrata in vigore fosse prevista per il 14 settembre, la European Banking Authority ha concesso una proroga di 15 mesi, spinta da alcune criticità emerse e – soprattutto – dall’impreparazione dell’ecosistema, che ne ha infatti richiesto la proroga quasi all’unanimità. Il nuovo termine per l’entrata in vigore dei nuovi requisiti sarà quindi il 31 dicembre 2020, ma EBA ha definito anche uno scadenzario intermedio a cui le Autorità Nazionali di Vigilanza dovranno attenersi.

Autenticazione forte a due fattori e 3D Secure 2.0: le nuove regole

La normativa richiede prima di tutto a esercenti e banche di definire una metodologia che possa assicurare l’identità del cliente al momento dell’acquisto da remoto (in generale l’acquisto da Web). In particolare, l’autenticazione forte del cliente deve avvenire verificando almeno 2 fattori appartenenti a queste categorie:

  1. qualcosa che solo il cliente sa (password, PIN ecc.);
  2. qualcosa che solo il cliente ha (smartphone, token bancario ecc.);
  3. qualcosa che solo il cliente è (riconoscimento facciale, impronta digitale ecc.).

Tali elementi devono essere reciprocamente indipendenti (la violazione di uno non deve compromettere l’affidabilità dell’altro) e appartenere a categorie diverse (non sarà possibile utilizzare, ad esempio, due elementi di inerenza o solo due elementi di possesso).

L’implementazione della Strong Customer Authentication (SCA) non riguarda solo l’obbligo di autenticazione a due fattori del cliente, ma prevede anche un adeguamento dei protocolli utilizzati dai fornitori di servizi di pagamento dei merchant online.

Ci sono insomma linee guida di EBA per permettere non solo un’autenticazione sicura ma anche un sistema che faciliti il pagamento il più possibile all’utente.

Pagamenti facili e sicuri

In quest’ottica, un sistema chiave sarà quello del 3DS2.0, erede dell’obsoleto 3D Secure 1.0 (protocollo XML come strato di sicurezza aggiuntivo) che aveva portato ad aumenti del tasso di abbandono del carrello ed era stato quindi dismesso da molti commercianti online.

Rispetto alla versione precedente, con il 3DS2.0 il flusso del pagamento sarà integrato direttamente nel sito eCommerce, senza quindi reindirizzamenti su altri siti che rendevano il processo meno sicuro anche agli occhi dell’utente.

Ci sono già banche che hanno adottato un sistema con cui non appena l’utente inserisce la propria carta di credito gli si apre l’app del cellulare che genera la one time password. Questa si carica in automatico per abilitare il pagamento; l’utente deve solo fare l’autenticazione per l’accesso all’app, via biometria (impronta digitale, iride) integrata nello smartphone o inserendo un codice che arriva via sms.

Lo stesso protocollo consente inoltre ai fornitori di servizi di pagamento di richiedere esenzioni alla SCA e di saltare completamente l’autenticazione per pagamenti che risulteranno a basso rischio.

La normativa ha come obiettivo quello di garantire la massima sicurezza ai consumatori, che sempre di più si affidano al web per i propri acquisti, e agli esercenti, che vogliono avere la garanzia di pagamento prima di inviare la merce.

La PSD2 obbliga il sistema bancario in tutte le sue componenti a farsi carico di questa “sicurezza”: gli issuer, ossia emettitori di carte di pagamento per i consumatori, e gli acquirer, ossia i gestori dei pagamenti per i merchant.

Il trade off tra sicurezza e usabilità

L’autenticazione a 2 fattori è uno dei temi certamente più discussi di tutta la normativa PSD2 e l’obbligo di SCA è stato in alcuni casi soggetto a critiche da parte di diversi attori dell’ecosistema.

L’accusa principale mossa alla Strong Customer Authentication (SCA) è quella di rendere i pagamenti online più difficili per gli utenti, danneggiando così i rivenditori online. Secondo un’indagine della Emerging Payments Association (EPA), il 74% degli issuer si aspettava un peggioramento della User Experience dopo l’implementazione della PSD2. EPA prevede di conseguenza un impatto drammatico per le vendite online e stima una perdita annuale di 57 miliardi (10% delle vendite) dopo l’introduzione della SCA.

Numeri che, a onor del vero, riflettono al momento solo la percezione e le aspettative degli issuer, ma che andranno verificati concretamente sul mercato una volta che la SCA sarà diffusa e operativa. Barclaycard, ad esempio, a fine settembre ha dichiarato che i primi numeri raccolti dai suoi merchant non evidenziavano un aumento delle transazioni non completate nonostante le nuove procedure.

Lo scenario italiano: una fotografia al 30 novembre

Per capire quale fosse il livello di preparazione alla SCA dell’ecosistema dei pagamenti in Italia, l’Osservatorio Innovative Payments del Politecnico di Milano ha analizzato i metodi di autenticazione per i pagamenti online offerti da 33 issuer tra banche e istituti di pagamento italiani.

I risultati dimostrano chiaramente che l’ecosistema non è ancora pronto al forte cambiamento richiesto dalla SCA: solo una banca su 10, infatti, propone solo metodi di autenticazioni forte a due fattori in linea con gli standard tecnici previsti, risultando quindi già pienamente compliant alla SCA.

D’altro canto, una banca su due propone solo metodi di autenticazione ad un fattore, mentre una su tre è in fase di transizione, affiancando a metodi SCA-compliant ad altri che richiedono un solo fattore.

Il metodo al momento più utilizzato dalle banche italiane (offerto da oltre il 50%) per l’autenticazione è quello che prevede l’invio di un codice via SMS dopo che l’utente ha inserito i dati della carta sul sito eCommerce. Questo metodo, però, non risulta più valido con l’entrata in vigore delle nuove regole perché i dati stampati sulla carta di pagamento non possono essere più considerati un’informazione che solo l’utente conosce.

Tra le soluzioni compliant più utilizzate, troviamo invece l’utilizzo dell’app della banca (qualcosa che l’utente ha – il telefono) in combinazione con sistemi di autenticazione biometrici (qualcosa che l’utente è). Questa soluzione rappresenta una best practice per l’autenticazione e verrà probabilmente adottata sempre di più in futuro per effettuare accessi ad aree riservate o transazioni finanziarie.

La principale criticità di questa soluzione sta nel fatto che alcune persone non dispongono ancora di uno smartphone di ultima generazione con sistemi biometrici nativamente integrati oppure non ha scaricato l’applicazione della propria banca.

Per ovviare a questo problema le banche italiane si stanno adoperando per sviluppare una soluzione di “backup” che prevede la combinazione di un codice inviato via SMS (possesso) e l’inserimento di un PIN preimpostato (conoscenza).

Conclusioni

Sebbene la customer experience per gli utenti ne possa risentire negativamente, soprattutto nel periodo di transizione alle nuove regole, la Strong Customer Authentication non è un cambiamento da temere. Le nuove regole, infatti, concedono diversi spazi “di manovra” che consentono ai prestatori di servizi di pagamento virtuosi di bypassare la temuta autenticazione a due fattori.

Inoltre, un aumento della sicurezza delle transazioni online potrebbe indurre molte più persone ad acquistare tramite commercio elettronico senza paura di eventuali frodi sui pagamenti.

Le banche e i fornitori di servizi di pagamento punteranno a sfruttare al meglio le esenzioni che hanno a disposizione per ridurre l’impatto della SCA sulla user experience. Qualora non fosse possibile adottare un’esenzione all’autenticazione a due fattori, sarà molto importante offrire ai consumatori delle modalità che consentano l’autenticazione più “frictionless” possibile, come quella che prevede l’utilizzo di una notifica push sullo smartphone e della biometria. Un ruolo fondamentale, naturalmente, sarà giocato dalla comunicazione verso i clienti.

Per tutti gli attori coinvolti (banche, circuiti, payment service provider e merchant) questi mesi saranno fondamentali per giungere preparati alla deadline del 31 dicembre 2020.

L’introduzione della SCA renderà sempre più importante il ruolo dei pagamenti online come fattore di successo (o di fallimento) dei processi di acquisto online. Banche, merchant e payment service provider che sapranno gestire al meglio la transizione e che troveranno gli accorgimenti giusti per sviluppare esperienze frictionless potranno ottenere un vantaggio competitivo sui competitors.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5