Strong Customer Authentication (SCA): cos'è e come funziona l’autenticazione forte

Aggiornato il / Di Matteo Risi

Meglio nota con l’appellativo di autenticazione forte, la Strong Customer Authentication (SCA) ha l’obiettivo di accettare l’identità di un utente che vuole utilizzare i servizi di pagamento online, assicurando la piena sicurezza della transazione.

“Figlia” della PSD2 (Payment Service Directive), la Strong Customer Authentication sarà valida a partire dal 31 dicembre 2020. A esercenti, banche e prestatori di servizio di pagamento l’ardua sfida di adeguarsi ai nuovi requisiti di autenticazione. Come funziona l’autenticazione forte e quali sono le implicazioni principali per il mondo dei pagamenti digitali? Scopriamolo nel corso dell’articolo:

 

Cos’è e come funziona la Strong Customer Authentication

La Strong Customer Authentication è una delle principali novità introdotte dalla PSD2, la nuova direttiva europea sui servizi di pagamento digitale, in vigore dal 14 settembre 2020. La normativa, che ha introdotto tra le altre cose il cosiddetto fenomeno delle Open API, impone, con la Strong Customer Authentication, la ridefinizione dei metodi di autenticazione legittimi per effettuare transazioni finanziarie.

In sostanza, se in precedenza era sufficiente avere un numero di carta di credito e l’indirizzo, la Strong Customer Authentication impone ora che tutte le operazioni di pagamento elettronico vengano effettuate attraverso due o più fattori di autenticazione. L’autenticazione forte del cliente si rende necessaria per le diverse transazioni a distanza al fine di ridurre al minimo il rischio di frodi. È il caso dei pagamenti con carta, l’accesso all’home banking e le disposizioni bancarie da remoto.

Vuoi approfondire come adempire agli obblighi della SCA e come sfruttarne le opportunità?

VAI AL WEBINAR

 

I fattori di autenticazione forte

L’autenticazione forte del cliente deve avvenire verificando almeno due fattori appartenenti a queste categorie:

  • Conoscenza - qualcosa che solo l’utente conosce, come password, PIN, domande di sicurezza o swiping path;
  • Possesso - qualcosa che solo l’utente possiede, ad esempio lo smartphone o un token bancario;
  • Inerenza - qualcosa che caratterizza l’utente, come l’impronta digitale, il riconoscimento facciale o vocale, o ancora lo scan dell’iride.

Tali elementi devono essere reciprocamente indipendenti (la violazione di uno non deve compromettere l’affidabilità dell’altro) e appartenere a categorie diverse. Un doppio livello di autenticazione, dunque, essenziale per la sicurezza dei consumatori che sempre di più si affidano al web per i propri acquisti, ma anche per gli esercenti che vedono così garantiti i pagamenti prima dell’invio effettivo della merce.

 

Esenzioni dalla Strong Customer Authentication

La Strong Customer Authentication riguarda in realtà tutte le transazioni digitali (non solo quelle che avvengono da remoto), anche se esistono alcune eccezioni. Più esattamente la PSD2 prevede 9 categorie di esenzioni all’obbligo di SCA:

  1. transazioni a basso rischio;
  2. pagamenti verso beneficiari cosiddetti trusted o credibili, cioè appartenenti ad una whitelist;
  3. micropagamenti (pagamenti che non superino un importo di 30 euro);
  4. transazioni a importo fisso come i successivi rinnovi di un abbonamento;
  5. limiti per contactless (fino a 50 euro);
  6. trasporti e parcheggi;
  7. giroconti;
  8. nel caso in cui vengano richieste informazioni non sensibili sulle transazioni e sia già stata effettuata una SCA non più di 90 giorni prima della richiesta;
  9. Secure Corporate Payments (es. esenzione per alcuni pagamenti corporate realizzati tramite l’impiego di carte business)

 

A chi si rivolge la Strong Customer Authentication

Oltre ai consumatori e agli utilizzatori dei servizi di payment e banking online, sono fondamentalmente due le tipologie di attori interessati dalla novità della Strong Customer Authentication:

  • gli esercenti o merchant online che devono dotarsi, tramite il proprio provider di sistemi di pagamento, della giusta integrazione software per adeguare il proprio “carrello” alle nuove disposizioni;
  • i prestatori dei servizi di pagamento (PSP) a cui sono richiesti particolari compiti legati all’introduzione della SCA, quali la comunicazione al cliente, la gestione delle esenzioni e l’implementazione del protocollo 3D secure 2.X, valevole il miglioramento della user experience in fase di autenticazione.

All’interno di quest’ultima categoria distinguiamo poi tra Issuer, ossia emettitori di carte di pagamento, e Acquirer, vale a dire i gestori dei pagamenti per gli esercenti. Ai primi, assieme ai compiti già elencati per i PSP, è richiesto di selezionare i fattori di autenticazione. Agli Acquirer, di contro, spetta il ruolo di coinvolgere e supportare gli esercenti nell’adeguamento dei sistemi.

 

SCA e PSD2: la proroga al 31 dicembre 2020

La ridefinizione dei metodi di autenticazione per i pagamenti a distanza prevista dalla PSD2 non è esente da critiche. È in particolare l’autenticazione a due fattori il tema maggiormente discusso di tutta la normativa PSD2.

L’accusa principale mossa dalle parti in gioco è infatti legata alla scasa usabilità del sistema a due fattori: un problema di customer experience che renderebbe i pagamenti online più difficili per gli utenti, con conseguenti danni economici per i rivenditori online.

Anche per questo motivo, la EBA (European Banking Authority) ha subito concesso una proroga di 15 mesi rispetto all’entrata in vigore della PSD2, attiva come detto dal 14 settembre 2019, per consentire agli stati membri di adeguarsi ai requisiti propri dell’autenticazione forte. Il nuovo termine per l’entrata in vigore armonizzata della SCA è dunque fissata al 31 dicembre 2020. Tutti i Paesi dell’Unione Europea, a eccezione della Svezia, hanno dichiarato l’assoluta necessità di tale proroga.

In Italia, in particolare, il periodo di transizione è stato sfruttato da tutti gli istituti bancari: secondo uno studio condotto dall’Osservatorio Innovative Payments a fine 2019, infatti, solo una banca su dieci proponeva già metodi di autenticazione in linea con gli standard tecnici previsti; mentre una banca su due proponeva solo metodi di autenticazione ad un fattore.

 

Pro e contro della Strong Customer Authentication

Illustrato il funzionamento dell’autenticazione forte e spiegate le principali difficoltà percepite da prestatori di servizio in questo cambiamento, possiamo tracciare un quadro conclusivo.

Il bilancio tra vantaggi e svantaggi della SCA si riassume in un trade off tra sicurezza e usabilità difficile da risolvere.

Un’indagine condotta dall’EPA Research stima che nell’UE, l’introduzione della SCA potrebbe portare ad una perdita annuale di 57 di miliardi di euro nelle vendite online, pari al 10% del totale delle vendite. Peggioramento della user experience e riduzione del tasso di conversione gli aspetti negativi principali. A questi vanno poi aggiunti i costi IT, non indifferenti, di adeguamento al nuovo sistema.

D’altro canto va detto come l’aspetto della sicurezza sia ormai un fattore chiave nelle vendite online, una leva concorrenziale vera e propria che aumenterà sempre di più la forza competitiva dei pagamenti nei processi di acquisto. La possibilità di limitare le frodi e l’aumento della sicurezza percepita da parte degli utenti sono parametri a lungo andare più impattanti rispetto al tema della User Experience.

Sebbene la Customer Experience degli utenti ne possa risentire negativamente, dunque, la SCA non deve essere un cambiamento da temere, anzi un’occasione per aumentare in maniera decisiva la sicurezza delle transazioni online. Per merchant online e banche sarà fondamentale arrivare pronti alle deadline del 31 dicembre 2020: chi saprà cogliere la sfida della Strong Customer Authentication potrà ottenere un importante vantaggio competitivo.

Vuoi approfondire come adempire agli obblighi della SCA e come sfruttarne le opportunità?

VAI AL WEBINAR

  • Autore

Direttore dell'Osservatorio Smart City e ricercatore dell'Osservatorio Innovative Payments.