Seleziona una pagina

Come funziona l’autenticazione forte del cliente nella direttiva PSD2

28 Novembre 2019

Tra le novità introdotte dalla direttiva Europea PSD2 (2015/2366/UE), una delle più interessanti è sicuramente l’autenticazione forte del cliente, o Strong Customer Authentication (SCA).

L’autenticazione forte del cliente impone che le operazioni a potenziale rischio frode, come i pagamenti elettronici a distanza e altre operazioni sui conti online, siano autorizzate usando due o più fattori di autenticazione, scelti combinando qualcosa che solo chi effettua l’operazione conosce (ad esempio un PIN o una password), qualcosa che solo chi effettua l’operazione possiede (un’app su un dispositivo mobile o una chiave che genera codici OTP), o un elemento di inerenza, cioè qualcosa che contraddistingue l’utente (l’impronta digitale, la geometria del volto, o un’altra caratteristica biometrica). Inoltre, i fattori usati devono essere indipendenti, in modo che la violazione di uno dei fattori non comprometta l’affidabilità degli altri.

La direttiva europea e i cambiamenti introdotti dall’autenticazione forte del cliente sono finalizzati a garantire una maggiore sicurezza nei pagamenti elettronici a distanza

Questo articolo analizza i metodi di autenticazione già diffusi, e quelli che si stanno affacciando sul mercato bancario, valutandone la loro accettabilità secondo i requisiti della Strong Customer Authentication, secondo le raccomandazioni della European Banking Authority (EBA).

 

Elementi di conoscenza

Un elemento di conoscenza è qualcosa che solo l’utente conosce, secondo la PSD2. Sono elementi a cui siamo già abituati, come un PIN, una password o passphrase, la risposta ad una domanda di sicurezza, oppure la sequenza di sblocco del cellulare. Sono tutti elementi validi per l’autenticazione forte, ma sicuramente poco robusti e aperti al rischio di utilizzo fraudolento.

Il PIN del bancomat è molto breve, quindi facile da leggere per un osservatore vicino, e rimane lo stesso per anni. Inoltre, anche volendo, non siamo in grado di cambiarlo. Password corte possono essere indovinate oppure viste e replicate. D’altro canto, password lunghe sono più difficili da ricordare e soggette ad essere dimenticate. Questo deve essere anche contestualizzato nell’esigenza di avere password tutte diverse nell’accesso ai servizi che usiamo quotidianamente. La sequenza di sblocco del cellulare può essere vista da una persona vicina, e replicata. Si tratta quindi di elementi di autenticazione dai quali, come utenti, dovremmo allontanarci quanto prima possibile, sostituendoli oppure integrandoli con alternative più robuste.

 

Elementi di possesso

La PSD2 definisce il possesso come qualcosa che solo l’utente possiede.

Uno degli elementi di possesso più diffusi per l’autenticazione, usato da banche e società di carte di credito, sono i codici One Time Password (OTP) ricevuti via SMS, chiamati spesso SMS PIN, o con nomi commerciali simili. Si tratta di PIN di 6 cifre, inviati via SMS, e che hanno una validità limitata nel tempo, solitamente dai 10 fino a 30 minuti, da reinserire per confermare operazioni valutate a rischio più elevato.

Secondo la European Banking Authority gli SMS PIN sono considerati validi per dimostrare il possesso del telefono a cui sono inviati, generalmente un numero precedentemente comunicato alla banca, e certificato. La combinazione di password per il login, e OTP ricevuta via SMS, è valida per autorizzare una transazione a distanza con autenticazione forte del cliente, in quanto combina un elemento di conoscenza (la password) a un elemento di possesso (il codice OTP). Va notato però che tra tutti gli strumenti di autenticazione forte, gli SMS PIN sono quelli meno sicuri in quanto sono numerosi i casi di malware per frodi bancarie, diffusi anche in Italia, in grado di catturare gli SMS e riutilizzarli in uno schema di attacco noto come Man-in-the-Middle (MitM).

Il concetto di possesso si estende anche al dominio immateriale, come una sessione Internet oppure un’app su uno smartphone. Tuttavia, sia l’app sul dispositivo mobile che la sessione Internet necessitano di un’operazione preliminare di enrollment. L’enrollment, o registrazione, crea il collegamento logico tra il servizio, il dispositivo e il suo possessore. Spesso l’enrollment avviene attraverso la scansione di un QR code presentato a schermo tramite un dispositivo mobile, e questo consente di associare univocamente la sessione, oppure l’app, all’utente che ha effettuato la registrazione.

All’atto pratico, nella fase di enrollment, viene scambiata una chiave univoca che permetterà di contraddistinguere in futuro la specifica sessione del browser oppure la specifica istanza dell’app. Un’app installata sullo smartphone che non sia stata sottoposta ad enrollment non soddisfa invece i requisiti di Strong Customer Authentication, in quanto non consente di identificare univocamente il suo possessore.

Una chiave che genera token OTP, cioè numeri che hanno validità di poche decine di secondi, è ancora un valido elemento di autenticazione. Questo approccio, molto usato in passato, diventa però sempre meno diffuso in favore di app per smartphone che generano codici OTP, e che consentono di portare a termine un pagamento elettronico o effettuare un bonifico utilizzando un unico dispositivo.

Le app bancarie consentono inoltre le push notifications, PIN di conferma mostrati a schermo attraverso l’app stessa, e che contribuiscono in maniera robusta all’autenticazione, essendo più difficili da catturare rispetto agli SMS.

 

Elementi di inerenza

La PSD2 definisce l’inerenza come qualcosa che l’utente è, riferendosi a caratteristiche biometriche sia fisiche che comportamentali. L’impronta digitale, il volto o le caratteristiche geometriche della mano lette da una telecamera, e negli approcci più sofisticati la scansione della retina o dell’iride, sono esempi di caratteristiche fisiche. In genere queste non cambiano nel tempo, o variano in maniera estremamente lenta.

Esempi di caratteristiche comportamentali sono invece elementi dinamici misurabili nel comportamento, come l’andatura durante una camminata, l’inclinazione con cui teniamo lo smartphone, l’ammiccamento degli occhi, il movimento delle labbra durante il parlato, la velocità e l’andamento della digitazione sulla tastiera, o il battito cardiaco.

Il riconoscimento biometrico è indubbiamente il settore più innovativo e di più rapido sviluppo. Quello più promettente ma al tempo stesso quello che da maggiori grattacapi, in quando in alcune implementazioni o configurazioni potrebbe non essere così preciso come lo si immagina.

Tra le aree più avanzate rientra anche l’autenticazione continua, permessa dai dispositivi wearable (ad esempio gli smartwatch o gli occhiali per visione aumentata) e che rimangono a contatto con il corpo per un periodo di tempo prolungato. Dopo una prima fase di autenticazione complessa, il dispositivo può rimanere autenticato fintanto che rimane fisicamente a contatto con il corpo.

Su quest’area si continueranno a vedere progressi nel prossimo futuro. Il nuovo protocollo 3-D Secure v2.0, usato per autorizzare transazioni remote con carte di pagamento, almeno nelle implementazioni attualmente sul mercato, non permette la trasmissione di caratteristiche biometriche e in futuro dovrà necessariamente prevederle.

 

Un’opportunità per il commercio online

Il valore delle transazioni fraudolente con carte di pagamento all’interno dell’area SEPA ha toccato gli 1,8 miliardi di euro all’anno, pari allo 0.041% del valore di tutte transazioni.

Il 73% delle frodi, per un totale di 1,32 miliardi di euro, è avvenuto sui pagamenti di tipo card-not-present (CNP), ovvero pagamenti da remoto come quelli negli acquisti su Internet. Il rimanente 27% delle frodi avviene ai terminali POS oppure su prelievo di contante, ossia transazioni classificate come card-present (CP).

Per le transazioni card-not-present il rischio di frode è chiaramente più alto. È su queste transazioni che l’autenticazione forte del cliente porterà i maggiori benefici. I numeri continuano a mostrare un graduale spostamento verso le frodi card-not-present. Tuttavia, il mercato sta sviluppando, proprio per quest’ultima modalità, diverse soluzioni antifrode come protocollo 3-D Secure, e il risk-based authentication.

All’interno della Strong Customer Authentication, si cela una pratica che più di altre potrebbe imprimere una spinta virtuosa al mercato. Uno scenario di esenzione dalla Strong Customer Authentication è relativo ai pagamenti elettronici gestiti da fornitori che riescono a dimostrare un tasso di frode particolarmente basso. L’importo della transazione esente dipende dal tasso di frode del fornitore, e raggiunge fino a €500 nel caso di pagamenti elettronici il cui fornitore di servizi di pagamento mantenga un tasso di frode inferiore allo 0,01%, un obiettivo inferiore all’attuale tasso di frode medio nell’area SEPA. Questo spingerà l’intero sistema dei pagamenti a migliorare costantemente il proprio tasso di frode, potendo così offrire soglie di esenzione crescenti, alimentando la fiducia verso i pagamenti elettronici, e attraendo di conseguenza un numero sempre maggiore di clienti.

 

*Fonte: Pier Luigi Rotondo Multifactor Authentication Delivers the Convenience and Security Online Shoppers Demand SecurityIntelligence.com, January 2019
**Fonte: Directive (EU) 2015/2366 of the European Parliament and of the Council Official Journal of the European Union, November 2015
***Fonte: Fifth report on card fraud European Central Bank – Eurosystem, September 2018
****Fonte: Pier Luigi Rotondo How Will Strong Customer Authentication Impact the Security of Electronic Payments? SecurityIntelligence.com, September 2019
*****Fonte: Pier Luigi Rotondo, Domenico Raguseo Elementi sul cybercrime nel settore finanziario in Europa in Rapporto CLUSIT 2019 sulla sicurezza ICT in Italia, CLUSIT, Marzo 2019

 

A cura di Pier Luigi Rotondo – Security Architect, IBM

Potrebbero interessarti