Seleziona una pagina

Nuove regole di autenticazione forte Strong Customer Authentication nei pagamenti elettronici

29 Agosto 2019

Rapidi cambiamenti nel settore dei pagamenti, quali la veloce ascesa del commercio elettronico assieme alla costante insidia delle frodi, hanno favorito l’aggiornamento della direttiva europea PSD, o Payment Services Directive, che per alcuni anni ha regolamentato i servizi di pagamento elettronico.

La nuova direttiva PSD2 (Direttiva n. 2015/2366/UE), revisione della PSD, sta entrando gradualmente in vigore. Uno degli aggiornamenti più importanti è relativo alla sicurezza dei pagamenti elettronici attraverso nuovi standard tecnici che regolamentano l’autenticazione forte del cliente, o SCA – Strong Customer Authentication, e avrà effetti tangibili sulle operazioni di pagamento elettronico, sia con l’uso delle carte di pagamento che con bonifici, e in molte altre operazioni dispositive effettuate attraverso siti di e-banking o negozi di commercio elettronico.

Cosa è l’autenticazione forte del cliente

A partire dal 14 Settembre 2019, tutte le operazioni di pagamento elettronico all’interno dello Spazio Economico Europeo, con alcune eccezioni ben individuate, dovranno essere confermate e autorizzate attraverso l’autenticazione forte del cliente che permetterà di verificare con maggiore certezza l’identità della persona che effettua la disposizione.

L’autenticazione avviene combinando due o più fattori, scelti tra qualcosa che solo chi effettua il pagamento conosce (ad esempio una password o un PIN), qualcosa che egli possiede (dispositivo mobile di cui si può dimostrare il possesso, attraverso la scansione di un QR code, oppure una app preventivamente associata con la banca) e qualcosa che lo contraddistingue (un’impronta digitale, il riconoscimento facciale oppure un’altra caratteristica biometrica). I fattori scelti devono essere mutuamente indipendenti, in modo che la violazione di uno dei fattori non comprometta l’affidabilità degli altri.

Per certi versi abbiamo già familiarità con i sistemi di autenticazione a più fattori. In alcuni pagamenti online lo username e la password non sono sufficienti, e la nostra banca o la società emettitrice della carta di credito ci invia un SMS con una One Time Password, valida solo una volta, che usiamo per confermare la specifica transazione. Queste operazioni si basano su due fattori di autenticazione, la password digitata al login e il codice One Time che riceviamo e dobbiamo reinserire.

L’ autenticazione forte del cliente, o Strong Customer Authentication, estende questo meccanismo traendo vantaggio dai metodi di riconoscimento dell’utente più recenti e sicuri, come il riconoscimento biometrico oppure l’autenticazione tramite app su dispositivo mobile, combinati sulla base delle frodi osservate in passato.

Un ruolo importante lo giocano le app per smartphone rese disponibili da ciascuna banca. L’app richiede alcuni passaggi di installazione per associarla al conto e all’utente. Il collegamento tra il sito di banking, l’utente, l’app, lo smartphone dove è installata e utilizzatore del dispositivo è univoco. L’app sarà poi necessaria per l’accesso alle informazioni sensibili del conto (saldo, tutti i movimenti e informazioni personali) e per confermare le operazioni di pagamento come bonifici, utenze, utilizzo carte su siti on-line. Quasi tutte le app sono in grado di sfruttare il riconoscimento biometrico già disponibile sullo smartphone, consentendo di autorizzare un pagamento con il tocco del dito o con il riconoscimento facciale.

 

Dove si applica

La Strong Customer Authentication si applica quando l’utente:

  • accede al suo conto di pagamento online;
  • dispone un’operazione di pagamento elettronico;
  • effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode.

Sono soggetti tutti i pagamenti elettronici in cui entrambe le controparti sono all’interno dello Spazio Economico Europeo, composto dai 28 stati dell’Unione Europea più Islanda, Liechtenstein e Norvegia.

La Strong Customer Authentication ha alcune esenzioni ben individuate, e definite sulla base del livello di rischio, importo, periodicità e canale di pagamento. Non si applica, ad esempio, per la visualizzazione del saldo e delle operazioni recenti del proprio conto, ad alcuni pagamenti elettronici a distanza di piccola entità, incluse le operazioni contact-less, ai terminali incustoditi per il pagamento di pedaggi stradali e parcheggi, per operazioni ricorrenti dello stesso importo come ad esempio per il pagamento di utenze, e infine per i pagamenti verso beneficiari salvati come affidabili e per i quali è avvenuto con successo almeno un ciclo di autenticazione forte.

Uno scenario di esenzione importante è quello dei pagamenti elettronici gestiti da prestatori di servizi di pagamento che riescono a mantenere un tasso di frode particolarmente ridotto. L’entità della transazione esente dipende direttamente dal tasso di frode dell’istituzione, arrivando fino a €500 nel caso pagamenti elettronici a distanza basati su carta in cui il prestatore di servizi di pagamento dimostri un tasso di frode inferiore allo 0,01%. Un obiettivo ambizioso, inferiore all’attuale tasso medio di frode sia dell’area SEPA che dell’area Italia, e che indubbiamente imprimerà un’accelerazione virtuosa alla sicurezza dell’intero sistema dei pagamenti.

 

Una buona opportunità per il commercio online

Una vera e propria rivoluzione tecnologica che potrebbe trovare tanti soggetti impreparati. Alcuni utenti potrebbero non aver seguito le indicazioni che in questi giorni tutti le banche stanno fornendo, trovandosi improvvisamente impossibilitati ad autenticarsi, generando una valanga di cart abandonment, con articoli aggiunti al carrello e pronti per essere acquistati, ma per i quali non viene finalizzato il pagamento. Uno dei peggiori incubi per i negozi online.

Secondo altri scenari, invece, la PSD2 con l’autenticazione forte del cliente favorirà un numero sempre maggiore di acquirenti grazie alla crescente fiducia verso i pagamenti elettronici. Le norme tecniche di regolamentazione sono basate, tra gli altri, sul principio che le operazioni di pagamento elettronico a distanza sono maggiormente esposte al rischio di frode. Il 73% del valore nelle frodi su carte di pagamento è avvenuto nelle transazioni a distanza, via Internet o telefono, e più in generale nei pagamenti card-not-present (CNP), dove la carta di pagamento non viene fisicamente mostrata al momento dell’acquisto o del pagamento. E’ su questa rilevante frazione che l’autenticazione forte del cliente porterà i risultati più apprezzabili.

In questo contesto tutti gli attori del sistema dei pagamenti elettronici saranno invogliati a migliorare costantemente la propria fraud rate, il tasso di frode dei propri strumenti di pagamento, per offrire soglie crescenti di esenzione, attraendo un numero sempre maggiore di clienti grazie ad una esperienza di acquisto percepita come più sicura.

 

*Fonte: Multifactor Authentication Delivers the Convenience and Security Online Shoppers Demand – SecurityIntelligence.com

**Fonte: Directive (EU) 2015/2366 of the European Parliament and of the Council – Official Journal of the European Union

***Fonte: Fifth report on card fraud – European Central Bank Eurosystem

 

A cura di Pier Luigi Rotondo, IBM Security Architect