Processi di Strong Customer Authentication nei pagamenti

30 Luglio 2019

Come la normativa PSD2 regola processi bancari inclusi quelli di autenticazione nelle operazioni on line degli utenti.

Dal 14 settembre 2019 entreranno in vigore nuovi standard tecnici europei che regolamenteranno il processo di autenticazione (il cosiddetto SCA o Strong Customer Authentication) degli utenti nell’ambito dei pagamenti elettronici. L'autorità bancaria europea (EBA) ne ha recentemente fornito un parere ai sensi della direttiva sui servizi di pagamento (PSD2) rivista. Si tratta di una risposta alle continue domande degli attori del mercato su quali approcci di autenticazione vengono ritenuti conformi allo SCA e alle preoccupazioni relative alla preparazione e alla compliance di alcuni attori della catena dei pagamenti con i nuovi requisiti applicabili da settembre.

La PSD2, entrata in vigore nel 2016, è applicata dal gennaio 2018. Uno degli obiettivi di questa normativa è garantire la sicurezza dei pagamenti elettronici e ridurre, per quanto possibile, rischi di frodi. Una delle modifiche fondamentali introdotte è stata la formalizzazione dei requisiti di sicurezza dei pagamenti nella legislazione nazionale, tra cui il fatto che i prestatori di servizi di pagamento applichino lo SCA alle transazioni elettroniche.

I suggerimenti dell’EBA sulla sicurezza dei pagamenti comprendono già l'uso di SCA per le transazioni elettroniche.

Nella normativa PSD2, lo SCA è definito come un'autenticazione basata sull'uso di due o più elementi classificati come conoscenza (qualcosa che solo l'utente conosce) e possesso (qualcosa che solo l'utente possiede), in quanto la violazione di uno non compromette l'affidabilità degli altri, ed è progettata in modo tale da proteggere la riservatezza dei dati di autenticazione. (*)

Il processo di Strong Customer Authentication permette, nello specifico, il riconoscimento e la garanzia che solo chi effettivamente è autorizzato possa svolgere le operazioni più delicate e importanti, come ad esempio lo sblocco di un certificato di firma o appunto l’autorizzazione al trasferimento di denaro.

Non si limita solo alla richiesta di una user-ID e password (ovvero l’autenticazione ad un fattore) ma utilizza strumenti più moderni per stabilire l'identità dell'utente e del servizio a cui ci si collega. E’ anche nota come autenticazione a due fattori (2FA) con obiettivo di migliorare la sicurezza del processo di verifica dell’identità: tramite pin o una password (SYK – something you know) o token randomico (SYH – something you have). Data la sempre crescente diffusione dell’accesso ai servizi bancari in mobilità e tramite smartphone fornisce agli utenti gli stessi servizi durante l’autenticazione da remoto anzichè richiederne la loro presenza nelle filiali.

 

I vari passi del processo di autenticazione

Un utente segue delle fasi standard per accedere a determinati servizi on line: integrandosi con l’applicazione di pagamento, il sistema invia all’utente la sua One Time Password (OTP) che diviene il Dynamic Link (un codice calcolato tenendo in considerazione i dati relativi a chi dispone, al beneficiario, all’IBAN, all’importo, alla data e all’ora della disposizione) conforme alla normativa PDS2 e l’utente, in risposta, inserisce il proprio PIN di autenticazione. Le credenziali vengono inviate al sistema, che le verifica e l’autenticazione risulta essere così completata.

La verifica delle transazioni che può avvenire in tempo reale, direttamente sul dispositivo mobile dell'utente, è uno dei metodi più avanzati per bloccare malware e frodi online. Gli utenti ricevono notifiche immediate out-of-band dei dettagli della transazione come parte del processo di autenticazione e possono facilmente confermare la legittimità e la conformità delle transazioni.

Va ricordato inoltre che l’OTP inviata tramite SMS, così come il token  fisico, da soli,  non  saranno ritenuti  conformi  a  partire  dall’implementazione della nuova normativa perchè possono essere esposti a criticità in ambito di sicurezza.

Il servizio, che sarà fornito da Intesa (Gruppo IBM), supporta la verifica delle transazioni con un codice QR che non richiede una connessione dati su un dispositivo mobile. Mentre l'utente sta completando la transazione web sul proprio PC, una fase di conferma finale visualizza il codice con dettagli di transazione crittografati, acquisendolo nell'applicazione mobile e processandolo per verifica dell’integrità.

Le autenticazioni dell’utente possono essere effettuate anche attraverso varie alternative, come ad esempio con soft token,  mobile eGrid, out of band transaction verification, QR code transaction verification e mobile smart credentials.

 

*Fonte: EBA - Opinion of the European Banking Authority on the elements of strong customer authentication under PSD2

Iscriviti alla newsletter

Per confermare l'iscrizione, controlla la tua email

*Campo Obbligatorio
Share This