di Riccardo Porta
Articolo già pubblicato su B2B Corporate (https://www.b2corporate.com/strong-customer-authentication-sca-pagamenti-digitali/)
La Strong Customer Authentication (SCA) è una delle principali novità della PSD2, la più recente Direttiva europea sui servizi di pagamento digitali (UE 2366 del 2015) entrata in vigore il 13 gennaio 2018 e operativa, per ciò che riguarda l’obbligatorietà dell’autenticazione forte per le transazioni online, dal 14 settembre 2019.
Conosciuta anche come autenticazione a due fattori (2FA – two-factor authentication), la SCA consiste nella verifica di almeno due elementi di diversa natura per accertare l’identità di chi vuol pagare e la validità dello strumento di pagamento utilizzato (ad es: una carta di credito, o un conto corrente).
I fattori necessari per l’autenticazione vengono combinati in modo da legare ogni transazione ad un importo e un beneficiario specifico, certificandone dunque l’unicità.
Se ne parla ancora oggi perché non tutti i merchant hanno capito che cosa debbano fare e il mercato dei pagamenti è in fermento.
PERCHÈ SIAMO ARRIVATI ALLA SCA
L’esigenza di rendere sempre più sicuri i pagamenti in rete arriva dai numeri: soltanto in Italia, la Polizia Postale e delle comunicazioni riporta che nel corso del 2020 sono stati trattati complessivamente 98.000 casi di truffe online. Ovviamente non riguardano tutte il settore dei pagamenti ma sono un importante barometro che indica quanto sia importante fare sempre più attenzione quando ci muoviamo nel digitale e quando lasciamo in giro le nostre informazioni sensibili. E i pagamenti lo sono.
Sono quindi la sicurezza e la protezione degli utenti ad essere il punto focale dell’elaborazione delle normative europee sui pagamenti digitali: dapprima con la Payments Service Directive (PSD) del 2009, che ha segnato l’inizio di una rivoluzione per il settore bancario e poi con la revisione della stessa, la PSD2 che apre una nuova fase nel percorso di evoluzione del mercato europeo dei pagamenti in cui la sicurezza dei pagamenti digitali diventa un tassello fondamentale per la creazione di un contesto stabile ed affidabile per l’e-commerce a tutela di tutte le parti in gioco.
COME FUNZIONA LA SCA
Chi vende prodotti o servizi online deve confermare l’identità dei suoi clienti usando almeno due dei tre metodi indicati di seguito:
- Conoscenza – Qualcosa che solo l’utente conosce (es.: PIN o password);
- Inerenza – Qualcosa che l’utente “è”, i suoi elementi caratteristici (es.: riconoscimento facciale o impronta digitale);
- Possesso – Qualcosa che solo l’utente possiede (ad esempio, un telefono cellulare o un token).
Tali elementi devono essere indipendenti tra loro (la violazione di uno non deve compromettere l’affidabilità dell’altro) e appartenere a categorie diverse (non sarà possibile utilizzare due elementi di inerenza o solo due elementi di possesso).
Al lato pratico:
L’utente, nella pagina di pagamento (la cosiddetta checkout page), sceglierà il suo strumento di pagamento. Dovrà quindi identificarsi utilizzando 2 dei 3 metodi di verifica e solo una volta completato correttamente il processo di autenticazione, il pagamento verrà elaborato.
QUANDO APPLICARE LA SCA
L’autenticazione forte del cliente (SCA) deve essere applicata:
– Quando un cliente accede al proprio account di pagamento online
– Quando un cliente autorizza un pagamento elettronico
– Quando un cliente esprime un consenso ad un’azione attraverso un canale remoto che può comportare un rischio di frode.
ESENZIONI: QUANDO SI APPLICANO
Sono previste alcune esenzioni dall’obbligo di autenticazione forte del cliente:
– Transazioni ricorrenti – Stesso importo, stesso beneficiario.
– Transazioni di basso valore – pagamenti di valore inferiore a € 30,00 o cumulativamente a € 100,00.
– Beneficiari attendibili – beneficiario incluso nell’elenco dei soggetti affidabili.
– Tassi di frode e analisi di rischio – transazioni fino ad un valore massimo di € 500,00.
– Altre tipologie.
Importante: la valutazione della necessità o meno di procedere alla SCA e quindi di richiedere i 2 fattori di autenticazione è demandata ai prestatori dei servizi di pagamento (psp o payment gaetway). Sono loro che, in base ai propri dati e alla storia del merchant, possono o meno richiedere l’autenticazione forte.
Tool antifrode possono aiutare i merchant a mitigare eventuali effetti negativi della SCA. Già, perché più dati si richiedono agli utenti, più difficile è portare a termine la vendita. Vero ma… è una questione di fiducia, di tempo e di abitudine. Quando tutto l’ecosistema sarà “allineato”… vivremo in un mondo digitale più sano.
NOTA: chi scrive lavora in MyBank, una soluzione di pagamento basata su conto corrente che dal 2013 utilizza la SCA. Questo perché le banche, da sempre, per riconoscere i propri clienti, hanno utilizzato dei riconoscimenti “forti”. E se, nella data in cui scrivo, vedo transare oltre 22 milioni di euro al giorno attraverso MyBank… vuol dire che la SCA non rappresenta questo ostacolo insormontabile sbandierato da molti. La sicurezza dei clienti e dei merchant deve essere sempre centrale, forse a scapito anche della conversione.
Chioso con una bella frase del mio CEO: “La SCA risponde alle esigenze di legalità e di identificazione sicura delle persone fisiche e giuridiche e da sempre questi sono i capisaldi dei servizi offerti da MyBank. Possiamo guardare con ottimismo alla SCA, per noi percepita come un valore aggiunto in particolar modo su transazioni di importo elevato.” – Giorgio Ferrero