Autenticazione a due fattori: facciamo un po’ di chiarezza

Il 14 settembre prossimo dovrà essere recepita la PSD2 (Payment Service Directive 2), della quale ho già scritto delle principali novità introdotte.

Una di queste è la SCA (Strong Customer Authentication) o autenticazione a due fattori.

Cos’è la Strong Customer Autentication?

La direttiva PSD2 per I servizi di pagamento favorisce l’ingresso di nuove realtà, ad affiancare le banche tradizionali, per fornire servizi più articolati e favorire la concorrenza.

Il concetto di “autenticazione forte del cliente” viene introdotto per rafforzare le procedure di sicurezza, e si applica quando:

• l’utente accede al suo conto di pagamento on line;
• l’utente dispone un’operazione di pagamento elettronico;
• l’utente effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi.

La SCA (Strong Customer Authentication) si basa sul sistema di autenticazione a due fattori: per autorizzare una delle attività sopra elencate sarà necessario identificarsi mediante la combinazione di due tra i seguenti fattori:

Fattori che conosce il cliente:

• Password conosciuta solo dall’utente;
• Domande di sicurezza conosciute solo dall’utente.

Fattori che caratterizzano il cliente:

• Riconoscimento facciale;
• Impronta digitale;
• Scansione vocale;
• Scansione dell’iride;
• Firma DNA.

Fattori che possiede il cliente:

• Smartphone
• Wearable device
• Token bancario

I fattori necessari per l’autenticazione vengono combinati in modo dinamico legando ciascuna transazione ad un importo e un beneficiario specifico, certificandone dunque l’autenticità.

Si tratta di un’efficace misura di sicurezza divenuta fondamentale nel contesto di un’inarrestabile crescita dei pagamenti tramite internet e i dispositivi mobili.

Cosa cambierà quando effetuerai un pagamento?

Adesso, chiunque debba effettuare un pagamento online, può autorizzarlo inserendo i dati della propria Carta di Credito/Debito, oppure nome utente e password per altri servizi di pagamento tipo Paypal.

A partire dal 14 settembre 2019, secondo la nuova direttiva, gli utenti dovranno comprovare la propria identità attraverso la Strong Customer Autentication, con l’aggiunta di un ulteriore passaggio.

Questo procedimento non è una novità assoluta: se hai dimestichezza con l’online banking già lo conosci: già adesso, per effettuare un bonifico, hai bisogno di codici per effettuare l’accesso al profilo (PIN e password) e di inserire un ulteriore codice, generato in tempo reale, inviato sul tuo smartphone precedentemente registrato.

Esclusi da questo obbligo sono:

• Transazioni ricorrenti dello stesso importo allo stesso beneficiario.
• Transazioni di basso valore: pagamenti di valore inferiore a € 30,00, se consecutive l’importo complessivo deve essere inferiore a € 100,00.
• Beneficiari attendibili, ovvero inclusi nell’elenco dei soggetti affidabili.
• Transazioni fino ad un valore massimo di € 500,00 per transazioni con un fattore di rischio e tasso di frode estremamente basso.

Come influisce la SCA sul tuo sito e-commerce?

Come scritto poco sopra, la Strong Customer Autentication si applica, per rafforzare la sicurezza delle transazioni online, sotanto all’atto della disposizione del pagamento.

All’interno di un sito e-commerce è possibile visionare e selezionare prodotti e servizi, gestire il carrello, inserire o confermare i propri dati per spedizione e fatturazione, definire tempi e modi di consegna di quanto ordinato, gestire resi o altri servizi.

Eccetto in alcune grosse realtà, come Amazon, il check out, il processo di pagamento con Carte di Credito, Carte di Debito, o Bonifico viene delegato completamente a Wallet, come Google Pay, Apple Pay, Paypal, Visa Checkout, o Gateway come Paypal, Braintree, Stripe, SecurePay, Banca Sella, ecc.

Il motivo è semplice, immagina il grado di responsabilità e garanzie legali che dovresti fornire per poter trattare, autorizzare ed eventualmente conservare (per pagamenti ricorrenti) I dati delle Carte di Credito dei tuoi clienti.

Sono questi, I Wallet ed I Gateway, a dover implementare all’interno dei loro strumenti di pagamento la Strong Customer Autentication, ed ogni altro accorgimento necessario per garantire la sicurezza delle transazioni e dei dati dei tuoi clienti.

Cetro, dovrà essere tua cura assicurarti che, entro il 14 settembre 2019, il gateway di pagamento che utilizzi sul tuo sito e-commerce sia aggiornato ed implementi la SCA in modo corretto.

Quali saranno le conseguenza della PSD2 e della SCA?

Gli esperti di commercio online prevedono che gli utenti si abitueranno ben presto all’introduzione del secondo passaggio per l’autorizzazione dei pagamenti, In un primo momento potrebbe verificarsi un aumento delle persone che abbandonano il carrello, e la ragione è facilmente individuabile: i clienti dovranno prima di tutto registrare un loro dispositivo (ad esempio uno smartphone) presso il provider che usano per effettuare il pagamento e poi completare il secondo step del procedimento di sicurezza.

La cosa importante da ricordare è che la nuova direttiva riguarda tutte le attività online, quindi il lieve incremento di carrelli abbandonati non riguarderà solo il tuo e-commerce, ma anche la concorrenza.

Questa stima negativa è comunque compensata dagli indubbi vantaggi che l’autenticazione in due fattori porta agli utenti ed al tuo negozio online: transazioni più sicure, meno truffe e meno errori negli ordini.