Strong Customer Authentication (SCA) nei pagamenti digitali

di Anna Fabi

12 Gennaio 2021 11:30

Entra in vigore da quest'anno l'obbligo di Strong customer authentication (SCA): cos'è e come funziona l'autenticazione a due fattori del sistema PSD2.

Tre le principali novità del nuovo sistema PSD2 (Payment Services Directive) della Direttiva europea sui servizi di pagamenti digitali, che da gennaio 2021 tutte le piattaforme di e-commerce devono implementare nelle proprie procedure di pagamento, c’è la Strong Customer Authentication (SCA) che richiede informazioni aggiuntive, un’autenticazione a due fattori, per accertare la propria identità e procedere all’acquisto.

La Strong Customer Authentication, oltre alla nuova autenticazione a due fattori, comporta anche l’adeguamento dei protocolli utilizzati dai fornitori di servizi di pagamento dei merchant online. L’obiettivo è di evitare frodi o violazioni privacy e, di conseguenza, aumentare la fiducia dei consumatori nell’effettuare acquisti in rete.

Vediamo dunque di capire bene cos’è e come funziona la Strong customer authentication (SCA) per comprendere il suo ruolo nel garantire la sicurezza dei pagamenti sul web.

=> Acquisti sicuri online: il decalogo

Strong Customer Authentication (SCA)

Il nuovo sistema di “autenticazione forte”,  a Strong Customer Authentication (SCA), prevede il riconoscimento dell’identità dell’utente attraverso la verifica a due fattori diversi.

L’autenticazione forte poggia le sue basi su tre elementi che devono rimanere tra loro indipendenti e appartenere a categorie diverse:

  • Conoscenza, per l’identificazione dell’utente bisogna inserire qualcosa che solo l’utente conosce (per esempio un PIN o una password);
  • Inerenza: l’identificazione SCA ha bisogno anche qualcosa che l’utente “è”, ricorrendo a tecnologie come biometria, modelli comportamentali, riconoscimento vocale e così via;
  • Possesso, identificando l’utente attraverso qualcosa che solo lui possiede: un telefono cellulare o un token, ad esempio.

Ad esempio, le banche italiane hanno scelto per lo più di inviare un codice tramite SMS al cliente una quando quest’ultimo inserisce i dati della sua carta su un sito di e-commerce e di sfruttare l’app bancaria combinata con altri strumenti di tipo biometrico.

=> Carte di credito prepagate: guida alle tipologie

SCA: quando è obbligatoria

La SCA è obbligatoria non solo per i siti di e-commerce e quelli che richiedono pagamenti online, ma anche qualora si voglia accedere a servizi che prevedono l’accesso a un’area personale come l’home banking o nel momento in cui viene espresso un consenso a un’azione tramite un canale remoto che nasconde il rischio di frode.

=> Sistemi e metodi per password sicure

SCA: quando è facoltativa

Tra i casi di esonero dall’implementazione della SCA ci sono:

  • le transazioni ricorrenti (la SCA sarà richiesta solo per la prima transazione);
  • le transazioni di basso valore, inferiore a 30 euro o cumulativamente a 100 euro, o cinque transazioni consecutive dall’ultimo pagamento verificato con SCA;
  • pagamenti verso beneficiari attendibili, quando il negozio online viene segnalato tra i negozi di fiducia dal titolare della carta alla propria banca. La SCA sarà richiesta per la creazione e/o la modifica della lista di beneficiari di fiducia o al primo pagamento;
  • transazioni a basso rischio, entro i 500 euro, se l’emittente della carta che sta effettuando il pagamento o l’acquirente che sta gestendo la transazione possono dimostrare di avere un livello di frodi al di sotto di una determinata soglia.