A partire da settembre 2019, esistono nuovi requisiti per l’au­ten­ti­ca­zio­ne dei pagamenti online nell’Unione europea (UE) e negli altri stati dello Spazio economico europeo (SEE). Questi fanno parte della seconda direttiva sui servizi di pagamento, co­no­sciu­ta anche uf­fi­cial­men­te come PSD2 (Payment Services Directive 2).

Una com­po­nen­te fon­da­men­ta­le della seconda, im­por­tan­te direttiva UE per le tran­sa­zio­ni di pagamento è l’au­ten­ti­ca­zio­ne forte del cliente, in inglese Strong Customer Au­then­ti­ca­tion, o SCA in breve (spesso chiamata anche PSD2 SCA). Questo articolo esamina più da vicino i requisiti di questa “au­ten­ti­ca­zio­ne forte del cliente”, che comprende tutta una serie di requisiti legali con lo scopo di rendere più sicuri i pagamenti su Internet.

Cos’è quindi la SCA e cosa comporta? Quali pagamenti sono in­te­res­sa­ti dal re­go­la­men­to? Quali sono le esenzioni e come si può ot­ti­miz­za­re il processo di pagamento? Af­fron­te­re­mo queste domande nei paragrafi seguenti.

Cos’è la SCA (Strong Customer Au­then­ti­ca­tion)?

Cos’è quindi la SCA e cosa comporta? In poche parole, la Strong Customer Au­then­ti­ca­tion fa parte di una nuova direttiva UE che mira a rendere i pagamenti online più sicuri riducendo al minimo le pos­si­bi­li­tà di frode. La sua in­no­va­zio­ne chiave è un passo ag­giun­ti­vo di au­ten­ti­ca­zio­ne che precede il pagamento effettivo.

Secondo la direttiva PSD2, i pagamenti online possono essere au­ten­ti­ca­ti solo dopo l’avvenuto com­ple­ta­men­to di due dei seguenti tre passaggi:

  1. Co­no­scen­za: l’utente inserisce la sua password o il suo PIN segreto, di cui nessun altro è a co­no­scen­za.
  2. Possesso: l’utente utilizza un di­spo­si­ti­vo desktop, uno smart­pho­ne, uno smart­watch, una smartcard, una chip card o un token hardware in suo possesso per ve­ri­fi­ca­re la sua identità.
  3. Inerenza: l’utente si iden­ti­fi­ca tramite impronta digitale, scansione del viso, ri­co­no­sci­men­to vocale, formato iride o simili.
Consiglio

L’Autorità bancaria europea (EBA) ha pub­bli­ca­to una lista det­ta­glia­ta di tutti gli elementi conformi alle tre fasi di au­ten­ti­ca­zio­ne in questo documento .docx.

La Strong Customer Au­then­ti­ca­tion non è quindi altro che una co­sid­det­ta au­ten­ti­ca­zio­ne a due fattori che assicura dop­pia­men­te che l’utente sia davvero chi dice di essere.

Il principio è da tempo im­pre­scin­di­bi­le in molti settori online, ma finora questo livello di sicurezza ag­giun­ti­vo non è stato vin­co­lan­te per le tran­sa­zio­ni online, che so­li­ta­men­te per­met­te­va­no ai clienti di portare a termine un processo di acquisto sem­pli­ce­men­te inserendo i loro dati di pagamento. Anche se alcune aziende hanno già da tempo in­tro­dot­to un’au­ten­ti­ca­zio­ne ag­giun­ti­va, questo passaggio è stato reso ob­bli­ga­to­rio per tutti solo con la direttiva PSD2 SCA.

Quando e perché è stata in­tro­dot­ta la Strong Customer Au­then­ti­ca­tion (SCA)?

La seconda direttiva UE sui pagamenti è stata in­tro­dot­ta il 14 settembre 2019 e la scadenza per la piena at­tua­zio­ne di tutti i requisiti è stata fissata ge­ne­ri­ca­men­te al 2021. Ma la storia della SCA risale ad ancora prima.

La direttiva UE si basa su tre aree chiave della le­gi­sla­zio­ne del 2007. A quel tempo, come ancora oggi, per l’Unione Europea i punti prin­ci­pa­li da per­se­gui­re erano i seguenti:

  1. Raf­for­za­re i diritti del con­su­ma­to­re nell’ambito delle ope­ra­zio­ni di pagamento.
  2. Creare con­di­zio­ni per la parità con­cor­ren­zia­le at­tra­ver­so la re­go­la­zio­ne dell’accesso di terzi alle in­for­ma­zio­ni sui conti.
  3. Aumentare la sicurezza per tutte le parti coinvolte.

Questi aspetti sono stati im­ple­men­ta­ti nella prima edizione della direttiva sui servizi di pagamento (PSD). Dalla sua in­tro­du­zio­ne, tuttavia, le tec­no­lo­gie nell’ambito delle ope­ra­zio­ni di pagamento hanno con­ti­nua­to a fare grandi progressi: il numero di servizi di pagamento online e di fornitori di terze parti (in inglese Third Party Providers, spesso ab­bre­via­to in TPP), è cresciuto si­gni­fi­ca­ti­va­men­te. Questo ha da un lato com­por­ta­to la nascita di nuove modalità di pagamento semplici e veloci per gli ac­qui­ren­ti, dall’altro ha fornito ai venditori un facile accesso alle in­for­ma­zio­ni sui conti dei clienti.

Questa facilità di accesso ai conti dei con­su­ma­to­ri ha però a sua volta portato a un aumento dei rischi per la sicurezza. La reazione a questo problema è arrivata ra­pi­da­men­te, sotto forma di leggi chiare che regolano il modo in cui i TPP e i fornitori di servizi di pagamento possono accedere ai conti dei clienti.

La Strong Customer Au­then­ti­ca­tion è quindi il prossimo passo per ridurre le frodi nelle tran­sa­zio­ni online. Come obbligo a livello europeo, la tec­no­lo­gia deve essere uti­liz­za­ta per ogni tran­sa­zio­ne fi­nan­zia­ria. La legge entra in vigore quando il fornitore di servizi di pagamento del venditore o l’istituto bancario dell’ordinante hanno sede nello Spazio economico europeo (SEE). Le tran­sa­zio­ni possono quindi essere soggette all’au­ten­ti­ca­zio­ne forte del cliente anche nel caso in cui l’azienda che opera online abbia sede al di fuori dell’Europa, a con­di­zio­ne, ad esempio, che il pagamento sia ef­fet­tua­to tramite un istituto bancario ap­par­te­nen­te allo Spazio economico europeo.

Si tratta quindi di una legge europea che riguarda anche i fornitori situati al di fuori del SEE e per questo motivo i nuovi requisiti per l’au­ten­ti­ca­zio­ne dei pagamenti online sono così complessi nella loro at­tua­zio­ne. I fornitori di servizi di pagamento hanno infatti già chiesto più volte di po­sti­ci­pa­re l’im­ple­men­ta­zio­ne de­fi­ni­ti­va della SCA e non è nemmeno ancora stata fissata una scadenza concreta e vin­co­lan­te.

Qual è la tec­no­lo­gia dietro la Strong Customer Au­then­ti­ca­tion?

3D Secure è il pro­to­col­lo di au­ten­ti­ca­zio­ne più uti­liz­za­to per i pagamenti online, sup­por­ta­to dalla maggior parte delle carte di debito e di credito europee. Im­me­dia­ta­men­te prima che il processo di pagamento sia com­ple­ta­to, al titolare della carta viene chiesto di fornire ulteriori elementi a conferma della sua identità, come ad esempio l’in­se­ri­men­to di un codice TAN inviato al proprio smart­pho­ne o della propria impronta digitale tramite l’app di online banking.

Grazie all’utilizzo della nuova versione del sistema 3D Secure 2, la Strong Customer Au­then­ti­ca­tion può di fatto essere con­si­de­ra­ta il metodo migliore per l’au­ten­ti­ca­zio­ne dei pagamenti online con carta di credito. I mi­glio­ra­men­ti della nuova versione ri­guar­da­no so­prat­tut­to l’espe­rien­za dell’utente. Questo sistema consente di ef­fet­tua­re i pagamenti online in modo facile e veloce, no­no­stan­te i passaggi ag­giun­ti­vi richiesti dal processo di au­ten­ti­ca­zio­ne.

Coloro che già uti­liz­za­no Apple Pay o Google Pay per i propri pagamenti hanno già fa­mi­lia­ri­tà con le opzioni di pagamento online con au­ten­ti­ca­zio­ne integrata. Entrambi i fornitori hanno infatti già im­ple­men­ta­to passaggi bio­me­tri­ci e protetti da password, pur riuscendo a garantire agli utenti un processo di pagamento fluido e senza intoppi: un ottimo esempio di una corretta im­ple­men­ta­zio­ne della tec­no­lo­gia che sta dietro alla Strong Customer Au­then­ti­ca­tion.

Per quali tran­sa­zio­ni è ne­ces­sa­ria la Strong Customer Au­then­ti­ca­tion?

La direttiva PSD2 SCA si applica quindi ogni volta che un cliente tra­sfe­ri­sce denaro o accede al suo conto all’interno dello Spazio economico europeo. L’au­ten­ti­ca­zio­ne forte del cliente è quindi ob­bli­ga­to­ria ogni volta che:

  • un cliente accede al suo conto online;
  • un cliente esegue un’ope­ra­zio­ne di pagamento elet­tro­ni­co;
  • viene rilevato un po­ten­zia­le rischio di frode nell’ambito di una tran­sa­zio­ne online.

Come per ogni legge, la direttiva PSD2 prevede po­ten­zia­li esenzioni dall’im­ple­men­ta­zio­ne della SCA, come nei pagamenti in ab­bo­na­men­to. In questo caso, l’au­ten­ti­ca­zio­ne forte deve essere richiesta solo nel momento in cui si dà il consenso alla sot­to­scri­zio­ne dell’ab­bo­na­men­to, ma non più durante il suo corso. Altre po­ten­zia­li eccezioni ri­guar­da­no i pagamenti a basso rischio, in cui una forte au­ten­ti­ca­zio­ne del cliente non è ne­ces­sa­ria o si ri­ve­le­reb­be più fa­sti­dio­sa che van­tag­gio­sa.

Consiglio

Non tutte le banche sono in grado di integrare fa­cil­men­te ulteriori passi di au­ten­ti­ca­zio­ne nei loro processi. Anche in questo caso po­treb­be­ro essere previste delle esenzioni, qualora questi fornitori siano comunque in grado di garantire la sicurezza e la mi­ni­miz­za­zio­ne dei rischi in modo diverso e ve­ri­fi­ca­bi­le.

Sono previste anche delle soglie minime per gli importi: ad esempio, le tran­sa­zio­ni fino a 30 euro sono con­si­de­ra­te pagamenti di “basso valore”, che possono in linea di principio essere esenti dalla PSD2 SCA. Tuttavia, per evitare l’accumulo di frodi di piccola entità, sono già previste regole chiare anche per questo tipo di importi:

  1. Anche in presenza di esenzioni, le banche sono tenute a eseguire la Strong Customer Au­then­ti­ca­tion per una tran­sa­zio­ne con carta ogni qualvolta che questa sia già stata uti­liz­za­ta per cinque volte di seguito senza au­ten­ti­ca­zio­ni.
  2. Nel momento in cui la somma delle tran­sa­zio­ni ec­ce­zio­na­li supera i 100 euro, la PSD2 SCA si applica im­me­dia­ta­men­te alla tran­sa­zio­ne suc­ces­si­va, in­di­pen­den­te­men­te dall’importo della tran­sa­zio­ne.

Le esenzioni si rivelano par­ti­co­lar­men­te van­tag­gio­se so­prat­tut­to per le piccole imprese che operano online. Bisogna comunque tenere presente che è la banca del cliente ad approvare o meno queste eccezioni. Per evitare di perdere clienti, per l’azienda ven­di­tri­ce è comunque con­si­glia­bi­le offrire diverse opzioni di pagamento conformi alla PSD2 SCA.

Vai al menu prin­ci­pa­le