Strong Customer Authentication (SCA): lo standard UE per transazioni di pagamento sicure

A partire da settembre 2019, esistono nuovi requisiti per l’autenticazione dei pagamenti online nell’Unione europea (UE) e negli altri stati dello Spazio economico europeo (SEE). Questi fanno parte della seconda direttiva sui servizi di pagamento, conosciuta anche ufficialmente come PSD2 (Payment Services Directive 2).

Una componente fondamentale della seconda, importante direttiva UE per le transazioni di pagamento è l’autenticazione forte del cliente, in inglese Strong Customer Authentication, o SCA in breve (spesso chiamata anche PSD2 SCA). Questo articolo esamina più da vicino i requisiti di questa “autenticazione forte del cliente”, che comprende tutta una serie di requisiti legali con lo scopo di rendere più sicuri i pagamenti su Internet.

Cos’è quindi la SCA e cosa comporta? Quali pagamenti sono interessati dal regolamento? Quali sono le esenzioni e come si può ottimizzare il processo di pagamento? Affronteremo queste domande nei paragrafi seguenti.

Cos’è quindi la SCA e cosa comporta? In poche parole, la Strong Customer Authentication fa parte di una nuova direttiva UE che mira a rendere i pagamenti online più sicuri riducendo al minimo le possibilità di frode. La sua innovazione chiave è un passo aggiuntivo di autenticazione che precede il pagamento effettivo.

Secondo la direttiva PSD2, i pagamenti online possono essere autenticati solo dopo l’avvenuto completamento di due dei seguenti tre passaggi:

1. Conoscenza: l’utente inserisce la sua password o il suo PIN segreto, di cui nessun altro è a conoscenza.
2. Possesso: l’utente utilizza un dispositivo desktop, uno smartphone, uno smartwatch, una smartcard, una chip card o un token hardware in suo possesso per verificare la sua identità.
3. Inerenza: l’utente si identifica tramite impronta digitale, scansione del viso, riconoscimento vocale, formato iride o simili.

La Strong Customer Authentication non è quindi altro che una cosiddetta autenticazione a due fattori che assicura doppiamente che l’utente sia davvero chi dice di essere.

Il principio è da tempo imprescindibile in molti settori online, ma finora questo livello di sicurezza aggiuntivo non è stato vincolante per le transazioni online, che solitamente permettevano ai clienti di portare a termine un processo di acquisto semplicemente inserendo i loro dati di pagamento. Anche se alcune aziende hanno già da tempo introdotto un’autenticazione aggiuntiva, questo passaggio è stato reso obbligatorio per tutti solo con la direttiva PSD2 SCA.

La seconda direttiva UE sui pagamenti è stata introdotta il 14 settembre 2019 e la scadenza per la piena attuazione di tutti i requisiti è stata fissata genericamente al 2021. Ma la storia della SCA risale ad ancora prima.

La direttiva UE si basa su tre aree chiave della legislazione del 2007. A quel tempo, come ancora oggi, per l’Unione Europea i punti principali da perseguire erano i seguenti:

1. Rafforzare i diritti del consumatore nell’ambito delle operazioni di pagamento.
2. Creare condizioni per la parità concorrenziale attraverso la regolazione dell’accesso di terzi alle informazioni sui conti.
3. Aumentare la sicurezza per tutte le parti coinvolte.

Questi aspetti sono stati implementati nella prima edizione della direttiva sui servizi di pagamento (PSD). Dalla sua introduzione, tuttavia, le tecnologie nell’ambito delle operazioni di pagamento hanno continuato a fare grandi progressi: il numero di servizi di pagamento online e di fornitori di terze parti (in inglese Third Party Providers, spesso abbreviato in TPP), è cresciuto significativamente. Questo ha da un lato comportato la nascita di nuove modalità di pagamento semplici e veloci per gli acquirenti, dall’altro ha fornito ai venditori un facile accesso alle informazioni sui conti dei clienti.

Questa facilità di accesso ai conti dei consumatori ha però a sua volta portato a un aumento dei rischi per la sicurezza. La reazione a questo problema è arrivata rapidamente, sotto forma di leggi chiare che regolano il modo in cui i TPP e i fornitori di servizi di pagamento possono accedere ai conti dei clienti.

La Strong Customer Authentication è quindi il prossimo passo per ridurre le frodi nelle transazioni online. Come obbligo a livello europeo, la tecnologia deve essere utilizzata per ogni transazione finanziaria. La legge entra in vigore quando il fornitore di servizi di pagamento del venditore o l’istituto bancario dell’ordinante hanno sede nello Spazio economico europeo (SEE). Le transazioni possono quindi essere soggette all’autenticazione forte del cliente anche nel caso in cui l’azienda che opera online abbia sede al di fuori dell’Europa, a condizione, ad esempio, che il pagamento sia effettuato tramite un istituto bancario appartenente allo Spazio economico europeo.

Si tratta quindi di una legge europea che riguarda anche i fornitori situati al di fuori del SEE e per questo motivo i nuovi requisiti per l’autenticazione dei pagamenti online sono così complessi nella loro attuazione. I fornitori di servizi di pagamento hanno infatti già chiesto più volte di posticipare l’implementazione definitiva della SCA e non è nemmeno ancora stata fissata una scadenza concreta e vincolante.

3D Secure è il protocollo di autenticazione più utilizzato per i pagamenti online, supportato dalla maggior parte delle carte di debito e di credito europee. Immediatamente prima che il processo di pagamento sia completato, al titolare della carta viene chiesto di fornire ulteriori elementi a conferma della sua identità, come ad esempio l’inserimento di un codice TAN inviato al proprio smartphone o della propria impronta digitale tramite l’app di online banking.

Grazie all’utilizzo della nuova versione del sistema 3D Secure 2, la Strong Customer Authentication può di fatto essere considerata il metodo migliore per l’autenticazione dei pagamenti online con carta di credito. I miglioramenti della nuova versione riguardano soprattutto l’esperienza dell’utente. Questo sistema consente di effettuare i pagamenti online in modo facile e veloce, nonostante i passaggi aggiuntivi richiesti dal processo di autenticazione.

Coloro che già utilizzano Apple Pay o Google Pay per i propri pagamenti hanno già familiarità con le opzioni di pagamento online con autenticazione integrata. Entrambi i fornitori hanno infatti già implementato passaggi biometrici e protetti da password, pur riuscendo a garantire agli utenti un processo di pagamento fluido e senza intoppi: un ottimo esempio di una corretta implementazione della tecnologia che sta dietro alla Strong Customer Authentication.

La direttiva PSD2 SCA si applica quindi ogni volta che un cliente trasferisce denaro o accede al suo conto all’interno dello Spazio economico europeo. L’autenticazione forte del cliente è quindi obbligatoria ogni volta che:

• un cliente accede al suo conto online;
• un cliente esegue un’operazione di pagamento elettronico;
• viene rilevato un potenziale rischio di frode nell’ambito di una transazione online.

Come per ogni legge, la direttiva PSD2 prevede potenziali esenzioni dall’implementazione della SCA, come nei pagamenti in abbonamento. In questo caso, l’autenticazione forte deve essere richiesta solo nel momento in cui si dà il consenso alla sottoscrizione dell’abbonamento, ma non più durante il suo corso. Altre potenziali eccezioni riguardano i pagamenti a basso rischio, in cui una forte autenticazione del cliente non è necessaria o si rivelerebbe più fastidiosa che vantaggiosa.

Sono previste anche delle soglie minime per gli importi: ad esempio, le transazioni fino a 30 euro sono considerate pagamenti di “basso valore”, che possono in linea di principio essere esenti dalla PSD2 SCA. Tuttavia, per evitare l’accumulo di frodi di piccola entità, sono già previste regole chiare anche per questo tipo di importi:

1. Anche in presenza di esenzioni, le banche sono tenute a eseguire la Strong Customer Authentication per una transazione con carta ogni qualvolta che questa sia già stata utilizzata per cinque volte di seguito senza autenticazioni.
2. Nel momento in cui la somma delle transazioni eccezionali supera i 100 euro, la PSD2 SCA si applica immediatamente alla transazione successiva, indipendentemente dall’importo della transazione.

Le esenzioni si rivelano particolarmente vantaggiose soprattutto per le piccole imprese che operano online. Bisogna comunque tenere presente che è la banca del cliente ad approvare o meno queste eccezioni. Per evitare di perdere clienti, per l’azienda venditrice è comunque consigliabile offrire diverse opzioni di pagamento conformi alla PSD2 SCA.