PSD2: l’autenticazione SCA (Strong Customer Authentication)

17 Settembre 2019, di Alessandra Caparello

Con la definitiva attuazione della PSD2, la direttiva Payment Services Directive 2, sono stati introdotti anche in Italia significativi cambiamenti nel settore dei pagamenti digitali. Obiettivo è contrastare in modo ancora più efficace possibili tentativi di frode. Così dal 14 settembre scorso sono stati adottati strumenti che consentano ai clienti di accedere ai propri dati riservati e confermare le principali operazioni online mediante un’autenticazione forte, la cosiddetta Strong Customer Authentication (SCA).

Strong Customer Authentication: cosa significa

E’ l’articolo 4 della direttiva PSD2 che definisce la Strong Customer Authentication, letteralmente l’autenticazione forte del cliente, come un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti. Il fornitore del servizio di pagamento applica l’autenticazione forte del cliente quando si accedere al proprio conto di pagamento on line ovvero di deve effettuare una qualsiasi operazione che può comportare un rischio di frode nei pagamenti o altri abusi.

Come funziona

Quando si procede al pagamento, con la Strong Customer Authentication occorrerà aggiungere una nuova modalità di autenticazione. In particolare si dovranno usare almeno due di questi tre elementi:

  • identificazione con una password o con un PIN: quindi qualcosa di criptato che l’utente conosce può essere una parola chiave piuttosto che un codice o una domanda di sicurezza;
  • identificazione con qualcosa è in possesso all’utente e che l’utente può utilizzare, tipicamente un device come lo smartphone piuttosto un device portatile o ancora un token bancario;
  • identificazione con qualcosa di fisico: impronta digitale o lineamenti biometrici del viso, ovvero tratti che, in qualche modo, sono in grado di caratterizzare il cliente identificandolo nella sua persona in modo univoco.

Così se in precedenza era sufficiente avere un numero di carta di credito e l’indirizzo per effettuare un pagamento on line, ora con la PSD2  al cliente verrà richiesta un’autenticazione più approfondita. Volendo fare un esempio nel momento in cui il consumatore completa il processo di acquisto e pagamento utilizzando il cellulare, sarà richiesto di confermare il pagamento con il pin dell’app o con l’impronta digitale.