SCA: banche italiane e Strong Customer Authentication, il punto

18 Settembre 2019, di Mariangela Tessa

Dallo scorso 14 settembre è entrata in vigore la nuova normativa sui pagamenti elettronici, PSD2. Due le novità previste: la prima, l’open banking, faciliterà l’utilizzo da parte dei consumatori delle app per la gestione dei propri conti correnti e carte di pagamento, l’altra, la SCA, la strong customer authentication, renderà i pagamenti più sicuri con la doppia autenticazione.

Ma l’obbligo di adottare quest’ultima per banche ed esercenti ha subito uno slittamento. Questo perché, in linea con il parere espresso dall’Eba (l’autorità bancaria europea), Banca d’Italia ha infatti deciso di concedere più tempo all’industria finanziaria italiana per completare gli adeguamenti richiesti dalla normativa in tema di sicurezza delle transazioni online effettuate con carta di pagamento. D’altronde non tutte le banche erano pronte alla Psd2, anche se avevano assicurato che si sarebbero allineate entro la scadenza del 14 settembre. In tante, però, si erano già adeguate. Tra queste, Intesa Sanpaolo, Unicredit, Banca Mediolanum e Banca Sella.

Cosa è la strong authentication

Si chiama strong authentication ed è sostanzialmente un’autenticazione doppia, che avviene attraverso l’inserimento di due password: una statica e una dinamica, con codici usa e getta, tramite messaggi sul cellulare o tramite i generatori di codici (le cosiddette chiavette token) o attraverso i token digitali. L’obiettivo principale della strong authentication è aumentare la sicurezza delle transazioni online.

Perché è importante

La SCA è una misura di sicurezza divenuta fondamentale nel contesto di un’inarrestabile crescita dei pagamenti tramite internet e i dispositivi mobili. Soltanto in Italia, la Polizia Postale e delle Comunicazioni, parla di truffe online in crescita con 3355 denunce, 39 arresti, circa 160mila segnalazioni e il sequestro di 22.687 spazi virtuali registrati nel 2018. Sono proprio la sicurezza e la protezione degli utenti ad essere il punto nodale nell’elaborazione delle normative europee sui pagamenti digitali

Le principali novità

Di seguito le principali novità introdotte con la strong authentication, riportate da Altroconsumo:

  • tutte le operazioni di pagamento online dovranno essere autenticate con un codice usa e getta come quello che usiamo quando facciamo un bonifico sul nostro home banking;
  • lo strumento di pagamento viene bloccato se l’autenticazione per un pagamento fallisce per cinque volte di seguito. In tutti i casi, prima del blocco permanente il cliente sarà allertato;
  • se dopo l’autenticazione di un pagamento si rimane inattivi per più di cinque minuti, bisognerà autenticarsi nuovamente;
  • l’autorizzazione al pagamento si ottiene per un determinato ammontare: nel momento in cui la somma aumenta (nel caso, per esempio, dell’aggiunta di commissioni) l’autorizzazione non sarà più valida;
  • l’autenticazione forte (strong authentication) non sarà necessaria se si accede al sito solo per controllare il saldo del conto corrente o le operazioni eseguite negli ultimi 90 giorni;
  • a prescindere dall’ammontare, non verrà richiesto alcun PIN quando le carte verranno utilizzate per pagare biglietti di trasporto o parcheggi su terminali incustoditi;
  • sarà possibile indicare alla banca o all’istituto di pagamento una lista di beneficiari di fiducia o di transazioni ricorrenti verso cui i pagamenti possono essere fatti senza strong authentication;
  • anche i bonifici a sé stessi nella stessa banca, i cosiddetti giroconti, non necessiteranno di un autenticazione forte;
  • esiste la possibilità di una deroga all’autenticazione forte per le operazioni di basso ammontare online, possibile se il pagamento non supera i 30 euro e, comunque, solo se in totale con deroga sono state fatte operazioni di pagamento che non superano i 100 euro o ne sono state fatte massimo cinque consecutive;
  • un’altra deroga si basa sull’analisi di rischio: se l’operazione viene considerata poco rischiosa, l’autenticazione forte non verrà richiesta. Come viene classificata un’operazione a basso rischio? Devono verificarsi queste condizioni: l’operazione non può superare i 500 euro, deve essere classificata entro il tasso di frode rilevato per la banca che fa il pagamento e si deve trattare di un’operazione dall’ammontare non anomalo, con accesso da computer o altro device identificato e con luogo di spedizione della merce non strano, già noto.