La Strong Customer Authentication (SCA) o autenticazione forte del cliente, è una misura di sicurezza per accertare l’identità di un soggetto che esegue un pagamento digitale o accede a un servizio informativo online.
La SCA è una delle novità introdotte dalla PSD2 (Payment Services Directive 2) la seconda direttiva sui servizi di pagamento, voluta dall’UE per favorire la crescita dei pagamenti digitali europei.
Cos’è la Strong Customer Authentication e a cosa serve
La Strong Customer Authentication (SCA) o, in italiano, autenticazione forte del cliente è una misura di sicurezza che prevede un’autenticazione a due fattori per i soggetti che effettuano servizi di pagamento digitali o che accedono a servizi informativi online che richiedono lo scambio di dati confidenziali e a rischio frode.
La SCA è stata introdotta dalla PSD2, la seconda direttiva europea sui sistemi di pagamento. La PSD2 definisce l’autenticazione forte del cliente “un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”.
L’autenticazione forte del cliente è stata voluta per spingere la crescita dei pagamenti digitali nell’Unione Europea. Con un processo virtuoso, rendendo più sicure le transazioni elettroniche si aumenta la fiducia in questa modalità di pagamento, sia dei consumatori che dei venditori.
Cosa prevede l’autenticazione forte del cliente
L’autenticazione forte del cliente prevede, quindi, che se vuoi eseguire un pagamento digitale devi farti riconoscere. Devi dare una prova inconfutabile che a voler eseguire il pagamento sia proprio tu, titolare del conto corrente da cui verranno scalati i soldi.
A dare certezza della tua identità è un’autenticazione a due fattori. Significa che la banca o un altro prestatore di servizi di pagamento chiede di verificare almeno due dei seguenti tre elementi.
- Conoscenza: ti viene chiesto qualcosa che sai. In questo caso l’elemento di conoscenza chiesto nella maggior parte dei casi è una password o un PIN. Può essere anche una passphrase (un insieme di parole o di stringhe alfanumeriche), una sequenza tracciata su un dispositivo o la risposta a una domanda di sicurezza.
- Possesso: ti viene chiesto di usare qualcosa che hai. Si tratta principalmente dello smartphone, ma anche di un dispositivo wearable (come uno smart watch), una smart card, un token bancario oppure un badge.
- Inerenza: ti viene chiesto qualcosa che sei. Questo elemento di identificazione ha a che fare con una caratteristica fisica o genetica che è soltanto tua. La verifica avviene tramite l’impronta digitale, il riconoscimento facciale o vocale, la scannerizzazione dell’iride e finanche il proprio DNA.
Come visto, i tre elementi sono indipendenti tra loro e la violazione di uno dei tre non mette in discussione l’affidabilità degli altri due. Questo significa che i prestatori di servizi di pagamento devono assicurare misure di sicurezza adeguate, in termini di tecnologia, algoritmi e parametri.
Quando è obbligatoria l’autenticazione forte del cliente
La Strong Customer Authentication è obbligatoria quando:
– accediamo al nostro conto online, anche soltanto per sapere il saldo del nostro conto corrente;
– disponiamo un pagamento elettronico, che può essere eseguito sia a distanza che nel punto vendita del venditore;
– effettuiamo una qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri tipi di abusi.
Si tratta, quindi, di operazioni che coinvolgono una banca o un prestatore di servizi di pagamento. In questo caso la SCA è disciplinata dalle specifiche norme europee.
Ma la SCA viene usata anche da soggetti e per servizi diversi, venendo applicata in maniera volontaria per rendere più sicura l’autenticazione degli utenti, in quei casi in cui è richiesta un’elevata garanzia circa l’identità di un soggetto.
Quando si può evitare la SCA autenticazione forte del cliente
Ci sono dei casi di esenzione in cui l’autenticazione forte del cliente si può non applicare.
– Accesso alle informazioni del conto (saldo e lista movimenti negli ultimi 90 giorni) senza divulgazione di dati sensibili relativi ai pagamenti. L’esenzione non si applica se si accede per la prima volta o se sono trascorsi più di 90 giorni dall’ultima autenticazione forte.
– Pagamenti contactless di importo limitato nel punto vendita: l’esenzione è possibile per pagamenti singoli entro i 50 euro e fino a un limite cumulativo di 150 euro o cinque pagamenti. Raggiunta una delle due soglie scatta l’obbligo di autenticazione forte.
– Pagamenti per spese di trasporto o parcheggi nei terminali automatici incustoditi.
– Pagamenti a beneficiari di fiducia, inclusi in un white list creata in precedenza dal titolare del conto. In questo caso, l’autenticazione forte ci viene chiesta una sola volta, quando aggiungiamo il beneficiario alla lista, ma non ci verrà chiesta per tutti i pagamenti che disporremo in seguito a sua favore.
– In caso di pagamenti ricorrenti dello stesso importo e a favore dello stesso beneficiario.
– Giroconti, cioè bonifici disposti tra conti intestati alla stessa persona fisica o giuridica e aperti presso la stessa banca.
– Per pagamenti online di piccolo importo, non superiore a 30 euro per singola operazione e fino a un limite cumulativo di 100 euro o cinque pagamenti.
– In presenza di processi e protocolli di pagamento sicuri per le imprese. Questa esenzione riguarda solo le persone giuridiche che dispongono operazioni di pagamento elettronico ricorrendo a processi o protocolli di pagamento a loro dedicati, laddove le autorità competenti abbiano accertato la presenza di livelli di sicurezza almeno equivalenti a quelli previsti dalla PSD2.
– In presenza di transazioni a basso rischio, in base a uno specifico monitoraggio svolto dal prestatore dei servizi di pagamento.