Le soluzioni di Strong Authentication per l’e-commerce

Soluzioni SCA Strong Authentication per il settore e-commerce

Che cos’è la Strong Authentication

La Strong Authentication, nota come autenticazione forte, autenticazione a due o più fattori o Two Factor Authentication (2FA), è una modalità di autenticazione che si basa sulla verifica di almeno due elementi di diversa natura per accertare l’identità̀ di un utente al momento dell’accesso a un sistema (ad esempio: computer o bancomat).

L’autenticazione forte viene utilizzata in diversi contesti, dall’home banking ai servizi di posta elettronica, e garantisce un livello di sicurezza più alto rispetto alla tradizionale combinazione “nome utente più password”. Infatti, la sola password, anche se forte e univoca, può essere facilmente rubata e compromessa.

La Strong Authentication è quindi la soluzione più efficace contro il furto d’identità e consente all’utente di proteggere le chiavi di accesso alla propria vita digitale senza essere obbligato a ricordare un numero infinito di codici o password.

Come funziona l’autenticazione a due o più fattori? L’utente che vuole accedere a un sistema o effettuare un pagamento online deve utilizzare due o più fattori per autenticarsi. Tali elementi devono essere reciprocamente indipendenti (per evitare che la violazione di uno comprometta l’affidabilità dell’altro) e appartenere a categorie diverse (ciò significa che non è possibile utilizzare due elementi della stessa categoria).

Le tre categorie sono:

  • Conoscenza: una cosa che l’utente conosce (ad esempio: una password o il PIN);
  • Possesso: una cosa che l’utente ha (ad esempio: uno smartphone o un token di sicurezza per l’home banking);
  • Inerenza: una cosa che l’utente è (ad esempio: l’impronta digitale, il timbro vocale, la retina o l’iride, o altri dati biometrici).

Utilizzare la Strong Authentication è molto semplice: dopo aver inserito la password (primo fattore), il sistema chiede all’utente di utilizzare un ulteriore fattore per avere accesso al proprio account. In genere, il secondo fattore appartiene alla categoria del possesso e corrisponde a un codice numerico che l’utente riceve tramite un sms o un token di sicurezza.

Il secondo fattore è un dato inattaccabile poiché si tratta di una One-time password (OTP), vale a dire una password usa e getta, valida per una singola sessione di accesso o una transazione.

La direttiva europea PSD2: cosa cambia per gli e-commerce?

Dall’1 gennaio 2021 sono entrate in vigore le nuove misure contenute nella direttiva europea Payment Service Directive (PSD2) che prevedono l’adeguamento da parte di tutti gli e-Commerce europei al nuovo sistema di sicurezza per i pagamenti: la Strong Customer Authentication (SCA).

Il sistema di autenticazione forte è pensato per rendere più sicura l’esperienza di acquisto, contrastare le frodi, aumentare la fiducia dei titolari di carte di credito nell’utilizzo dei servizi online e tutelare acquirenti ed esercenti durante gli acquisti in rete.

La Strong Customer Authentication si applica nei casi di Cardholder Initiated Transactions (CIT), ovvero pagamenti online iniziati dal cliente (ad esempio: acquisti effettuati su un sito e-Commerce), mentre non è prevista per le seguenti transazioni:

  • Merchant Initiated Transactions (MIT): transazioni elaborate dall’esercente senza la partecipazione attiva del titolare della carta, in virtù di un accordo/contratto tra le parti che definisce i termini di addebito. (ad esempio: servizi in abbonamento, dopo una prima approvazione da parte del cliente);
  • TO.: transazioni effettuate in remoto dall’esercente (o da sistemi automatici) mediante inserimento manuale dei dati della carta su terminale virtuale;
  • Transazioni di importo inferiore a 30 euro fino ad un importo cumulativo di 100 € o fino a 5 transazioni cumulate dalla stessa carta nelle 24 ore;
  • Transazioni a basso rischio: il fornitore di servizi di pagamento può eseguire un’analisi dei rischi in tempo reale per decidere se applicare la SCA a una transazione. Le transazioni su cui si può richiedere questo tipo di esenzione sono soggette ad un limite di importo che varia a seconda del livello di frodi complessivo dell’Acquirer e può arrivare fino ad un massimo di 500 euro;
  • Transazioni a beneficiari affidabili: il titolare della carta può chiedere alla propria banca di inserire uno specifico esercente nella lista dei beneficiari attendibili. In questo caso viene richiesta la SCA solo per la prima transazione, mentre per gli acquisti successivi non sarà necessaria.

Strong Authentication: il servizio Namirial ID

Namirial ID consente l’autenticazione di livello 1 (user e password) e di livello 2 (OTP via App o SMS).

Per utilizzare l’autenticazione di secondo livello è sufficiente scaricare gratuitamente l’App OTP per Android o iOS, disponibile sia su Google Play che su App Store.

L’applicazione permette all’utente di usare lo smartphone o il tablet per generare un codice one-time password (OTP) di sei cifre che gli consente di accedere in maniera sicura ai propri account e gestire, ad esempio, le transazioni digitali, lo SPID e la firma elettronica.

In alternativa all’uso dell’App, Namirial prevede l’adozione di codici OTP con SMS inviati al numero di telefono precedentemente registrato e verificato. Con il codice ricevuto è possibile confermare la credenziale inserendo il valore nel campo richiesto e confermare premendo il tasto Conferma OTP.