La sicurezza dei pagamenti digitali e la Strong Authentication

Che cos’è e come funziona la Strong Authentication?

Secondo i dati dell’indagine Cyber & Digital Protection, realizzata da Lexis Research per Europe Assistance su un campione rappresentativo della popolazione italiana, il cybercrime è un fenomeno in crescita e ad oggi la Strong Authentication, in italiano autenticazione forte, nota anche come Two Factor Authentication (2FA), ovvero autenticazione a due fattori, è considerata uno dei metodi di protezione più efficaci contro il cybercrime.

La 2FA, infatti, garantisce un livello di sicurezza più alto rispetto alla tradizionale combinazione “nome utente più password”. Non va dimenticato che la password, anche se forte e univoca, può essere facilmente intercettata, rubata e compromessa. 

Come funziona la Strong Authentication? Si tratta di una modalità di autenticazione basata sulla verifica di almeno due elementi di diversa natura (non è possibile utilizzare due elementi della stessa categoria) e reciprocamente indipendenti (per evitare che la violazione di uno comprometta l’affidabilità dell’altro). 

Quindi, durante il processo di autenticazione, la 2FA prevede che l’utente utilizzi almeno due diversi elementi appartenenti alle seguenti categorie: 

1. Conoscenza: una cosa che l’utente conosce (ad esempio: una password o il PIN);
2. Possesso: una cosa che l’utente ha (ad esempio: uno smartphone o un token di sicurezza per l’home banking);
3. Inerenza: una cosa che l’utente è (ad esempio: l’impronta digitale, il timbro vocale, la retina o l’iride, o altri dati biometrici).

Una volta inserita la username e stabilita l’identità digitale, il sistema chiede all’utente di dimostrarla attraverso l’uso del primo fattore di autenticazione, cioè la password. A questo punto, per avere accesso al proprio account, l’utente deve utilizzare un ulteriore fattore che, in genere, appartiene alla categoria del “Possesso” e corrisponde a un codice numerico ricevuto tramite SMS oppure mediante l’utilizzo di un token di sicurezza.

Un classico esempio di utilizzo della Strong Authentication? L’accesso al conto corrente per cui sono necessari un ID, una password e una Onetime password (OTP), ovvero una password usa e getta, generata attraverso un token e valida solo per una singola sessione di accesso o una transazione.

L’autenticazione forte è uno strumento indispensabile per proteggere il gestore di password, l’account di posta elettronica, gli account social e le transazioni collegate agli acquisti effettuati online.

2FA e Strong Customer Authentication: sono la stessa cosa?

La Strong Customer Authentication nel settore bancario e nell’ambito dei servizi finanziari prende il nome di Strong Customer Authentication (SCA) e la sua applicazione è stata rafforzata e resa obbligatoria per le operazioni bancarie online a seguito dall’entrata in vigore della direttiva europea PSD2 (Payment Services Directive 2). 

Ottimizzare la sicurezza delle transazioni online, migliorare la User Experience e tutelare sia acquirenti che esercenti durante gli acquisti in rete sono gli obiettivi della SCA che libera l’utente dall’obbligo di ricordare innumerevoli codici o password permettendogli di utilizzare, ad esempio, i propri dati biometrici.

Più nel dettaglio, la Strong Customer Authentication si applica per i pagamenti online iniziati dal cliente (Cardholder Initiated Transactions -CIT), come gli acquisti effettuati sui siti e-Commerce, mentre non è prevista nei seguenti casi:

• Merchant Initiated Transactions (MIT): sono quelle transazioni elaborate dall’esercente senza che sia necessaria la partecipazione attiva del titolare della carta poiché esiste un contratto tra le parti che definisce i termini di addebito. Un esempio sono i servizi in abbonamento; 
• Mail Order and Telephone Orders (MO. TO.): rientrano in questa categoria le transazioni effettuate in remoto dall’esercente o da sistemi automatici mediante inserimento manuale dei dati della carta su terminale virtuale;
• Transazioni di importo inferiore a 30 euro: considerando però un limite di 100 € o di 5 transazioni cumulate dalla stessa carta nelle 24 ore;
• Transazioni a basso rischio: viene effettuata un’analisi del rischio in tempo reale per ogni singola transazione (Transaction Risk Analysis – TRA) in base alla quale la banca può decidere se applicare o meno la SCA. Va però ricordato che le transazioni su cui si può richiedere l’esenzione sono soggette ad un limite di importo che varia a seconda del livello di frodi complessivo dell’istituzione finanziaria e può arrivare fino ad un massimo di 500 euro;
• Transazioni a beneficiari affidabili: il titolare della carta può chiedere alla propria banca di inserire uno specifico esercente nella lista dei beneficiari attendibili per evitare di autenticare i pagamenti futuri. In questo caso, la SCA sarà necessaria solo per la prima transazione.