La Strong Customer Authentication potrebbe avere un ruolo nell’e-banking, per quanto riguarda i pagamenti digitali. Vediamo in che modo.
In un precedente articolo abbiamo descritto la nuova normativa eIDAS , sottolineando come uno dei principali obiettivi sia il mutuo riconoscimento dei sistemi di identificazione elettronica tra gli Stati membri. Grazie al mutuo riconoscimento dei sistemi di identificazione statali, i cittadini di uno Stato europeo che si identificano elettronicamente possono essere riconosciuti in qualsiasi altro stato dell’UE.
In tal modo, i singoli Stati Membri conservano la loro autonomia nel trovare gli schemi eID più adatti. Tuttavia, il regolamento eIDAS fissa le regole comuni per eliminare le barriere che finora hanno impedito ai mezzi di identificazione elettronica nazionali di superare i confini ed essere validi in tutto il territorio UE.
Si discute l’implementazione di uno schema di identificazione elettronica a 3 parti, in cui il gestore dell’identità elettronica e il soggetto che accetta le richieste coincidono. Oppure si ipotizza uno schema a 4 parti, in cui l’identity provider e il broker possono essere rappresentati da due prestatori di servizi fiduciari diversi.
Come suggerito sul sito pagamentidigitali.it, l’eIDAS potrebbe aver un impatto anche sul mondo dell’e-banking, in particolare per quanto riguarda i pagamenti digitali. Infatti, con la Direttiva 2366 del 2015 (Direttiva relativa ai Servizi di Pagamento nel mercato interno o PSD2), si introducono i Third Party Provider (TPP).
Si tratta di soggetti, anche di natura non bancaria, che possono gestire gli accessi ai conti di pagamento ed emettere strumenti di pagamento. Si pongono, cioè, come intermediari nella relazione tra l’utilizzatore di uno strumento di pagamento e il suo gestore (PSP).
La Strong Customer Authentication nell’e-banking
Con l’incremento del rischio frodi nei pagamenti sul web e da mobile diventa sempre più forte l’esigenza di garantire una maggiore sicurezza nelle transazioni. Nella direttiva PSD2 sono presenti delle rigide regole proprio in merito all’autenticazione degli utenti nei servizi di pagamento. L’obiettivo è che i gestori possano essere certi che gli utilizzatori dei loro servizi siano effettivamente chi dicono di essere.
Viene quindi loro richiesto di implementare quelle soluzioni di Strong Customer Authentication. La Commissione Europea definisce la SCA come “una procedura per verificare la validità di uno strumento di pagamento tramite l’uso di due o più criteri”. Tali criteri vengono “classificati nelle categorie conoscenza (cosa nota solo all’utente), possesso (cosa che solo l’utente possiede) e inerenza (cosa che solo l’utente può essere)”. Tali criteri sono “indipendenti, in quanto l’inosservanza di uno non compromette l’affidabilità degli altri”. La SCA, inoltre, “è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”.
Nel linguaggio IT, questo significa autenticazione a due fattori, che consente proprio di verificare l’identità di chi esegue la transazione.
Per tale scopo esistono 3 metodi, ricorrendo a:
♦ Qualcosa che l’utente conosce: come una password
♦ Qualcosa che l’utente possiede: come lo smartphone o un token
♦ Qualcosa che l’utente è: come il riconoscimento biometrico attraverso le impronte digitali o l’autenticazione basata sull’iride
SCA ed e-banking: sfida sicurezza
Esistono diversi metodi per implementare la strong customer authentication per i pagamenti. La verifica del numero telefonico è diventata una delle più utilizzate, grazie alla sua immediatezza e allo sforzo minimo richiesto all’utente.
La tendenza, comunque, è quella di garantire la sicurezza e la semplicità d’uso, andando incontro anche agli utenti con una minore propensione verso l’uso dello strumento tecnologico. È il caso, ad esempio, del riconoscimento basato sull’iride che alcune banche hanno iniziato ad adottare.
Una delle sfide maggiori sarà, quindi, quella di rispettare queste guidelines senza rendere il processo troppo oneroso per gli utenti.
