Pagamenti online con doppia autenticazione, così fanno le banche nel 2021 - Agenda Digitale

Politecnico di Milano

Pagamenti online con doppia autenticazione, così fanno le banche nel 2021

È entrata in vigore il 31 dicembre la nuova normativa europea per la sicurezza dei pagamenti digitali, che obbliga all’utilizzo della cosiddetta Strong Customer Authentication (SCA) o “autenticazione forte”. Ecco cosa cambia, che fanno le banche a un’analisi del Polimi e perché i merchant temono un calo del fatturato

18 Gen 2021
Matteo Risi

Osservatorio Innovative Payments del Politecnico di Milano

Sono giorni di grande apprensione per il mondo dei pagamenti online e dell’eCommerce: dopo un iniziale rinvio di 15 mesi è entrata ufficialmente in vigore dal 31 dicembre 2020 la nuova normativa europea (inserita nella PSD2) per la sicurezza dei pagamenti digitali, che obbliga all’utilizzo della cosiddetta Strong Customer Authentication (SCA) o “autenticazione forte”. Un momento che porterà a diversi cambiamenti nel modo in cui effettuiamo i pagamenti, soprattutto online, e che in molti temono possa avere un impatto negativo sulle vendite online.

In particolare a un’analisi del Politecnico di Milano su 33 banche, risulta che sono adottati due approcci alla normativa: uno più conservativo (con sms e ulteriore password) e uno più innovativo tramite notifica push e autenticazione app.
Ascolta “La vertiginosa crescita dei pagamenti digitali” su Spreaker.

Cos’è la “strong customer authentication”

Si tratta di una norma che impone la doppia verifica dell’identità del pagatore al momento di un acquisto effettuato con uno strumento di pagamento digitale, al momento del login sulla propria banca online e al momento della disposizione di operazioni bancarie online. Introdotta dal legislatore europeo all’interno della seconda Payment Service Directive (PSD2), la Strong Customer Authentication ha l’obiettivo di minimizzare il rischio di “furti” di denaro dalle nostre carte/wallet di pagamento o dai nostri conti correnti.

WEBINAR
28 Ottobre 2021 - 12:00
FORUM PA 2021- Sanità: Cybersecurity, conoscere per non rischiare
Sicurezza
Cybersecurity

La doppia verifica che viene richiesta si compone di due fattori che devono appartenere a due ambiti distinti tra questi tre:

  • Conoscenza – qualcosa che solo l’utente conosce, come password, PIN, domande di sicurezza o swiping path;
  • Possesso – qualcosa che solo l’utente possiede, ad esempio lo smartphone o un token bancario;
  • Inerenza – qualcosa che caratterizza l’utente, come l’impronta digitale, il riconoscimento facciale o vocale, o ancora lo scan dell’iride.

Se nei pagamenti in negozio la questione non si pone, in quanto il possesso fisico della carta (qualcosa che solo l’utente ha) abbinato all’inserimento del PIN (qualcosa che solo l’utente conosce) riassume esattamente le caratteristiche di un’autenticazione forte, ciò non è altrettanto semplice nel mondo online. In questo caso conoscere i dati della propria carta non garantisce il possesso fisico della stessa, né di essere la sola persona a conoscenza di quei numeri; l’autenticazione, infatti, avviene solitamente con un sms inviato direttamente al titolare (qualcosa che solo lui ha: la propria SIM). Questo, tuttavia, rappresenta solo uno dei due fattori che sono richiesti dalla nuova normativa. Vediamo quindi nel dettaglio cosa cambia con le nuove regole.

Cosa cambia con le nuove regole nelle banche

Se il fatto di ricevere l’SMS con il codice da digitare online al momento del pagamento poteva sembrare fastidioso, ma ci confortava sotto il punto di vista della sicurezza, a partire dal 2021 il processo di autenticazione si “complicherà” a vantaggio di una maggior sicurezza della transazione. L’adeguamento che i merchant hanno dovuto integrare nei loro eCommerce è stato fornito dalle banche acquirer (dei merchant stessi), le quali hanno costruito il sistema in accordo con le banche issuer (del titolare della carta), coloro che hanno il vero compito di rendere conforme il servizio lato consumatore e garantirne la corretta applicazione.

Da un’analisi dell’Osservatorio Innovative Payments della School of Management del Politecnico di Milano su 33 delle maggiori banche e istituti di carte di credito operanti in Italia possiamo capire quali saranno i cambiamenti che questi istituti apporteranno al processo di pagamento online dei propri clienti.

Tutte e 33 offrono già ora, in rispetto della normativa, metodi di autenticazione che adottano due fattori di verifica dell’identità del pagatore. In particolare, esistono due diversi approcci.

Quando entra in vigore e perché è stata rimandata

L’entrata in vigore di queste nuove regole per la sicurezza dei pagamenti è stata prorogata di 15 mesi, dal 14 settembre 2019 al 31 dicembre 2020. Una proroga fortemente richiesta da tutti gli attori coinvolti nei pagamenti online, compresi gli stessi merchant online, e da tutti i paesi membri dell’Unione. Si tratta, infatti, di una norma che pone serie questioni su di una possibile perdita di volumi e di fatturato per tutto l’ecosistema. Chi gestisce un eCommerce lo sa: ogni click in più può portare a perdere il cliente e la vendita. Ecco, dunque, che i timori per l’introduzione di nuovi step di autenticazione risultano più che comprensibili.

Da un lato, in caso di autenticazione con SMS+PIN/password, il cliente potrebbe non essere a conoscenza del fatto che gli verrà chiesto un ulteriore PIN per autenticarsi o non aver impostato il nuovo PIN con la propria banca (ove richiesto) o ancora, in caso di PIN già impostato, non ricordarselo. Dall’altro, in caso di autorizzazione su app, potrebbe avere problemi con la ricezione delle notifiche o un’applicazione bancaria rallentata che non riesce a rispondere in maniera tempestiva nel momento del pagamento.

Nonostante i 15 mesi di proroga, i timori rimangono forti e diverse banche nazionali hanno potuto concedere ancora qualche mese di transizione. La Banca d’Italia permette agli operatori di evitare di imporre ai consumatori la SCA per transazioni fino a 1.000 euro durante tutto gennaio, quota che si abbasserà a 500 euro per febbraio e a 100 euro a marzo, per arrivare ad aprile con la piena entrata in vigore della Strong Customer Authentication. Un approccio adottato anche, con piccole variazioni, da Germania, Francia, Spagna, Belgio, Austria e Irlanda. Il Regno Unito forte della Brexit rimanderà completamente tutto a settembre 2021.

Conclusioni

Come nella maggior parte dei casi, la conoscenza delle nuove procedure sarà fondamentale per non farsi trovare impreparati e non farsi intimidire dai cambiamenti in atto. Tuttavia, dobbiamo essere anche consci del fatto che la customer experience per gli utenti ne possa risentire negativamente, soprattutto nel periodo iniziale, con conseguenti perdite del fatturato online.

Fortunatamente, le nuove regole concedono diversi spazi “di manovra” che consentono ai prestatori di servizi di pagamento di bypassare, sotto diverse e precise condizioni, la temuta autenticazione a due fattori. L’autenticazione forte, inoltre, è valida solo per pagamenti che avvengono all’interno dell’Unione Europea. Non sarà quindi improbabile effettuare pagamenti online che non richiedano il doppio step di autenticazione.

Le banche e i fornitori di servizi di pagamento, dunque, sono pronti, sia quelli dei consumatori sia quelli dei commercianti online, ora bisognerà capire quanto saranno pronti i consumatori. Un ruolo fondamentale, naturalmente, è giocato dalla comunicazione verso i clienti da parte di questi attori. Quanto più saranno stati capaci di dialogare con i propri clienti, tanto meno problemi vi saranno al momento dell’arrivo della Strong Customer Authentication.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4