La strong authentication alla sbarra

Con l’imminente entrata in vigore della Psd2 esordisce il sistema dell’autenticazione forte per le transazioni elettroniche. Opportunità e rischi per il mercato (da Mark Up n. 256)

I recenti studi sulle dinamiche degli acquisti online rispetto alle varie fasi di processo mettono in evidenza che la rinuncia da parte del consumatore avviene prevalentemente nella fase del pagamento. Non si tratta solo di un ripensamento dell’ultimo momento, ma anche di una fase non particolarmente gradita perché richiede l’inserimento di molteplici dati e lo svolgimento di procedure. I big player da tempo sono corsi ai ripari mettendo a punto sistemi che consentono di acquistare con un click dopo avere registrato il proprio profilo di pagamento una sola volta. Funziona così con Amazon, con Google Pay, Apple Store ecc. Tuttavia, tale experience potrebbe cambiare se la strong authentication dovesse obbligatoriamente essere adottata. Ma di cosa si tratta? La definizione di strong customer authentication adottata dalla Psd2 è la stessa messa punto dall’Eba (European Banking Authority) e si basa sul concetto di doppio fattore di autenticazione. Questi possono comprendere differenti elementi di categorizzazione dei codici riservati che solo la persona conosce. Un primo set di codici attiene alla conoscenza personale, un knowledge code. Il secondo comprende un elemento di possesso, il possession code; un ulteriore set di codici denominato inherence, comprende ciò che la persona è. Questi tre set sono interdipendenti: anche se uno dovesse essere scoperto da un soggetto terzo, gli altri rimangono scorrelati e non deducibili. Molte persone hanno già fatto esperienze di procedure di strong authentication, soprattutto nell’accesso ai conti correnti con funzionalità dispositive che prevedono da sempre la doppia autenticazione. Tuttavia, se tale concetto di autenticazione forte venisse applicato anche all’eCommerce per acquisti di pochi euro, potrebbero esserci ripercussioni sul sell-out complessivo del canale elettronico. Il grido di allarme è stato lanciato dai player dei pagamenti come Visa, che recentemente ha diffuso uno studio secondo il quale il 70% dei consumatori europei ritiene che ulteriori passaggi nella fase di checkout in ambito eCommerce li indurrà adabbandonare l’acquisto. Le previsioni di Visa appaiono invero un po’ catastrofiche: secondo il circuito di carte di credito, l’impatto sull’eCommerce verso siti extra Ue sarà negativo, con un crollo nelle transazioni fino a 6 miliardi di euro. Il motivo di tale situazione è imputabile, sostiene Visa, all’approccio dell’Eba (European Bank Autority) che in modo eccessivamente tranchant separa gli acquisti possibili con autenticazione semplice (come avviene oggi per tutti gli acquisti) da quelli che richiedono l’autenticazione forte. La soglia tra le due modalità è fissata a soli 10 euro. Questo si traduce all’eliminazione della maggior parte del check-out online istantanei compresi quelli con un click, perdita di un mercato importante extra Ue per i consumatori, code più lunghe nei processi di pagamento offline dovute a processi più complessi. Nonostante queste osservazioni siano ragionevoli e plausibili, occorre sottolineare che la Psd2 è uno di quei milestone che determinano un cambiamento epocale in cui i sistemi di pagamento dovranno evolvere di pari passo con la gestione delle identità digitali e con le tecnologie. Quest’ultime sono già disponibili, soprattutto quelle correlate alla biometria e alla sensoristica, che si dimostrano adatte per applicazioni di security. Già oggi è possibile utilizzare il sensore biometrico dello smartphone come doppio elemento di autenticazione.

La soluzione è tecnologica

L’introduzione della Psd2 prevede l’utilizzo dei dati di accesso ai conti correnti anche da parte di soggetti non bancari. Si apre così un mercato, quello dei pagamenti, che può offrire esperienze di acquisto inedite per il consumatore e soprattutto maggiormente aderenti alle aspettative dell’era mobile. Mark Up ha incontrato Fabrizio Tittarelli di CA Technologies per approfondire il tema.

Psd2 e strong authentication. Qual è il peso della tecnologia per risolvere le difficoltà del cambiamento?
L’attuazione della Psd2 richiede necessariamente  un  forte  approccio tecnologico. Basti pensare alle possibilità offerte dalle Api (application program interface). Oggi sono degli strumenti di programmazione preziosi senza dei quali lo sviluppo tecnologico avrebbe  una  velocità  inferiore.  Prendiamo ad esempio le grandi reti  globali:  Google, Facebook,  ecc., rendono disponibili a sviluppatori terzi le interfacce di programmazione che consentono di integrare servizi di grande valore e che tutti usiamo. Così un’impresa che volesse integrare un servizio di geolocalizzazione, può utilizzare le Google Maps con estrema facilità grazie proprio alle Api distribuite da Google. Con la Psd2 avviene la stessa cosa per i servizi bancari. Oggi se un soggetto terzo volesse accedere ai dati bancari, dovrebbe affrontare investimenti e superare difficoltà di implementazione notevoli per raggiungere gli obiettivi, soprattutto per garantire gli standard di sicurezza. Con le Api  messe  a  disposizione  dalle  banche, il problema si semplifica e tutto l’ecosistema può sviluppare servizi e nuovi business altrimenti impossibili. Le Api sono quindi il building block tecnologico da cui si parte, ciò che rende in pratica possibile l’apertura del mercato dei pagamenti.

Con la Psd2 arriva la strong authentication. Non si complica la vita al consumatore?
No, non lo credo anche se non bisogna sottovalutarne l’introduzione. La tecnologia è già avanti in questo ambito e rende possibile attuare l’autenticazione forte con modalità molto fluide per il consumatore finale, senza impattare sulla experience di acquisto. Se nel passato (e ancora oggi) le banche utilizzavano sistemi basati su token hardware, d’ora in poi le modalità saranno differenti. Oggi la  strong  authentication  si  può  attuare  in  modalità  totalmente  software, anche certificando i device come dispositivo abilitato alla procedura. Ma è possibile anche utilizzare procedure biometriche oppure tocken usa e getta sul device. Tutte possibilità che abbiamo sperimentato e implementato con successo.

Oggi gli smartphone con sensore  biometrico  hanno  una  discreta quota di mercato e sono in crescita.
Un esempio di strong authentication corrente è quella che offre PayPal con uno smartphone
dotato di lettore di impronte: alla password standard si aggiunge un secondo elemento di autenticazione multifattoriale.

LASCIA UN COMMENTO