Il 14 settembre 2019 è entrata in vigore la strong customer authentication (Sca), l’ultimo step definito dall’Eba (European Banking Authority) a completamento della Psd2, la direttiva sui pagamenti che apre il mercato a soggetti non bancari. Per effettuare una transazione online e quindi un acquisto, con la Sca è necessario un’autenticazione a due fattori. Un fattore può essere la solita password e un secondo l’impronta biometrica. Questo tipo di approccio incrementa la sicurezza delle transazioni ma pone un gradino aggiuntivo che, inevitabilmente, introduce un elemento di “frizione” nel processo di acquisto. Comprensibili, quindi, le diverse preoccupazioni per il business dell’eCommerce dove le previsioni più catastrofistiche ipotizzano ingenti contrazioni di fatturato derivanti dalla complessità e ridondanza delle nuove procedure. Per esempio, secondo le stime di Stripe, un player tecnologico che offre un’infrastruttura per le transazioni finanziarie via Internet, l’Europa rischia di perdere complessivamente fino a 57 miliardi di euro nei primi 12 mesi successivi all’attivazione della Sca. Il problema è da identificarsi nella sensazione di un “pagamento difficoltoso” da parte dei consumatori che incentiverebbe, quindi, l’abbandono dei carrelli virtuali. Il punto di partenza è che gli attuali approcci esistenti nel commercio elettronico basati in larga misura su pagamenti con carta, non sarebbero conformi allo Sca. Tra questi anche i più utilizzati dove il consumatore inserisce nel sito del merchant i dati stampati sulla carta di credito. Ma c’è di di più. Questa usuale procedura non è conforme alla Sca neppure se affiancata da un protocollo di comunicazione come Emv 3-D Secure o con un solo elemento conforme alla Sca (come sms Otp, dove Otp sta per one time password). E questo è effettivamente un elemento di criticità anche perché i merchant europei faticano a tenere il passo dell’evoluzione normativa. Secondo una ricerca di Mastercard svolta nel primo semestre 2019 a livello europeo, emerge che il 75% del campione non conosce i cambiamenti fondamentali portati dalla Sca e solo il 14% degli esercenti europei dimostra di essere pronto al nuovo standard. In ogni caso, i maggiori circuiti di carte di credito hanno già messo a punto sistemi di autenticazione e transazione compatibili con la Sca. Un esempio è l’Identity Check di Mastercard che utilizza le feature di gestione dei dati biometrici dei moderni smartphone come il riconoscimento facciale.
Soddisfare la “Inerenza”
I singoli Stati dell’Unione hanno dovuto recepire la Direttiva Psd2 nella propria legislazione nazionale entro il 13 gennaio 2018 (il Parlamento italiano lo ha fatto l’11 dicembre 2017), nella quale, tuttavia, viene fissato al 14 settembre 2019 un ulteriore step in merito, ovvero l’introduzione della Sca (Strong Customer Authentication). Per Sca si intende un tipo di “autenticazione forte” applicata per tutte le transazioni elettroniche remote con l’obiettivo di minimizzare le frodi e aumentare la sicurezza dei pagamenti digitali. A questo proposito, i pagamenti sono accettati solo sulla base di un’autenticazione a due fattori, che può essere portata a termine per “Inerenza”, ovvero tramite qualcosa di univoco che contraddistingue l’utente, come qualche caratteristica fisica, ad esempio la sua impronta digitale; per “Possesso”, ovvero tramite l’utilizzo di una password temporanea (come la Otp - One Time Password”, una password che è quindi valida solo per un singolo accesso o transazione) generata tramite token mobile (una app su smartphone) o token fisico (ad esempio una “chiavetta”); e per “Conoscenza” (ad esempio la password personale o il Pin che solo l’utente conosce).
In merito all’autenticazione forte, l’Eba è incaricata di rispondere alle numerose interrogazioni pervenute dai soggetti coinvolti su questo punto e, in particolare, su quale procedura o combinazione di elementi di autenticazione può o meno costituire una Sca Psd2 compliant. Numerosi stakeholder hanno inoltre espresso preoccupazioni in merito allo stato di “preparazione” dell’eCommerce circa la ricezione dei nuovi requisiti Sca. È obbligatorio che tutti gli attori adottino le misure necessarie per applicare o richiedere Sca ed evitare così situazioni in cui le transazioni di pagamento vengano rifiutate, bloccate o interrotte. Più nel merito, in risposta a queste e tante altre perplessità, l’Eba, con un Parere pubblicato il 21 giugno 2019, ha sottolineato l’importanza del coinvolgimento attivo dei consumatori che devono essere informati adeguatamente sul passaggio in corso. Importante è anche l’indipendenza tra le due fasi di autenticazione obbligatoria previsti dalla Sca, rientranti nelle categorie di classificazione (Inerenza, Possesso, Conoscenza): l’indipendenza infatti garantisce che la compromissione di uno dei due fattori di autenticazione, non pregiudichi l’affidabilità dell’altro elemento. Per mitigare le criticità iniziali è stato previsto un possibile periodo di transizione, implementabile con l’accordo delle autorità nazionali competenti in materia, le quali si impegnano ad affiancare tutti i soggetti coinvolti fino al totale recepimento e conformità alla Direttiva, prevedendo anche apposite strategie di comunicazione volte alla sensibilizzazione degli utenti online.
