STRONG CUSTOMER AUTHENTICATION DAL 14 SETTEMBRE 2019, UNA SCADENZA DA NON SOTTOVALUTARE
Nell’ambito della progressiva attuazione della Second Payment Services Directive (PSD2), la Direttiva UE sui servizi di pagamento nel mercato europeo, il 14 settembre 2019 rappresenta una data importante e che, in base al giudizio espresso su dati recentemente raccolti da Mastercard, faremmo bene a non sottovalutare. Infatti, da tale data, in tutta l’Unione Europea, l’autenticazione dei clienti per qualunque attività di compravendita online dovrà basarsi su sistemi di Strong Customer Authentication (SCA).
Facendo seguito a una prima direttiva sui servizi di pagamento, la PSD2 è stata approvata dalla Commissione Europea a dicembre del 2015 ed è entrata in vigore il 13 gennaio 2018 per rispondere ai rapidi cambiamenti intercorsi nel settore dei pagamenti. Al crescente utilizzo di piattaforme di e-commerce e sistemi di pagamento online ha infatti corrisposto una crescita parallela del cyber crimine e dei casi di frode e furto di dati bancari e carte di credito online.
In questo contesto, la SCA definisce nuovi standard di sicurezza in grado di supportare tecnologie più all’avanguardia per i pagamenti digitali e prevede che aziende, imprese e le centinaia di migliaia di commercianti che vendono prodotti e servizi online aggiornino i propri processi di pagamento entro il 14 settembre 2019.
Per verificare come ci si sta preparando a questa nuova scadenza Mastercard ha condotto uno studio su 17 Paesi europei. Il quadro che ne è emerso non è proprio incoraggiante: il 75% dei soggetti intervistati non risulta essere a conoscenza delle novità introdotte dalla normativa; solo il 14% di questi risulta pronto a rispondere ai requisiti previsti, mentre il 51% si dice intenzionato ad adottare le misure necessarie successivamente al mese di settembre 2019 o a non adottarle affatto.
Secondo Ron van Wezel – Senior Analyst di Aite Group – «il ritardo sulla roadmap rischia di mettere in seria difficoltà il mercato europeo dell’e-commerce: in India, nel 2014, l’entrata in vigore di una regolamentazione molto simile a quella che vedrà la luce a settembre in Europa ha provocato un calo delle conversioni di oltre il 25% nella fase iniziale a causa della tardiva applicazione delle nuove procedure di pagamento».
IN CHE CONSISTE LA STRONG CUSTOMER AUTHENTICATION?
La Strong Customer Authentication definita dalla PSD2 prevede che al momento di effettuare un pagamento tramite sistemi elettronici, l’identità dell’acquirente sia verificata attraverso due o più livelli di autenticazione basati su:
- qualcosa che solo l’utente conosce (una password, un pin, una risposta segreta, ecc.);
- qualcosa che l’utente possiede (cellulare o altro dispositivo personale, una smart card, un token, ecc.);
- una caratteristica fisica univoca dell’utente (impronta digitale, scansione del volto, impronta vocale, ecc.).
Finora, la maggior parte dei pagamenti online con carta di credito ha sfruttato un sistema noto come 3D Secure 1.0, che rimanda l’utente a una nuova pagina web su cui inserire un codice per confermare la sua identità e il pagamento. Ora una nuova specifica, 3D Secure 2.0, permette di realizzare migliori e più immediate esperienze d’acquisto, riducendo al contempo il tasso di frodi.
3DS 2.0 utilizza SDK (Software Development Kit) e API (Application Programming Interface) certificati per condividere rich authentication data con le Banche, offre la possibilità di autenticare una transazione utilizzando dati biometrici (impronta digitale e scansione del volto sullo smartphone ad esempio), elimina la necessità di mostrare finestre popup per confermare i pagamenti, apre le porte al mobile payment e all’uso di digital wallet. Inoltre, la nuova specifica prevede la possibilità di pagamenti frictionless (autorizzati senza ulteriori misure di sicurezza) al verificarsi di determinati condizioni che garantiscono bassi livelli di rischio.
Con la PSD2, dal 14 settembre 2019, le aziende con un certo volume d’affari dovranno adottare sistemi basati sullo standard 3DS 2.0 per soddisfare nel modo più efficace i requisiti di SCA.
Operando come Qualified Trust Service Provider (QTSP) nell’ambito del Reglamento europeo eIDAS, InfoCert ha un ruolo importante nel nuovo scenario aperto dalla PSD2. Con le sue soluzioni InfoCert può elevare la sicurezza e il trust sia dei processi di riconoscimento e autenticazione, permettendo di aprire il rapporto con un cliente in modo sicuro e conforme alle norme AML (Anti Money Laundering), che delle relazioni tra Third Party Provider (TPP) e Banche, grazie a Certificati Qualificati con estensioni PSD2.
24 aprile 2019
SCOPRI DI PIÙ SU