I numerosi attacchi hacker e i tentativi di pishing degli ultimi anni hanno indotto le autorità pubbliche e aziende private a prendere contromisure per proteggere i loro dati sensibili.

Che cosa si può fare di più per proteggerli? Identificare in maniera sicura le persone che accedono a tutti i servizi digitali, per favorire ciò nasce la Strong Customer Authentication (SCA), ovvero l’autenticazione due fattori.

Cos’è l’autenticazione a due fattori

Si tratta di una procedura che serve a certificare la reale identità di un utente tramite l’utilizzo di più di un fattore.

Per fattori si intende la password, un PIN numerico, un token, una chiavetta oppure modalità di riconoscimento biometriche, attraverso l’impronta digitale o il volto.

La Strong Customer Authentication si caratterizza per la presenza di elementi che fanno riferimento a due delle seguenti categorie:

  • Conoscenza, fa riferimento a un’informazione che solo l’utente può avere, come password o PIN;
  • possesso, si tratta di un oggetto che ha fisicamente la persona che si sta identificando, ed è per questo che vengono utilizzati dispositivi fisici come chiavette e token;
  • inerenza, in questo caso è utilizzato qualcosa che identifica l’utente in modo univoco, come i lineamenti del volto e le linee dell’impronta digitale.

Sono elementi molto diversi tra loro e, soprattutto, indipendenti: significa che nel caso uno fosse violato l’altro rimarrebbe sicuro.

Solitamente il primo fattore di autenticazione è la classica password, alla quale segue l’identificazione con parametri biometrici o un token, oppure anche un OTP (One Time Password), un codice provvisorio, che ha una scadenza molto breve e che può essere utilizzato una sola volta.

Da fine 2020 la SCA è obbligatoria per i pagamenti digitali

Dal 31 dicembre 2020 l’esecuzione di questa procedura è divenuta lo standard anche per ogni pagamento online. La normativa europea obbliga alla Strong Customer Authentication sia le banche che gli istituti di carte di credito. Si tratta di una parte della più ampia direttiva PSD2 (Payment Service Directive 2), che regola tutto il mondo dei pagamenti digitali.

Oltre che per i pagamenti la SCA è usata anche per l’accesso a servizi che richiedono lo Spid o ai siti della Pubblica Amministrazione, questo vuol dire che per la gran parte dei cittadini è ormai diventata un’abitudine quotidiana avere a che fare con password, OTP, codici dei token.

MyInfoCert ti offre un’ esperienza totalmente passwordless

InfoCert viene incontro agli utenti delle applicazioni digitali che richiedono la Strong Customer Authentication con MyInfocert. Si tratta dell’app, gratuita per tutti i clienti, che gestisce gli account di coloro che usano Spid, Pec, Firma Digitale, e, appunto, abilita la SCA per l’utilizzo di questi servizi. L’utente che ha lo Spid InfoCert può effettuare in modo automatico e rapido l’accesso ai siti dove è richiesto lo SPID, grazie all’app.

Uno dei vantaggi della soluzione è la possibilità di avere un’esperienza passwordless sia per l’inserimento del primo fattore di autenticazione che per quello del secondo. Se in quest’ultimo caso è ormai comune l’abilitazione di strumenti biometrici, come l’impronta digitale o il proprio volto, per quanto riguarda il primo step finora era d’obbligo inserire l’account e la password. Grazie all’app MyInfoCert viene superato anche questo passaggio.

Ora è possibile autenticarsi sui siti che richiedono la Strong Customer Authentication, per esempio l’Agenzia delle Entrate, inquadrando un QR Code e scansionandolo con la propria app MyInfoCert, che già contiene i propri dati. Questo migliora la customer experience e il livello di comfort dell’utente, che non deve ricordarsi necessariamente la propria password. Ad essere migliorata è anche la sicurezza.

Tutti i servizi di MyInfoCert

In un’ unica app sono contenuti tutti gli account posseduti per i vari servizi InfoCert, è possibile anche cambiare le credenziali che servono a utilizzarli, nonché i dati personali, e chiedere assistenza e supporto tecnico in caso di difficoltà.  MyInfoCert consente di abilitare l’autenticazione forte anche per l’accesso alla Posta elettronica Certificata LegalMail, per essere più protetti da eventuali furti d’identità, e garantire a chi riceve una missiva che la persona che l’ha inviata è effettivamente quella.

Gli utenti che hanno già scelto MyInfoCert sono circa 1,5 milioni.  MyInfoCert risulta essere un “digital wallet” dove  i clienti possono salvare e certificare le proprie informazioni, sfruttando il paradigma della Blockchain che consente all’utente di avere il pieno controllo della propria identità