L’evoluzione della gestione dei pagamenti online, iniziata con la nuova Direttiva europea sui Servizi di Pagamento, si è aggiornata con la Strong Customer Authentication che richiede l’aggiunta di ulteriori modalità di autenticazione e verifica durante i pagamenti.
L’apparente complessità nel concludere un pagamento, legata alle nuove procedure di sicurezza e autenticazione, potrebbe scoraggiare i clienti durante l’acquisto e i negozi online potrebbero subire un contraccolpo.
L’aumento della sicurezza può aiutare però i consumatori a superare dubbi e perplessità, rendendo i sistemi di pagamento sempre più trasparenti e incorruttibili e rafforzando il rapporto di fiducia con i propri clienti.
La cosiddetta Autenticazione Forte rientra tra i meccanismi della PSD2 che definisce meglio l’evoluzione dell’utilizzo dei sistemi di pagamento elettronico con l’obiettivo di aumentare la sicurezza nelle transazioni.
Il forte incremento delle vendite On-Line sta portando sempre più le imprese e attività a promuovere e sostenere vendite di beni e servizi online, costituendo una grande opportunità di sviluppo del business e in questo senso la PSD2 ha accelerato i processi di trasformazione digitale, stimolando il sistema bancario e i rapporti tra le banche ed altri soggetti nel mercato.
Punto fondamentale è la possibilità di autorizzare terze parti (TPP) ad ottenere dati e attivare disposizioni di pagamento sui conti correnti dei clienti nel momento in cui hanno ottenuto una autorizzazione diretta.
L’enorme sviluppo dell’eCommerce sta portando a un volume sempre più alto di scambi di prodotti e servizi che sono strettamente correlati a forme di pagamento digitali.
PSD2 porta sul mercato nuovi standard di sicurezza per l’accesso ai servizi bancari, ed è strutturata per identificare e autenticare in modo univoco il cliente con la SCA.
L’autenticazione forte si realizza combinando elementi specifici come password, PIN, accesso a device di proprietà come smartphone o ancora tramite l’identificazione biometrica di tratti somatici personali (impronte, viso…) ed è pensata per permettere di identificare e autenticare in maniera univoca il cliente e la tipologia di operazione che deve effettuare con lo scopo di impedire o ridurre al massimo le azioni fraudolente da parte di soggetti terzi non autorizzati.
Cresce ogni giorno il numero delle grandi imprese che entrano nel mondo dei pagamenti digitali: aziende e organizzazioni attive anche in settori “lontani” dal payment e dal banking stanno investendo risorse importanti per dotarsi di servizi in grado di gestire anche i pagamenti digitali.
Secondo alcuni analisti, gli acquisti online stanno crescendo a due digit anno su anno e di questo passo si arriverà presto ad un mercato da 50 miliardi di euro all’anno in breve tempo.
La normativa prevede tre livelli di “azione”
Payment Initiation
Con Payment Initiation si intende un servizio per disporre un pagamento su richiesta dell’utente su un conto di pagamento detenuto presso un altro prestatore di servizi di pagamento.
Account Information
Per Account Information, si deve intendere un servizio in grado di mettere a disposizione dati relativi ai servizi di payment che un utente ha attivi presso altri servizi di pagamento oltre a quello principale.
Funds Checking
Funds Checking, rappresenta il servizio di un prestatore di soluzioni di pagamento diverso dalla banca dove il cliente ha attivo il proprio conto e attiene alla possibilità di avere informazioni dalla banca sulla disponibilità di fondi, in funzione dell’erogazione di un servizio di pagamento
I fattori chiave della Strong Customer Authentication
La SCA necessità di verificare l’autenticazione forte utilizzando almeno due di questi tre elementi:
Identificazione con una password o con un PIN: qualcosa di criptato che l’utente conosce come una parola chiave piuttosto che un codice o una domanda di sicurezza;
Identificazione tramite device: tipicamente un device come lo smartphone piuttosto un device portatile o ancora un token bancario;
Identificazione con qualcosa di fisico: impronta digitale o lineamenti biometrici del viso, ovvero tratti che, in qualche modo, sono in grado di caratterizzare il cliente identificandolo nella sua persona in modo univoco.
I casi di esenzione dall’autenticazione forte
La nuova normativa prevede che alcune tipologie di transazioni possano essere esentate dal processo SCA a due livelli. In particolare si tratta di diverse tipologie di payment o transaction con queste caratteristiche:
Transazioni con un importo modesto
Rientrano le transazioni al di sotto dei 30 euro e se ripetute nelle 24 ore non superano i 100 euro o una serie di cinque transazioni esenti.
Pagamenti ricorsivi con un valore fisso
Rappresentato da canoni di abbonamenti, con l’autenticazione forte solo per la prima transazione.
Pagamenti verso merchant che vengono identificati come beneficiari credibili, l’autenticazione forte viene richiesta al primo pagamento.
L’azienda di e-commerce ha la possibilità di implementare un’autenticazione definitiva, o un’autorizzazione valida nel tempo in cui il cliente accerta la sua identità e non avrà bisogno di ulteriori autenticazioni.
Sicuramente le aziende avranno necessità di essere affiancate da partner strategici in grado di gestire tutte le procedure di adeguamento alla nuova normativa e le particolarità di questa complessa legislazione europea.
Il mondo retail fortemente impattato dallo SCA
L’attuazione della SCA interessa una larga platea di aziende e settori, ma in particolare evidenziamo quello del retail, che dovranno adottare importanti misure per rispettare i nuovi standard della normativa europea, sviluppando nuove roadmap finalizzate a definire nuovi livelli di sicurezza e un approccio graduale all’autenticazione per non allontanare gli utenti.
Un ambito di sviluppo importante è quello dell’e-commerce attraverso smartphone, un dispositivo sempre più utilizzato dagli utenti e che permette varie forme di riconoscimento biometrico per l’autenticazione forte rendendo minimo l’impatto sugli utenti.
La normativa europea: le fonti
La Strong Customer Authentication è normata dal Regolamento Delegato UE 2018/389 della Commissione Europea del 27 novembre 2017. Il regolamento integra la precedente direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio e attiene alle norme tecniche di regolamentazione per l’autenticazione forte del cliente definendo gli standard aperti di comunicazione comuni e sicuri.
Nel 2007 era stata promulgata la prima Payments Service Directive (PSD), che aveva lo scopo di favorire la competizione a livello pan-Europeo ampliando la validità ai soggetti non bancari e armonizzando le regole per una ulteriore sicurezza dei consumatori e nello stesso tempo prevedendo come ulteriore passo l’introduzione di un contesto normativo per la SEPA (Single Euro Payments Area) all’interno dell’area europea.
La potente l’evoluzione delle tecnologie digitali e l’affacciarsi sul mercato di nuovi operatori del mondo finanziario ha richiesto la rilettura e il completamento della stessa PSD per un adeguamento.
Questo è stato fatto con la Direttiva 2015/2366/UE (PSD2) che ha aumentato la sicurezza nei pagamenti e la protezione del consumatore, favorendo l’innovazione e la competizione dando parità di condizioni per accedere a questo mercato.
La direttiva PSD2 regolamenta ulteriori attività dei PSP introducendo tre modelli di servizio, facendo evolvere i termini di sicurezza e affidabilità con una attenzione particolare per il mercato retail e corporate, aumenta la concorrenza con l’accesso ai canali proprietari delle Banche (più sicuri) verso istituti non bancari, definiti Payment Service Provider (PSP).
Come principale obiettivo della normativa rimane la sicurezza nell’effettuare pagamenti elettronici che viene introdotta attraverso l’Autenticazione Forte del Cliente (Strong Customer Authentication – SCA) basata sulle molteplici informazioni che solo il cliente conosce.