La Strong Customer Authentication (SCA), cioè l'autenticazione del cliente tramite un sistema multifattoriale, è un requisito per servizi online che richiedono un elevato livello di sicurezza.

La SCA è correntemente utilizzata dalle banche, dai prestatori di servizi di pagamento anche per servizi diversi da quelli di pagamento, laddove si richiesto un elevato livello di confidenza sull'identità della controparte.

La SCA prevede che per alcuni tipi di pagamento in alcune condizioni sia chiesto al cliente una autenticazione a due fattori o più.

Con l’entrata in vigore di questa nuova normativa, verrà richiesta al cliente un’autenticazione più approfondita, in particolare la SCA richiederà per l'autenticazione la verifica di almeno due di questi tre elementi:^[1]

1. conoscenza: identificazione tramite un codice mnemonico che solo il cliente conosce, per es. una parola chiave piuttosto che un codice (PIN) o una domanda di sicurezza;
2. possesso: identificazione tramite qualcosa che è in possesso del cliente e che quest'ultimo può utilizzare, tipicamente una carta di debito o di credito, un dispositivo come lo smartphone piuttosto che una smart key o ancora un token bancario;
3. inerenza: identificazione con una caratteristica fisica del cliente, per es. impronta digitale o lineamenti biometrici del viso, ovvero tratti che sono in grado di caratterizzare il cliente identificandolo in modo univoco.

Si tratta di una regola rigida ma permetterà all'utente finale una protezione maggiore da possibili frodi finanziarie, inoltre questa normativa si rivela vantaggiosa anche per i negozianti tramite commercio elettronico che potranno godere di una maggiore affidabilità, dando l’opportunità di incrementare la clientela che si dedicherà allo shopping online con maggiore predisposizione.

La nuova normativa prevede che alcune tipologie di transazioni possano essere esentate dal processo SCA a due livelli, in particolare:^[2][1]

• Le transazioni che prevedono un importo al di sotto dei 30 euro, che, se ripetute nel corso del tempo e sommate in un arco di 24 ore non superino i 100 euro o una serie di cinque transazioni consecutive. Nel caso si dovesse arrivare a queste numeriche scatta il meccanismo dell’autenticazione SCA.
• Per transazioni a basso rischio, ovvero quelle operazioni che sono analizzate dai fornitori di servizi di pagamento e nel momento in cui la soglia della percentuale di frodi del fornitore di servizi di pagamento rimane al di sotto dei parametri relativi ai pagamenti su carta esclude l’adozione della SCA.
• Pagamenti ricorsivi con un valore fisso. Ad esempio degli abbonamenti a dei servizi, in queste circostanze la autenticazione forte entra in azione solo per la prima transazione mentre non viene richiesta per tutti i successivi rinnovi che possono essere considerati come delle operazioni automatiche. In caso di cambi di valore da parte del servizio o della modalità di utilizzo dello stesso, verrà richiesta nuovamente l'autenticazione forte per completare il pagamento.
• Nel caso di pagamenti verso venditori identificati come beneficiari credibili. In questo caso l’autenticazione forte viene richiesta al primo pagamento nei pagamenti successivi si potranno effettuare pagamenti senza SCA.

Per le Banche ed i PSP (Prestatori di Servizi di Pagamento), l'utilizzo della SCA è un requisito disciplinato dalla seconda Direttiva dell'Unione Europea (UE) 2015/2366 sui Sistemi di Pagamento PSD2^[3] e del Regolamento delegato della Commissione Europea n. 2018/389 del 27 novembre 2017 ^[2], e richiesto sia per servizi di pagamento bancario (SCT o bonifico, SCTinst o bonifico istantaneo, pagamenti Target 2 e Target 2 cross-border, ecc), che per servizi informativi che richiedono lo scambio di dati confidenziali, come per es. il saldo del conto, l'elenco dei movimenti ecc.

• Autenticazione a due fattori
• Prestatori di servizi di pagamento

Portale Diritto

Portale Sicurezza informatica