Strong Customer Authentication: Quali sono le regole dettate dalla PSD2?

Pubblicato : 8 Aprile 2021

Autenticazione forte del cliente (Strong Customer Authentication, o SCA): Quali sono le regole dettate dalla PSD2?

In questo articolo, discuteremo un aspetto della PSD2 che ha un impatto diretto sui commercianti: l’autenticazione forte del cliente (o SCA, dall’inglese, Strong Customer Authentication) al momento del pagamento.

A partire dal 1° gennaio 2021, i commercianti dovranno adattarsi alla SCA, che mira ad aumentare la sicurezza dei pagamenti e proteggere i dati sensibili sui pagamenti dei consumatori. Ciascun paese recepirà la legislazione dell’UE a livello locale, iniziando con una piena applicazione o graduale.

Quali sono le caratteristiche della Strong Customer Authentication?

Affinché un’autenticazione soddisfi i criteri della PSD2, deve combinare almeno 2 di questi 3 fattori:

Per autenticare fortemente un pagamento online, ad esempio, i consumatori dovranno utilizzare il proprio telefono (proprietà, qualcosa che possiedi) e autenticarsi tramite l’impronta digitale (inerenza, qualcosa che sei).

Il metodo di autenticazione sicura 3D Secure, utilizzato per i pagamenti con carta di credito evolverà verso una versione 2.0. Oggi, prima della convalida di un pagamento con carta, il 3-D Secure prende in considerazione due elementi: il numero della carta e il codice inviato via SMS al pagatore.

A partire dal 1° gennaio 2021, il numero di carta di credito non sarà più considerato un fattore di autenticazione valido, in quanto può essere letto da un qualsiasi utente malintenzionato. Pertanto, questo fattore verrà sostituito da un altro fattore che soddisfa i requisiti della PSD2, come la biometria con il protocollo 3-D Secure 2.0.

In quali casi si applica l’autenticazione forte del cliente?

Le regole della Strong Customer Authentication diventeranno obbligatori nei seguenti casi, sia per privati che per professionisti:

  • Per la consultazione di un conto bancario online avviato dal consumatore o da un AISP (Account Information Service Provider).
  • Aggiungere un beneficiario allo spazio bancario online, in quanto ciò potrebbe portare a transazioni fraudolente.
  • Durante un pagamento online avviato dal consumatore o da un Servizio di disposizione di ordine di pagamento (PISP, ovvero Payment Initiation Service Provider).

Quali sono le esenzioni dalla SCA?

Per i pagamenti online, la PSD2 ha concesso alcune esenzioni per escludere la SCA:

  • Pagamenti inferiori a 30€

Per le transazioni di importo inferiore a 30€, fino a 100€ cumulativi o fino a 5 transazioni consecutive dall’ultima SCA non è richiesta l’Autenticazione forte del cliente. Oltre i 100€ o per più di 5 transazioni non autenticate è richiesta una nuova SCA.  

  • Transazioni ricorrenti a importo fisso e verso lo stesso beneficiario

Non è richiesta una nuova SCA se l’importo e il destinatario del pagamento è sempre lo stesso.  

  • Pagamento a un beneficiario affidabile

Il pagatore può dichiarare beneficiari di fiducia, inclusi in una lista “bianca” nella sua banca, per i quali non è richiesta una SCA per ogni pagamento.

  • Bonifici a se stessi

La SCA non si applica quando si effettua un bonifico a sé, ma solo se entrambi i conti sono nella stessa banca.

  • Analisi del rischio delle transazioni (TRA: Transactional Risk Analysis)

Per pagamenti online da 30 a 500 euro, la SCA può essere disattivata grazie alla TRA. 

  • Transazioni avviate dall’esercente commerciante (note come MIT: Merchant Initiated Transaction)

Le transazioni MIT sono soggette alla SCA, tranne quando il cliente firma un mandato. Ad esempio, nei casi in cui gli addebiti diretti SEPA sono disposti dal commerciante che detiene  un mandato firmato dal cliente, la SCA non è applicabile e non ci sono restrizioni, indipendentemente dalla frequenza o dalla quantità.

La sfida sta nel bilanciare la sicurezza dei pagamenti con un’esperienza cliente senza attriti, evitando passaggi aggiuntivi che potrebbero influire sul tasso di conversione.

This post is also available in: English Français Español