Politecnico di Milano

Pagamenti online con doppia autenticazione, così fanno le banche nel 2021

È entrata in vigore il 31 dicembre la nuova normativa europea per la sicurezza dei pagamenti digitali, che obbliga all’utilizzo della cosiddetta Strong Customer Authentication (SCA) o “autenticazione forte”. Ecco cosa cambia, che fanno le banche a un’analisi del Polimi e perché i merchant temono un calo del fatturato

Pubblicato il 18 Gen 2021

Matteo Risi

Osservatorio Innovative Payments del Politecnico di Milano

pagamenti digitali

Sono giorni di grande apprensione per il mondo dei pagamenti online e dell’eCommerce: dopo un iniziale rinvio di 15 mesi è entrata ufficialmente in vigore dal 31 dicembre 2020 la nuova normativa europea (inserita nella PSD2) per la sicurezza dei pagamenti digitali, che obbliga all’utilizzo della cosiddetta Strong Customer Authentication (SCA) o “autenticazione forte”. Un momento che porterà a diversi cambiamenti nel modo in cui effettuiamo i pagamenti, soprattutto online, e che in molti temono possa avere un impatto negativo sulle vendite online.

In particolare a un’analisi del Politecnico di Milano su 33 banche, risulta che sono adottati due approcci alla normativa: uno più conservativo (con sms e ulteriore password) e uno più innovativo tramite notifica push e autenticazione app.

Cos’è la “strong customer authentication”

Si tratta di una norma che impone la doppia verifica dell’identità del pagatore al momento di un acquisto effettuato con uno strumento di pagamento digitale, al momento del login sulla propria banca online e al momento della disposizione di operazioni bancarie online. Introdotta dal legislatore europeo all’interno della seconda Payment Service Directive (PSD2), la Strong Customer Authentication ha l’obiettivo di minimizzare il rischio di “furti” di denaro dalle nostre carte/wallet di pagamento o dai nostri conti correnti.

La doppia verifica che viene richiesta si compone di due fattori che devono appartenere a due ambiti distinti tra questi tre:

  • Conoscenza – qualcosa che solo l’utente conosce, come password, PIN, domande di sicurezza o swiping path;
  • Possesso – qualcosa che solo l’utente possiede, ad esempio lo smartphone o un token bancario;
  • Inerenza – qualcosa che caratterizza l’utente, come l’impronta digitale, il riconoscimento facciale o vocale, o ancora lo scan dell’iride.

Se nei pagamenti in negozio la questione non si pone, in quanto il possesso fisico della carta (qualcosa che solo l’utente ha) abbinato all’inserimento del PIN (qualcosa che solo l’utente conosce) riassume esattamente le caratteristiche di un’autenticazione forte, ciò non è altrettanto semplice nel mondo online. In questo caso conoscere i dati della propria carta non garantisce il possesso fisico della stessa, né di essere la sola persona a conoscenza di quei numeri; l’autenticazione, infatti, avviene solitamente con un sms inviato direttamente al titolare (qualcosa che solo lui ha: la propria SIM). Questo, tuttavia, rappresenta solo uno dei due fattori che sono richiesti dalla nuova normativa. Vediamo quindi nel dettaglio cosa cambia con le nuove regole.

Cosa cambia con le nuove regole nelle banche

Se il fatto di ricevere l’SMS con il codice da digitare online al momento del pagamento poteva sembrare fastidioso, ma ci confortava sotto il punto di vista della sicurezza, a partire dal 2021 il processo di autenticazione si “complicherà” a vantaggio di una maggior sicurezza della transazione. L’adeguamento che i merchant hanno dovuto integrare nei loro eCommerce è stato fornito dalle banche acquirer (dei merchant stessi), le quali hanno costruito il sistema in accordo con le banche issuer (del titolare della carta), coloro che hanno il vero compito di rendere conforme il servizio lato consumatore e garantirne la corretta applicazione.

Da un’analisi dell’Osservatorio Innovative Payments della School of Management del Politecnico di Milano su 33 delle maggiori banche e istituti di carte di credito operanti in Italia possiamo capire quali saranno i cambiamenti che questi istituti apporteranno al processo di pagamento online dei propri clienti.

Tutte e 33 offrono già ora, in rispetto della normativa, metodi di autenticazione che adottano due fattori di verifica dell’identità del pagatore. In particolare, esistono due diversi approcci.

Quando entra in vigore e perché è stata rimandata

L’entrata in vigore di queste nuove regole per la sicurezza dei pagamenti è stata prorogata di 15 mesi, dal 14 settembre 2019 al 31 dicembre 2020. Una proroga fortemente richiesta da tutti gli attori coinvolti nei pagamenti online, compresi gli stessi merchant online, e da tutti i paesi membri dell’Unione. Si tratta, infatti, di una norma che pone serie questioni su di una possibile perdita di volumi e di fatturato per tutto l’ecosistema. Chi gestisce un eCommerce lo sa: ogni click in più può portare a perdere il cliente e la vendita. Ecco, dunque, che i timori per l’introduzione di nuovi step di autenticazione risultano più che comprensibili.

Da un lato, in caso di autenticazione con SMS+PIN/password, il cliente potrebbe non essere a conoscenza del fatto che gli verrà chiesto un ulteriore PIN per autenticarsi o non aver impostato il nuovo PIN con la propria banca (ove richiesto) o ancora, in caso di PIN già impostato, non ricordarselo. Dall’altro, in caso di autorizzazione su app, potrebbe avere problemi con la ricezione delle notifiche o un’applicazione bancaria rallentata che non riesce a rispondere in maniera tempestiva nel momento del pagamento.

Nonostante i 15 mesi di proroga, i timori rimangono forti e diverse banche nazionali hanno potuto concedere ancora qualche mese di transizione. La Banca d’Italia permette agli operatori di evitare di imporre ai consumatori la SCA per transazioni fino a 1.000 euro durante tutto gennaio, quota che si abbasserà a 500 euro per febbraio e a 100 euro a marzo, per arrivare ad aprile con la piena entrata in vigore della Strong Customer Authentication. Un approccio adottato anche, con piccole variazioni, da Germania, Francia, Spagna, Belgio, Austria e Irlanda. Il Regno Unito forte della Brexit rimanderà completamente tutto a settembre 2021.

Conclusioni

Come nella maggior parte dei casi, la conoscenza delle nuove procedure sarà fondamentale per non farsi trovare impreparati e non farsi intimidire dai cambiamenti in atto. Tuttavia, dobbiamo essere anche consci del fatto che la customer experience per gli utenti ne possa risentire negativamente, soprattutto nel periodo iniziale, con conseguenti perdite del fatturato online.

Fortunatamente, le nuove regole concedono diversi spazi “di manovra” che consentono ai prestatori di servizi di pagamento di bypassare, sotto diverse e precise condizioni, la temuta autenticazione a due fattori. L’autenticazione forte, inoltre, è valida solo per pagamenti che avvengono all’interno dell’Unione Europea. Non sarà quindi improbabile effettuare pagamenti online che non richiedano il doppio step di autenticazione.

Le banche e i fornitori di servizi di pagamento, dunque, sono pronti, sia quelli dei consumatori sia quelli dei commercianti online, ora bisognerà capire quanto saranno pronti i consumatori. Un ruolo fondamentale, naturalmente, è giocato dalla comunicazione verso i clienti da parte di questi attori. Quanto più saranno stati capaci di dialogare con i propri clienti, tanto meno problemi vi saranno al momento dell’arrivo della Strong Customer Authentication.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2