Politecnico di Milano

Pagamenti online con doppia autenticazione, così fanno le banche nel 2021

È entrata in vigore il 31 dicembre la nuova normativa europea per la sicurezza dei pagamenti digitali, che obbliga all’utilizzo della cosiddetta Strong Customer Authentication (SCA) o “autenticazione forte”. Ecco cosa cambia, che fanno le banche a un’analisi del Polimi e perché i merchant temono un calo del fatturato

Pubblicato il 18 Gen 2021

Matteo Risi

Osservatorio Innovative Payments del Politecnico di Milano

pagamenti digitali

Sono giorni di grande apprensione per il mondo dei pagamenti online e dell’eCommerce: dopo un iniziale rinvio di 15 mesi è entrata ufficialmente in vigore dal 31 dicembre 2020 la nuova normativa europea (inserita nella PSD2) per la sicurezza dei pagamenti digitali, che obbliga all’utilizzo della cosiddetta Strong Customer Authentication (SCA) o “autenticazione forte”. Un momento che porterà a diversi cambiamenti nel modo in cui effettuiamo i pagamenti, soprattutto online, e che in molti temono possa avere un impatto negativo sulle vendite online.

In particolare a un’analisi del Politecnico di Milano su 33 banche, risulta che sono adottati due approcci alla normativa: uno più conservativo (con sms e ulteriore password) e uno più innovativo tramite notifica push e autenticazione app.

Cos’è la “strong customer authentication”

Si tratta di una norma che impone la doppia verifica dell’identità del pagatore al momento di un acquisto effettuato con uno strumento di pagamento digitale, al momento del login sulla propria banca online e al momento della disposizione di operazioni bancarie online. Introdotta dal legislatore europeo all’interno della seconda Payment Service Directive (PSD2), la Strong Customer Authentication ha l’obiettivo di minimizzare il rischio di “furti” di denaro dalle nostre carte/wallet di pagamento o dai nostri conti correnti.

La doppia verifica che viene richiesta si compone di due fattori che devono appartenere a due ambiti distinti tra questi tre:

  • Conoscenza – qualcosa che solo l’utente conosce, come password, PIN, domande di sicurezza o swiping path;
  • Possesso – qualcosa che solo l’utente possiede, ad esempio lo smartphone o un token bancario;
  • Inerenza – qualcosa che caratterizza l’utente, come l’impronta digitale, il riconoscimento facciale o vocale, o ancora lo scan dell’iride.

Se nei pagamenti in negozio la questione non si pone, in quanto il possesso fisico della carta (qualcosa che solo l’utente ha) abbinato all’inserimento del PIN (qualcosa che solo l’utente conosce) riassume esattamente le caratteristiche di un’autenticazione forte, ciò non è altrettanto semplice nel mondo online. In questo caso conoscere i dati della propria carta non garantisce il possesso fisico della stessa, né di essere la sola persona a conoscenza di quei numeri; l’autenticazione, infatti, avviene solitamente con un sms inviato direttamente al titolare (qualcosa che solo lui ha: la propria SIM). Questo, tuttavia, rappresenta solo uno dei due fattori che sono richiesti dalla nuova normativa. Vediamo quindi nel dettaglio cosa cambia con le nuove regole.

Cosa cambia con le nuove regole nelle banche

Se il fatto di ricevere l’SMS con il codice da digitare online al momento del pagamento poteva sembrare fastidioso, ma ci confortava sotto il punto di vista della sicurezza, a partire dal 2021 il processo di autenticazione si “complicherà” a vantaggio di una maggior sicurezza della transazione. L’adeguamento che i merchant hanno dovuto integrare nei loro eCommerce è stato fornito dalle banche acquirer (dei merchant stessi), le quali hanno costruito il sistema in accordo con le banche issuer (del titolare della carta), coloro che hanno il vero compito di rendere conforme il servizio lato consumatore e garantirne la corretta applicazione.

Da un’analisi dell’Osservatorio Innovative Payments della School of Management del Politecnico di Milano su 33 delle maggiori banche e istituti di carte di credito operanti in Italia possiamo capire quali saranno i cambiamenti che questi istituti apporteranno al processo di pagamento online dei propri clienti.

Tutte e 33 offrono già ora, in rispetto della normativa, metodi di autenticazione che adottano due fattori di verifica dell’identità del pagatore. In particolare, esistono due diversi approcci.

I due approcci delle banche

  • L’approccio più conservativo, che può essere adottato da chiunque abbia già registrato il proprio numero di cellulare presso la propria banca, si basa ancora una volta sul codice inviato via SMS (qualcosa che solo l’utente ha: la SIM) abbinato però ad un ulteriore codice statico (qualcosa che solo l’utente conosce: un PIN o una password) da inserire, al pari del codice ricevuto via SMS, quando si sta finalizzando il pagamento sul sito online. Questo codice statico può essere qualcosa di già in possesso dell’utente (come il PIN con cui preleva utilizzando la medesima carta) o una password completamente nuova da impostare secondo le indicazioni della banca. In entrambi i casi è meglio informarsi prima di incorrere in intoppi non desiderati.
  • Il secondo approccio, più innovativo, può essere adottato da tutti coloro che hanno l’applicazione della banca sul proprio smartphone. In questo caso, si vedrà apparire una notifica push della banca sul proprio dispositivo al momento del pagamento (qualcosa che solo l’utente ha: lo smartphone su cui “gira” l’applicazione associata al suo account) e bisognerà loggarsi all’app per dare l’autorizzazione (qualcosa che solo l’utente conosce: la password di sblocco; oppure qualcosa che caratterizza solo quell’utente: fingerprint o riconoscimento facciale di sblocco).

In particolare, rispetto alle 33 istituzioni finanziarie analizzate:

  • Tutte e 33 offrono almeno uno di questi metodi di autenticazione
  • Almeno 20 offrono entrambi i metodi sopracitati (SMS+PIN/password e App+PIN/password/biometria)
  • Almeno 29 offrono l’autenticazione basata su App+biometria
  • Almeno 26 offrono l’autenticazione basata su App+PIN/password
  • Almeno 25 offrono l’autenticazione basata su SMS+PIN/password

La direzione sembra dunque quella di offrire alla propria clientela sia metodi basati sull’App sia metodi che si basano su SMS per poter coprire le esigenze di tutti.

Quando entra in vigore e perché è stata rimandata

L’entrata in vigore di queste nuove regole per la sicurezza dei pagamenti è stata prorogata di 15 mesi, dal 14 settembre 2019 al 31 dicembre 2020. Una proroga fortemente richiesta da tutti gli attori coinvolti nei pagamenti online, compresi gli stessi merchant online, e da tutti i paesi membri dell’Unione. Si tratta, infatti, di una norma che pone serie questioni su di una possibile perdita di volumi e di fatturato per tutto l’ecosistema. Chi gestisce un eCommerce lo sa: ogni click in più può portare a perdere il cliente e la vendita. Ecco, dunque, che i timori per l’introduzione di nuovi step di autenticazione risultano più che comprensibili.

Da un lato, in caso di autenticazione con SMS+PIN/password, il cliente potrebbe non essere a conoscenza del fatto che gli verrà chiesto un ulteriore PIN per autenticarsi o non aver impostato il nuovo PIN con la propria banca (ove richiesto) o ancora, in caso di PIN già impostato, non ricordarselo. Dall’altro, in caso di autorizzazione su app, potrebbe avere problemi con la ricezione delle notifiche o un’applicazione bancaria rallentata che non riesce a rispondere in maniera tempestiva nel momento del pagamento.

Nonostante i 15 mesi di proroga, i timori rimangono forti e diverse banche nazionali hanno potuto concedere ancora qualche mese di transizione. La Banca d’Italia permette agli operatori di evitare di imporre ai consumatori la SCA per transazioni fino a 1.000 euro durante tutto gennaio, quota che si abbasserà a 500 euro per febbraio e a 100 euro a marzo, per arrivare ad aprile con la piena entrata in vigore della Strong Customer Authentication. Un approccio adottato anche, con piccole variazioni, da Germania, Francia, Spagna, Belgio, Austria e Irlanda. Il Regno Unito forte della Brexit rimanderà completamente tutto a settembre 2021.

Conclusioni

Come nella maggior parte dei casi, la conoscenza delle nuove procedure sarà fondamentale per non farsi trovare impreparati e non farsi intimidire dai cambiamenti in atto. Tuttavia, dobbiamo essere anche consci del fatto che la customer experience per gli utenti ne possa risentire negativamente, soprattutto nel periodo iniziale, con conseguenti perdite del fatturato online.

Fortunatamente, le nuove regole concedono diversi spazi “di manovra” che consentono ai prestatori di servizi di pagamento di bypassare, sotto diverse e precise condizioni, la temuta autenticazione a due fattori. L’autenticazione forte, inoltre, è valida solo per pagamenti che avvengono all’interno dell’Unione Europea. Non sarà quindi improbabile effettuare pagamenti online che non richiedano il doppio step di autenticazione.

Le banche e i fornitori di servizi di pagamento, dunque, sono pronti, sia quelli dei consumatori sia quelli dei commercianti online, ora bisognerà capire quanto saranno pronti i consumatori. Un ruolo fondamentale, naturalmente, è giocato dalla comunicazione verso i clienti da parte di questi attori. Quanto più saranno stati capaci di dialogare con i propri clienti, tanto meno problemi vi saranno al momento dell’arrivo della Strong Customer Authentication.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Social
Iniziative
Video
Analisi
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • identità digitale

    SPID (Sistema Pubblico di Identità Digitale), cos'è, qual è l'ambito di utilizzo, per cosa si può usare e per chi è obbligatorio

    17 Ott 2024

    di Valeria Portale, Giorgia Dragoni e Luca Gastaldi

    Condividi

Prossimo

SPID (Sistema Pubblico di Identità Digitale), cos'è, qual è l'ambito di utilizzo, per cosa si può usare e per chi è obbligatorio

Articolo 1 di 2