Menu
La Strong Customer Authentication (SCA) è un sistema che viene utilizzato per avere la massima protezione dati durante le procedure di autenticazione dell’utente.
L’utente, infatti, viene invitato ad utilizzare un sistema multifattoriale, che supera le criticità delle semplici password e garantisce un altissimo livello di sicurezza
La Strong Authentication è una procedura studiata al fine di permettere una identificazione univoca del cliente attraverso l’inserimento di una specifica tipologia di dati: ciò riduce la possibilità di accessi fraudolenti ai dati degli utenti e ai loro conti correnti. Tale protezione dati deve essere attiva sia durante l’accesso al proprio account ad servizio , per esempio per la consultazione, sia durante l’esecuzione vera e propria delle transazioni nella situazione in cui in servizio esposto sia tipo bancario/finanziario.
Affinché si realizzi una autenticazione forte, è necessario che i dati richiesti all’utente facciano parte di tipologie specifiche.
Ciò significa che devono essere richiesti almeno due di questi tre tipi di dati:
In genere, corrisponde a una password o a un PIN, in ogni caso si tratta di un dato criptato corrispondente a un codice di sicurezza.
Corrisponde al cosiddetto token, che l’utente può ottenere tramite smartphone o altro device, come i token forniti dall’istituto bancario.
Rappresenta un metodo innovativo, frutto delle tecnologie più recenti, e particolarmente sicuro. Si tratta del riconoscimento biometrico dell’individuo, attraverso ad esempio il riconoscimento dell’impronta digitale o del volto, ovvero elementi che indentificano l’utente in modo univoco e sicuro.
Quando l’utente accede al proprio account deve inserire due o più fattori non della stessa natura tra quelli indicati: ciò significa che, per esempio, a una password dev’essere abbinato un token o un dato biometrico al fine di aumentare il livello di protezione dati. Da qui nasce il concetto di autenticazione multifattoriale o autenticazione forte.
L’utilizzo della strong authentication è regolamentato dalla direttiva PSD che, in alcune situazioni specifiche, lo rende obbligatorio.
L’introduzione della strong authentication ha rivoluzionato i metodi di accesso agli account privati sia per l’aumento del livello di protezione dati sia per il rafforzamento della certezza dell’identità del fruitore del servizio. In particolare, l’utilizzo dei dati biometrici ha reso il riconoscimento dell’indentità una esperienza utente più intuitiva e gradevole.
La normativa in materia, pertanto, si è adeguata ai rapidi cambiamenti nel settore, e, anzi, in alcuni casi ha reso obbligatoria l’introduzione di tale sistema di autenticazione.
Le leggi europee di riferimento sono la PSD, ovvero la direttiva sui servizi di pagamento 2007/64/CE, e, in particolare, la PSD2, seconda direttiva sui servizi di pagamento Direttiva EU 2015/2366.
Il campo di applicazione della PSD, Payment Services Directive, è ampio, in quanto si tratta della prima direttiva europea sui servizi di pagamento elettronici.
Gli obbiettivi con cui è stata creata sono:
In Italia, la PSD è stata recepita nel 2010 ed è entrata in vigore il 1° marzo 2010.
Con il tempo, il settore fintech ha avuto un importante sviluppo e, contestualmente, sono aumentati sia i prestatori di servizi di pagamento di terze parti (Third party providers) sia gli utenti che utilizzano servizi di pagamenti on line.
Tutto ciò ha reso inevitabile l’emanazione di una nuova direttiva per regolamentare le procedure di sicurezza per l’accesso ai conti on line e ai pagamenti elettronici. Inoltre, tale direttiva si concentra anche sulle modalità con cui le terze parti possono agire sui siti dei clienti.
Con la PSD2 viene introdotta nella legislazione europea anche l’obbligatorietà della Strong Customer Authentication con l’obiettivo di ridurre le frodi on line. Pertanto, quando avviene una transazione on line, i TTP del venditore e gli istituti bancari dell’ordinante che hanno sede nello Spazio economico europeo (SEE), sono sottoposti all’utilizzo di tale procedura.
L’introduzione della Strong Authentication obbligatoria, oltre ad avere importanti effetti sulla protezione dei dati, ha una serie di cambiamenti che sfociano nella crescita dell’Open Banking.
Uno degli obbiettivi del legislatore, fin dall’emanazione della PSD2, era la possibilità di aprire il mercato a nuovi soggetti, contrastando il monopolio delle banche. Start-up fintech e nuovi attori del settore hanno potuto pertanto presentarsi sul mercato, inducendo gli istituti tradizionali a migliorare il loro servizio, introducendo nuove tecnologie più efficienti e sicure.
Uno dei cambiamenti che l’introduzione della PSD2 ha portato sul mercato riguarda il mondo del commercio on line. Se un tempo l’acquisto on line richiedeva un processo di intermediazione, oggi l’utente acquista direttamente tramite il prelievo dalla propria carta di credito.
La semplificazione della proceduta porta a una riduzione dei costi delle commissioni e a una migliore usabilità da parte dell’utente che è più invogliato a utilizzarli.
L’Open Banking porta una maggiore usabilità anche nella gestione dei propri conti correnti. Grazie a sistemi come la Strong Authentication, infatti, è possibile aggregare più conti correnti o carte, anche di banche diverse, e gestirli in un’unica dashboard. Ciò consente di implementare servizi aggiuntivi, come analisi di spesa, e di movimentare facilmente il denaro da un conto all’altro.
L’affidabilità creditizia, o credit scoring, è il processo in base al quale viene valutato quando un soggetto che richiede un prestito è affidabile. Grazie all’introduzione della PSD2 e, di conseguenza, all’Open Banking, le informazioni necessarie possono essere fornite automaticamente on line, grazie a un accesso automatico da parte del finanziatore senza necessità di fornire i propri dati di accesso. Ciò garantisce un miglior controllo dell’affidabilità creditizia e una semplificazione delle procedure.
La sicurezza nell’Open Banking è garantita dall’utilizzo delle API, delle interfacce semplici da utilizzare e di grande affidabilità sotto il profilo della sicurezza. La direttiva ha disposto che le banche europee debbano aprire le loro API anche alle fintech autorizzate dalle autorità competenti. In questo modo, si avrà non solo una maggiore concorrenza in un’area di mercato tradizionalmente di competenza delle banche, ma anche un altissimo livello di sicurezza. Non sarà, infatti, necessario condividere alcun dato, come login o password, con altri eccetto che con la banca stessa.