strong authentication - strong authentication per l’e-commerce

Strong Authentication per l'e-commerce

Nell'era digitale la sicurezza online è diventata una delle principali preoccupazioni sia per gli utenti privati sia per le aziende.

La protezione delle informazioni personali e finanziarie, oltre ad essere obbligatoria per legge, è particolarmente importante in un settore come quello dell'e-commerce, dove le transazioni avvengono, per sua natura, esclusivamente on line.

La strong authentication per l’e-commerce è una metodologia di autenticazione sicura che tutela gli accessi, garantendo che solo gli utenti autorizzati abbiano accesso ai propri account e alle risorse online.

Quando si parla di strong customer authentication (SCA), o autenticazione forte, si fa riferimento a un processo che richiede la verifica di più fattori per confermare l’identità di un utente; si tratta di un sistema più sicuro del semplice inserimento di una password, in quanto integra elementi di sicurezza addizionali che rendono molto più difficile per un malintenzionato violare un account.

Strong authentication per l'e-commerce: perché è così importante

La grande diffusione delle vendite online, che negli ultimi anni hanno condizionato il modo di fare acquisti, ha influito sull’evoluzione del web e dell’approccio dell’utente verso questo sistema.

Se fino a qualche anno fa molti utenti, specialmente in una certa fascia di età, erano intimoriti dall’utilizzo di questi sistemi di acquisto e, per certi versi, più cauti, con la semplificazione dei metodi di pagamento e con la vasta gamma di prodotti a portata di clic, l’utilizzo degli e-commerce è cambiato.

Tuttavia, questo ha incrementato i rischi di minacce per la sicurezza. Frodi, furti di identità e attacchi informatici sono diventati problemi sempre più presenti, spesso mettendo a rischio le informazioni personali e finanziarie dei consumatori.

La strong authentication si presenta come una soluzione fondamentale per affrontare questi problemi poiché da un lato protegge i clienti, garantendo loro una transazione sicura e affidabile, dall’altro rafforza la fiducia del consumatore nel venditore, elemento fondamentale per il successo di qualsiasi attività di e-commerce.

Come funziona la Strong Authentication

La strong authentication si basa sul principio dell’autenticazione multi-fattore, che richiede la verifica di almeno due elementi distinti per confermare l’identità di un utente.

Si parla di autenticazione multifattoriale proprio perché i dati richiesti appartengono a categorie diverse:

  • Fattore legato alla conoscenza, ovvero qualcosa che l’utente sa, come una password o un PIN;
  • Fattore legato al possesso, ovvero qualcosa che l’utente possiede, come un token hardware o uno smartphone;
  • Fattore legato all’inerenza, ovvero qualcosa che l’utente è, come le impronte digitali o altri dati biometrici.

 

In pratica, l’utente per accedere al proprio account, attraverso cui effettuerà le operazioni di acquisto e di pagamento, deve inserire o utilizzare almeno due fattori che appartengano ciascuno a una categoria diversa. Possono essere, per esempio, una password da inserire (fattore legato alla conoscenza) e un’impronta digitale (fattore legato all’inerenza) o un codice ricevuto sul telefono cellulare (fattore legato al possesso).

Un esempio comune di strong authentication per l’e-commerce è l’uso della verifica in due passaggi. Dopo aver inserito la password, l’utente riceve un messaggio sul suo telefono con un codice unico che deve essere inserito per accedere al proprio account. Per poter violare l’account, infatti, la frode dovrebbe essere messa in atto non solo attraverso la conoscenza fraudolenta della password, ma anche venendo in possesso del dispositivo su cui viene inviato il codice temporaneo (OTP).

Cosa dice la legge sull’autenticazione forte per l’e-commerce

La strong authentication nell’e-commerce è diventata recentemente un requisito normativo. Le leggi come il Regolamento Generale sulla Protezione dei Dati (GDPR) nell’Unione Europea e le normative della Payment Services Directive 2 (PSD2) hanno introdotto l’obbligatorietà dell’uso dell’autenticazione a due fattori per le transazioni online.

Il rispetto di queste normative non è solo obbligatorio, ma è anche un fattore importante per costruire la fiducia dei consumatori. Le aziende che aderiscono a queste regole, infatti, dimostrano il loro impegno a proteggere le informazioni personali e finanziarie dei loro clienti, migliorandone il rapporto di fiducia.

Per bilanciare la necessità di sicurezza nelle transazioni online e l’esigenza di offrire comunque una buona esperienza d’acquisto durante il pagamento, il legislatore ha previsto delle deroghe nell’articolo 16 del “Regolamento delegato (UE) 2018/389 della Commissione”, del 27 novembre 2017, che integra la direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio.

Per quanto riguarda gli e-commerce, sono 4 le deroghe alla PSD2 più rilevanti:

  • Transazioni a basso rischio

Questa deroga consente ai PSP (Payment Service Providers) di esentare dall’autenticazione a due fattori le transazioni considerate a basso rischio sulla base di un’analisi dei rischi; questo può essere rilevante per le imprese di e-commerce che vogliono semplificare il processo di checkout.

  • Transazioni di importo ridotto

Le transazioni online di importo inferiore a 30 euro sono esentate dall’autenticazione a due fattori; tuttavia, se un utente effettua più di cinque pagamenti consecutivi di importo inferiore a 30 euro, oppure se la somma totale di tali pagamenti supera i 100 euro, l’autenticazione a due fattori dovrà essere applicata.

  • Pagamenti ricorrenti

Se un pagamento è ricorrente e l’importo è sempre lo stesso, come potrebbe accadere con gli abbonamenti, solo il primo pagamento richiederà l’autenticazione a due fattori.

  • Pagamenti in lista bianca

Se un cliente ha messo un beneficiario nella sua “lista bianca” con il suo fornitore di servizi di pagamento, i pagamenti a quel beneficiario possono essere esentati dall’autenticazione a due fattori.

Esiste poi un’ulteriore esenzione, ovvero quella relativa ai pagamenti contactless nei punti vendita per importi inferiori ai 50€, ma si tratta di una norma valida solo per pagamenti in presenza, che, quindi, non interessa gli e-commerce.

Implementare la Strong Authentication per l'e-commerce

La scelta e l’implementazione di una soluzione di Strong Authentication possono rappresentare una sfida per le aziende. Specialmente in un settore come quello del commercio elettronico, in cui l’user experience è fondamentale per portare a termine una vendita, è importante trovare un equilibrio tra la sicurezza e la facilità d’uso, per evitare di mettere in difficoltà i clienti con processi di autenticazione troppo complessi.

I fattori chiave da considerare, in particolare proprio nell’utilizzo dell’autenticazione forte per l’e-commerce,  sono:

  • l’adattabilità della soluzione alle esigenze specifiche dell’azienda;
  • la possibilità di operare in presenza di altre tecnologie già in uso;
  • la capacità di scalare in base alle dimensioni dell’azienda e al numero di utenti;
  • la capacità di aderire e soddisfare i requisiti regolamentari, come la PSD2, senza compromettere l’esperienza utente.

 

In questo senso Ireth, principale produttore e fornitore di soluzioni per la strong authentication, rappresenta un partner ideale per l’implementazione dell’autenticazione forte anche degli e-commerce. Grazie alla sua esperienza decennale nel settore della sicurezza informatica e alla sua costante ricerca di soluzioni innovative e tecnologicamente avanzate, oggi è in grado di fornire le migliori soluzioni di SCA perfettamente adattabili a ogni esigenza del cliente.