PSD2 e strong authentication: transazioni online più sicure

PSD2 e strong authentication: un altro passo verso la protezione di dati e informazioni sensibili. L’Unione Europea ha determinato un nuovo standard per l’accesso ai servizi di pagamento, che renderà le transazioni ancora più sicure. Da quest’anno scatta l’obbligo della strong authentication. Vediamo di cosa si tratta.

PSD2 e Strong Authentication

La PSD2 (Payment Service Directive) è la nuova Direttiva Europea sui pagamenti online.
Nasce per rendere più sicuri ed uniformi i pagamenti elettronici nell’Unione Europea.

Una delle novità introdotte riguarda l’obbligo di adottare la strong authentication.

La SCA (Strong Customer Authentication) è in vigore a tutti gli effetti dal 31 dicembre 2020, anche se inizialmente la data del go live era il 14 Settembre 2019.
A causa dei tempi lunghi per l’adeguamento, aggravati poi dalla pandemia, l’entrata in vigore è slittata alla fine del 2020.

Nonostante questa proroga, molti soggetti non sono ancora pronti o ancora non sono informati.

A cosa serve

La strong authentication (“autenticazione forte”, o “a 2 fattori”) si basa sull’uso di almeno 2 elementi di identificazione dell’utente, di natura diversa fra loro (ad esempio impronta digitale + OTP) nel momento in cui si accede ad un servizio con le proprie credenziali.

Nasce dall’esigenza di alzare il livello di protezione degli account, a seguito dell’aumento esponenziale di furti di dati e password.

Nonostante, infatti, il rispetto delle regole di protezione, come ad esempio scegliere delle password differenti e complesse per ogni servizio utilizzato, si può comunque essere vittima di un incidente (data breach), a seguito del quale l’accesso agli account non è più sicuro.

Curiosità

Esiste un sito, dal 2013, che forse non tutti conoscono.

Si chiama “Have i been pwned?”, sul quale ognuno può verificare se ci sono state violazioni delle proprie password.

Contiene quasi 10 miliardi di account violati, in base ai data breach noti. È importante, infatti, sottolineare che di molte violazioni non si ha notizia, quindi il numero è potenzialmente ancora più grande.

Definizione di strong authentication

Attualmente la strong authentication è il sistema più sicuro che abbiamo per proteggere i nostri account.

Utilizza, abbiamo detto, 2 elementi (fattori, appunto) di natura, o matrice, diversa. Il concetto viene definito molto chiaramente nella PSD2 all’art.4, comma 30:

Autenticazione forte del cliente: un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti fra loro, in quanto la violazione di uno non compromette l’affidabilità degli altri, ed è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione.

Come funziona

Generalmente, dopo l’inserimento della username in un sistema, viene richiesta la password (primo fattore) e poi 1 altro elemento, spesso un codice numerico, l’OTP (One Time Password), generato istantaneamente e con una durata limitatissima nel tempo.

L’esempio tipico è quello dell’online banking.
Fino a poco tempo fa, venivano usati dei token fisici per generare l’OTP, mentre oggi il codice viene solitamente inviato via SMS.

Si può parlare di strong authentication solo quando gli elementi che contribuiscono all’identificazione sono di tipologia diversa.

Un esempio tipico è rappresentato dall’abbinamento fra impronta digitale (legata al soggetto) e OTP, generato da un token.

I token e la strong authentication

Sappiamo, però, che anche gli smartphone possono essere violati.

SIM Swap Fraud è una violazione che permette di trasferire i dati di una SIM card ad un altro telefono, prendendone quindi possesso, incluso il token ricevuto.

Per ovviare a questo, esistono i soft token, generati da applicazioni dedicate.

Si tratta di una tecnologia molto recente, destinata però a crescere in futuro ed è già conforme alla direttiva europea PSD2 per l’elevato standard di protezione crittografica che assicura.

L’impatto sulle aziende

Fra i primi ad adottare la strong authentication, gli istituti bancari si sono già adeguati al nuovo standard, così come i portali dei servizi al cittadino, ad esempio, con l’accesso tramite SPID, l’identità digitale.

Non sembra possibile in modo altrettanto rapido l’adeguamento in altri ambiti.

Nello specifico, per le piccole aziende che non dispongono di grandi risorse da investire nell’IT, sarà complicato adeguare ed ottimizzare il processo di pagamento.

Gli e-commerce

Uno dei settori che sarà maggiormente impattato da questa novità è quello dell’e-commerce.

Secondo alcune stime, infatti, i tempi delle transazioni, a seguito dell’introduzione dell’autenticazione a doppio fattore, si allungherebbero tra 1 e 2 minuti, considerati tempi biblici, vista la velocità di navigazione alla quale siamo ormai abituati.

Ne conseguirebbe un aumento del tasso di abbandono dei carrelli, pari al 25%. Percentuale considerevole, se sommata alla media, già superiore al 50%.
Tutto questo si tradurrebbe in perdite di svariati miliardi di mancate vendite per tutto il settore.

In Italia, la perdita stimata è di 13 miliardi.
Roberto Liscia, Presidente di Netcomm, il consorzio delle aziende italiane che vendono online, lancia l’allarme:

A subirne maggiormente l’impatto saranno in particolare le piccole e medie imprese, che proprio grazie al canale online hanno avuto la possibilità di fronteggiare l’emergenza Covid, convertendo il loro business in chiave digitale e continuando ad operare online anche dopo i mesi di lockdown.

“Netcomm auspica fortemente – prosegue Liscia – che l’Autorità nazionale consideri tali aspetti, optando per una graduale applicazione delle regole di autenticazione forte del cliente, attraverso un meccanismo basato sul valore delle transazioni e quindi escludendo l’applicazione delle regole Sca per transazioni al di sotto di determinate soglie”.

Esenzioni

Al momento, le esenzioni dall’uso della SCA sono previste nei seguenti casi:

• Abbonamenti o pagamenti ricorrenti
  La SCA viene chiesta solo per la prima transazione, a meno che non avvengano modifiche nel prezzo.
• Venditori affidabili
  È possibile indicare come tale uno shop online, pertanto la SCA verrà chiesta una sola volta.
• Transazioni sotto i 30€
  Altri eventuali pagamenti, entro le 24 ore, non devono superare i 100€ in totale. In ogni caso, non più di 5 transazioni in questo arco di tempo.
• Basso rischio
  Il livello di rischio di una transazione viene definito dal servizio di pagamento utilizzato.
• Residenza
  Se non si risiede in Europa, la SCA non è obbligatoria.
• Trasporti e Parcheggi
  Questi acquisti sono esentati dalla SCA.

Al di là di queste proroghe, che non dovrebbero comunque protrarsi oltre i 3 mesi dall’entrata effettiva in vigore, la Banca d’Italia auspica un allineamento in tempi rapidi di tutti i soggetti interessati.

L’esigenza nasce anche dal fatto di dover garantire ai cittadini, visto il protrarsi dell’emergenza Covid, di poter proseguire in sicurezza gli acquisti online.

Più sicurezza, più business

Nonostante l’aumento esponenziale degli acquisti online degli ultimi anni, e durante la pandemia in particolare, ci sono ancora moltissimi utenti che sono diffidenti nei confronti degli acquisti online, proprio perché temono frodi e furti.

Lo standard dettato dalla direttiva PSD2, garantendo una maggiore sicurezza e trasparenza nelle transazioni, creerà un clima di maggiore fiducia che, nel tempo, porterà anche ad un aumento dei potenziali acquirenti online.

Resta sempre aggiornato sulle ultime news, iscriviti qui!

Fonti

Corriere Comunicazioni

Cybersecurity360

ICT Security Magazine

Pagamenti Digitali

AGI

Osservatori.net

Wired

Trusted Shops