Direttiva europea sui servizi di pagamento online (PSD2)
Maggiore sicurezza per i pagamenti con carta di credito
In data 14/09/2019 è entrata in vigore la nuova direttiva europea sui servizi di pagamento online, nota anche come PSD2 (Payment Service Directive 2). Le linee guida sono state definite dalla Commissione europea e obbligano tutti coloro che gestiscono attività di e-commerce in Europa a garantire una migliore autenticazione del cliente per gli acquisti online.
Nel dettaglio, ciò significa che tutte le transazioni di pagamento con carta di credito devono essere "forti" e verificare che l'acquirente sia effettivamente il titolare della carta. Questa procedura viene chiamata autenticazione a 2 fattori (conferma in due fasi).
I requisiti per un'autenticazione "forte" del cliente (Strong-Customer-Authentification: SCA) mirano ad aumentare la sicurezza dei pagamenti online e quindi a proteggere i consumatori da possibili frodi negli acquisti online. Per le banche, la nuova direttiva europea comporta invece l'utilizzo della procedura 3-D Secure per l'autenticazione a due fattori durante i pagamenti con carta di credito.
Cos'è 3-D Secure?
Oltre al numero della carta e al codice di sicurezza, in futuro sarà necessario un ulteriore passaggio, ovvero l'inserimento di una password, un'impronta digitale o un Face-ID (riconoscimento facciale). A questo proposito, i consumatori vengono reindirizzati direttamente sulla pagina della banca che ha rilasciato la carta di credito e lì dovranno confermare il pagamento inserendo l'informazione di sicurezza aggiuntiva. Il procedimento è quindi simile alla conferma in due fasi (autenticazione a 2 fattori) per il processo di login.
Per i consumatori, 3-D Secure offre un'esperienza di acquisto più facile e sicura. Il procedimento è semplicissimo:
- Il cliente inserisce i dati della sua carta di credito (numero di carta + codice di sicurezza) presso l'online shop dove ha effettuato l'acquisto.
- Il cliente viene inoltrato al sito web della banca che ha rilasciato la carta di credito e lì dovrà inserire l'informazione di sicurezza aggiuntiva, come ad esempio una password, un codice PIN, un TAN o dati biometrici (impronte digitali, riconoscimento facciale).
- Il pagamento viene rilasciato e l'ordine è così completato.
Cosa significa "forte autenticazione del cliente"?
Con un'autenticazione "forte", l'identità viene dimostrata tramite due fattori. Questi fattori sono suddivisi in categorie. Un'autenticazione "forte" deve sempre essere eseguita tramite 2 fattori provenienti da categorie diverse.
Le categorie più diffuse al momento sono:
- Conoscenza: questa categoria include password o codici PIN;
- Possesso: ad esempio una carta di credito o uno smartphone;
- Inerenza (caratteristiche o comportamenti): comprende le impronte digitali, il riconoscimento facciale, movimenti o modelli di movimento.
Esempio: la procedura spesso utilizzata in passato per proteggere il numero della carta di credito, ovvero il codice di sicurezza che si trova sul retro della carta, non soddisfa gli standard odierni in materia di sicurezza. Questo perché sia il numero della carta di credito che il codice di sicurezza appartengono alla stessa categoria ("possesso"). Per questo motivo, oltre al numero della carta di credito, è necessario utilizzare anche una password, un codice PIN o un TAN, poiché questi appartengono alla categoria della "conoscenza" o dell'"inerenza".
L'autenticazione a due fattori non è di per sé una procedura nuova. La novità stà nel fatto che questa sarà, per la prima volta, obbligatoria per tutti i pagamenti online.
Ci sono eccezioni?
Sì, la nuova direttiva prevede alcune eccezioni: ad esempio per gli importi più bassi i requisiti per la sicurezza sono minori. È compito della banca che rilascia la carta di credito decidere se un'eccezione è lecita o meno.