Il 14 settembre 2019 è entrata in vigore la direttiva PSD2 che ha introdotto un sistema di autenticazione ancora più sicuro per disporre un pagamento con la tua carta. Per le sole transazioni on-line è stata concessa una proroga ed è previsto un passaggio graduale a queste nuove regole di sicurezza entro il 2020.
La direttiva PSD2 prevede di utilizzare almeno due tra i seguenti tre fattori di sicurezza:
Un elemento di conoscenza è qualcosa che solo l’utente conosce come per esempio la password per accedere alla propria Area Clienti.
La PSD2 definisce il possesso come qualcosa che solo l’utente possiede.
Il codice OTP ricevuto sul proprio cellulare o sulla propria utenza telefonica, definisce il possesso in quanto solo il cliente possiede tale telefono e tale utenza. Si tratta di un codice temporaneo da inserire per confermare una determinata operazione.
La PSD2 definisce l’inerenza come qualcosa che l’utente è, riferendosi a caratteristiche biometriche; l’impronta digitale è un esempio di caratteristica fisica che non cambia nel tempo o varia in maniera estremamente lenta.
La normativa prevede però che non tutte le transazioni siano gestite mediante SCA; ecco alcune tra le principali esenzioni:
- Transazioni ricorrenti -> provengono da uno stesso esercente in maniera ricorrente, ad intervalli regolari
- Transazioni "One-leg" -> si tratta di pagamenti presso un esercente extra UE
- Transazioni di basso valore -> pagamenti di valore inferiore a € 30,00 o cumulativamente a € 100,00
- Beneficiari attendibili -> quando il benefici ario è incluso nell'elenco dei soggetti affidabili
- Transazioni via email o telefono -> si tratta di pagamenti che avvengono senza presentazione della carta; il cliente paga fornendo i dati della carta per telefono o via email.
PSD2 contribuirà senza dubbio alla protezione di tutte le transazioni effettuate con la tua carta, ma senza influenzare negativamente la tua operatività.
Un elemento di conoscenza, secondo la PSD2, contraddistingue qualcosa che solo l’utente conosce. La conoscenza è un elemento statico che deve già esistere prima della transazione elettronica.
Un PIN o una password oppure la risposta a una domanda di sicurezza sono elementi di conoscenza ai quali siamo già abituati e certamente validi nel contesto della autenticazione forte, ma sicuramente poco robusti e aperti al rischio di utilizzo fraudolento.
Il PIN del bancomat è composto da sole 5 cifre e risulta essere facile da leggere per un osservatore vicino oltre a rimanere lo stesso per anni. Inoltre, anche volendo, non siamo in grado di cambiarlo.
Password corte possono essere indovinate o replicate con semplicità mentre d’altro canto, password lunghe sono più difficili da ricordare e soggette ad essere dimenticate. Questo deve essere anche contestualizzato nell’esigenza di avere password tutte diverse nell’accesso ai servizi che usiamo quotidianamente.
Ecco perché la normativa PSD2 richiede che il fattore di CONOSCENZA sia sempre abbinato ad almeno uno degli altri fattori: POSSESSO e INERENZA.
L’autenticazione forte del cliente impone che le operazioni a potenziale rischio frode come i pagamenti elettronici a distanza siano autorizzate usando almeno due fattori di autenticazione, scelti combinando qualcosa che solo chi effettua l’operazione conosce (ad esempio un PIN - conoscenza), qualcosa che solo chi effettua l’operazione possiede (una chiave che genera codici OTP - possesso) o un elemento di inerenza, cioè qualcosa che contraddistingue l’utente (l’impronta digitale o un’altra caratteristica biometrica).
La soluzione primaria di Sella Personal Credit prevede di combinare il POSSESSO con l'INERENZA; in alternativa, per chi non volesse utilizzare il riconoscimento biometrico, sarà possibile utilizzare la password per l'accesso alla propria Area Clienti (CONOSCENZA).
L'INERENZA è uno dei tre fattori di sicurezza previsti dalla PSD2 e definisce l'inerenza come qualcosa che l'utente è, e si riferisce alle caratteristiche fisiche che contraddistinguono chi che effettua il pagamento.
Sono le caratteristiche che non cambiano nel tempo, come ad esempio l'impronta digitale, le caratteristiche geometriche del volto o della mano lette da una telecamera.
Il riconoscimento biometrico di un utente attraverso elementi fisici è indubbiamente il settore più innovativo ed in forte sviluppo.
Il riconoscimento biometrico è un sistema informatico che consente di identificare una persona in base ad alcune sue caratteristiche fisiologiche.
Le caratteristiche fisiologiche sono quelle più statiche e poco variabili nel tempo: impronta digitale, dimensione dell’iride, fisionomia del volto.
Per chi non opterà al sistema di autenticazione biometrico, sarà possibile effettuare i pagamenti su internet mediante il meccanismo di autenticazione con password e OTP. La password richiesta sarà quella utilizzata per l'accesso alla tua Area Clienti. Tale password risponde al concetto di CONOSCENZA, ovvero qualcosa che solo l'utente conosce.
