E-COMMERCE

La rivoluzione dei pagamenti digitali: al via il sistema di autenticazione forte

| 31/07/2019 09:11

La crescita esponenziale dell'e-commerce è un fenomeno noto a tutti. Ma forse non tutti, a iniziare dalle stesse imprese che vendono online, sono consapevoli della grande rivoluzione nei pagamenti digitali che entrerà in vigore il 14 settembre 2019: la Direttiva europea sui pagamenti (2015/2366) o PSD2, recepita nel nostro ordinamento dal D. lgs n. 218/17, prevede che a decorrere da tale data i pagamenti online possano essere effettuati solo mediante un sistema di autenticazione più complesso ed innovativo di quello attuale, ciò con l'ovvio intento di garantire una generalizzata protezione dalle possibili frodi.

Se, come prevedibile, il nuovo sistema, che pone al centro il consumatore, guadagnerà la fiducia di molti tra coloro che sono ancora timorosi di acquistare sulla rete, la spinta propulsiva al commercio elettronico sarà potenzialmente enorme.

Per gli utenti, dunque, si ridurrà significativamente il livello di rischio interno ai pagamenti effettuati via internet o tramite dispositivi elettronici. Per i prestatori di servizi di pagamento, che pur hanno dovuto far fronte a ingenti costi di adeguamento, questa rivoluzione si tradurrà in una diminuzione dei pagamenti non autorizzati, le cui somme rimangono a carico del prestatore dei servizi di pagamento al lordo del limitato importo di 50 Euro che può rimanere a carico dell'utente.

Ѐ evidente che per le imprese si tratti di un'opportunità da non perdere per espandere la propria attività online: pubblicizzare la minimizzazione del rischio non può che ampliare il bacino dei potenziali clienti.

Questo perché i pagamenti e le operazioni potranno essere eseguite con maggiore facilità. Ad esempio, se nella registrazione ad un nuovo sito vi sono le opzioni "accedi con Facebook" o con "Twitter", grazie alla direttiva PSD2 i consumatori che utilizzano un determinato conto corrente saranno nella condizione di effettuare pagamenti o avere accesso a tutte le informazioni utilizzando in modo trasparente applicazioni realizzate da terze parti autorizzate.

Queste ultime, con soluzioni basate su interfacce dedicate (API - Application Programming Interface), saranno in grado di far dialogare in modo sicuro i sistemi di tutti gli attori. Il Regolamento n. 389/2017 dell'Autorità Bancaria Europea ha fissato al 14 settembre 2019 il termine entro il quale le banche dovranno rendere disponibili le API ai prestatori di servizi di pagamento.

Ma vediamo di cosa si tratta in concreto.

L'autenticazione è quella procedura che consente al prestatore di servizi di pagamento di verificare l'identità dell'utente. Fino ad oggi l'inserimento dei propri dati o, tutt'al più, di una password nella maggioranza dei casi, era sufficiente per completare una transazione elettronica.

La direttiva introduce invece un sistema di autentificazione forte (Strong Customer Authentication - SCA), ovverossia un‘autenticazione basata sull'uso di due o più elementi classificati nelle categorie che seguono:
(i) conoscenza,
(ii) possesso e
(iii) inerenza.

La conoscenza si deve riferire a un dato già noto prima dell'operazione, come una password o la risposta a una domanda personale, come il nome del tuo animale domestico. Il dato deve essere difficilmente individuabile da un terzo, non bastano per esempio i dati riportati sulla carta di credito.

Il possesso si può dimostrare mediante l'utilizzo di un codice identificativo composto da una combinazione di numeri, lettere e simboli che sia monouso e che venga generato direttamente dal dispositivo ovvero inviato via sms o via e mail all'utente. Tuttavia, non si riferisce necessariamente a qualcosa di fisico ma può essere quello di un'app.

L'inerenza è certo l'elemento più di spicco da un punto di vista tecnologico. Essa si riferisce, infatti, a parametri biometrici di natura fisica o comportamentale. Potranno così essere utilizzati riconoscimenti tramite scansione delle caratteristiche di parti del corpo come: l'impronta digitale, la retina o i lineamenti del viso. Potranno altresì essere utilizzati comportamenti fisici quali il riconoscimento vocale o la pressione esercitata digitando sulla tastiera. L'idoneità del metodo prescelto dipende dalla capacità di scongiurare pagamenti da parte di terzi non autorizzati.

Qualunque siano le categorie prescelte, tra quelle qui elencate, deve altresì essere garantita l'assoluta indipendenza tra loro, ovverosia il sistema di autenticazione forte deve essere disegnato in modo che in termini di tecnologia, quali algoritmi e parametri, la violazione di uno degli elementi non comprometta l'affidabilità̀ degli altri elementi.

L'Autorità Bancaria Europea, in un'opinione resa lo scorso giugno, ha poi incoraggiato l'utilizzo di prodotti di comunicazione come EMW3, nella versione 2.0, nella convinzione che tali protocolli di sicurezza possano offrire agli operatori mezzi di supporto per la SCA. Il ricorso a questi può facilmente giustificare un'esenzione dall'obbligo di autenticazione forte.

Vi sono, tuttavia, alcuni servizi di pagamento che esulano completamente dall'ambito di applicazione della PSD2, quali per esempio i pagamenti in bolletta per servizi legati alla telefonia mobile, allo scaricamento di musica o l'accesso alle chat, quindi, in generale (ai sensi dell'art. 16 del Regolamento Delegato (UE) 2018/389 della Commissione) l'autenticazione forte non riguarda le operazioni di modesta entità̀, cioè quando:

a) l'importo dell'operazione non supera i 30 EUR;

b) l'importo cumulativo delle precedenti operazioni di pagamento elettronico, dall'ultima applicazione dell'autenticazione forte del cliente, non supera i 100 EUR;

c) il numero delle precedenti operazioni dall'ultima applicazione dell'autenticazione forte del cliente non è superiore a cinque operazioni singole consecutive.

La modestia di queste esclusioni contribuisce a far intuire la portata del fenomeno. Molti prestatori di servizi di pagamento si sono già adeguati ai nuovi standard e a molti di noi è già capitato di interfacciarsi, da consumatori, con l'autenticazione forte. Ma questo è solo l'inizio.

Vetrina