Strong Customer Authentication (SCA)

Strong Customer Authentication
27-12-2021

Il 2021 è stato un anno decisivo per l’attuazione del Regolamento delegato UE (2021/1722) PSD2 (seconda direttiva europea sui servizi di pagamento) pubblicato nella Gazzetta ufficiale dell’Unione europea del 28 settembre 2021 ad integrazione della Direttiva UE 2015/2366 in merito alle norme tecniche di regolamentazione che specificano il quadro per la cooperazione e per lo scambio di informazioni tra le Autorità competenti dello Stato membro di origine e quelle dello Stato membro ospitante nel contesto della vigilanza sugli istituti di pagamento e sugli istituti di moneta elettronica che prestano servizi di pagamento su base transfrontaliera.
In considerazione di un elevato aumento di attacchi informatici e, dunque, di un sempre maggiore indice di rischio, l’attività di difesa delle banche contro le frodi on line è sempre più essenziale ed efficace.
Ricordiamo, inoltre, che le carte di credito e le carte prepagate costituiscono lo strumento più utilizzato dagli utenti per gli acquisti nel commercio elettronico e che il loro utilizzo ultimamente è stato intensificato: complici la pandemia e i provvedimenti per contenere la diffusione del contagio da Covid-19. L’attività illegale solo nel primo semestre 2020, secondo l’Osservatorio realizzato da CRIF- MisterCredit, ha provocato danni per oltre 65 milioni e i settori più colpiti sono stati proprio quelli relativi alle carte di credito e anche ai prestiti.
È stata così implementata l’autenticazione forte del cliente (Strong Customer Authentication - SCA): una procedura per convalidare l'identificazione di un utente basata sull'uso di due o più elementi di autenticazione (cd. "autenticazione a due fattori"), appartenenti ad almeno due categorie tra le seguenti:

•    conoscenza (informazioni note solo al cliente, come una password o un PIN);
•    possesso (oggetti posseduti solo dal cliente, come un token/chiavetta, o uno smartphone);
•    inerenza (qualcosa che caratterizza l'utente, come l'impronta digitale o il riconoscimento facciale).
Questi elementi (o credenziali di autenticazione) devono essere indipendenti tra loro, in modo che un'eventuale violazione di uno di essi non comprometta l'affidabilità degli altri.
“La procedura di autenticazione del cliente tramite SCA è propedeutica all'autorizzazione di un pagamento on line; essa prevede, sulla base delle credenziali inserite dall'utente, la generazione di un codice di autorizzazione monouso - cioè accettato una sola volta dal prestatore di servizi di pagamento (in taluni casi prende la forma di un codice OTP: One Time Password) - legato indissolubilmente all'importo e al beneficiario: in questo modo, se carpito o intercettato, tale codice non può essere usato per altri pagamenti” (Banca d’Italia).
Tutto ciò al fine di garantire un livello di sicurezza uniforme e in grado di favorire la fiducia nei pagamenti elettronici attraverso mezzi e modalità dettagliate. 

Fonti consultate:
Regolamento delegato (UE) 2021/1722 della Commissione del 18 giugno 2021;
Banca d’Italia.