Lautenticazione forte è un obbligo
La Direttiva (UE) 2015/2366 sui servizi di pagamento nel mercato interno (PSD2) prevede il ricorso allautenticazione forte del cliente (la Strong Customer Authentication - SCA) in tutti i casi di accesso online ai conti e per la disposizione di operazioni di pagamento elettronico o per altre azioni tramite canali a distanza che implichino rischi di frode.
Con il parere del 16 ottobre 2019, lEBA ha fissato al 31 dicembre 2020 il termine ultimo per il completamento delladozione della SCA per le carte in tutta Europa, per permettere agli esercenti (Issuer) ed ai possessori di carte (Acquirer) di completare gli adeguamenti necessari per supportare esclusivamente soluzioni SCA pienamente conformi alla normativa PSD2/RTS2.
Se vuoi saperne di più:
Cosè lAutenticazione Forte? e come funziona?
LAutenticazione Forte (meglio nota come SCA-Strong Customer Authentication) è un sistema di sicurezza aggiuntivo che permette di identificare e autenticare in maniera univoca il cliente, riducendo sia i rischi legati allaccesso ai propri conti online che allesecuzione di operazioni fraudolente da parte di soggetti terzi non autorizzati.
Lutilizzo della SCA prevede che gli utenti che accedono allarea riservata del conto o effettuano disposizioni di pagamento online, dovranno autenticarsi attraverso due o più fattori classificati come:
- Conoscenza: ad esempio la password personale o il PIN che solo lutente conosce
- Possesso: una password temporanea (c.d. One Time Password - OTP) generata da un Token virtuale (generalmente via smartphone) o Token fisico (ad esempio una chiavetta) e valida per un solo utilizzo
- Inerenza: qualcosa di univoco che contraddistingue lutente come ad esempio la sua impronta digitale.
Le più comuni forme di autenticazione a due fattori sfruttano i primi due strumenti: la password personale e un secondo fattore in esclusivo possesso del cliente.
Cosè il Collegamento Dinamico?
Come ulteriore elemento di sicurezza a protezione del pagatore, poi, la normativa introduce anche il requisito del Collegamento Dinamico (o Dynamic Linking), per cui le Banche dovranno garantire l'autenticazione delle singole operazioni anche attraverso codici dinamici: in questo modo lutente è identificato e autorizzato a svolgere una transazione specifica.
In particolare, la Banca dovrà generare, prima dellautorizzazione dellutente alloperazione di pagamento, un codice di autenticazione collegato in modo univoco alloperazione inserita prendendo in considerazione gli elementi fondamentali del pagamento, come per esempio limporto e le credenziali del conto del beneficiario.
Pertanto le nostre carte Cirrus Maestro, come da normativa, saranno implementate con le modifiche di cui sopra a partire dal 1° gennaio 2021, così come le carte di credito e prepagate di Nexi.
Regolamento del servizio 3D Secure
PSD2 e carte prepagate NEXI PREPAID