La nuova normativa europea PSD2 – Payment Services Directive II è entrata in vigore il 14 settembre 2019 per ottemperare alle nuove disposizioni obbligatorie relative alla Strong Customer Authentication (SCA) e allo standard 3DS 2.0, al fine di rendere il pagamento online più sicuro all’interno dello Spazio Economico Europeo (SEE).
In pratica tutte le transazioni online con carta di credito dovranno obbligatoriamente aggiungere durante l’acquisto un secondo passaggio a livello di autenticazione al fine di ridurre le frodi e mantenere le transazioni sicure e protette.
I miglioramenti che la PSD2 ha apportato e porterà sia per chi ha un e-commerce che per i consumatori sono i seguenti:
- Nuovi sistemi di sicurezza online: la normativa introduce due nuovi sistemi di autenticazione semplici e sicuri, per l’appunto la SCA e il 3DS 2.0, che permetteranno di migliorare notevolmente la sicurezza delle transazioni online contro rischi e truffe per i consumatori;
- Open Banking: la creazione di un sistema bancario aperto;
- Gestione semplificata dei propri conti: sarà possibile visualizzare i propri conti all’interno di un’unica dashboard;
- Riduzione dei costi per i consumatori: saranno ridotti i costi dei pagamenti per le commissioni interbancarie, per i pagamenti con carte di credito e per le spese in caso di furto della carta di credito.
Cos’è la SCA?
La Strong Customer Authentication si basa sul sistema di autenticazione a due fattori ed è stata introdotta per migliorare la sicurezza del consumatore durante la fase di checkout prevista per gli acquisti online.
Prima del 14 settembre 2019 chi effettuava un acquisto o un pagamento online poteva semplicemente usare la propria carta di credito e il relativo numero di sicurezza.
Secondo la nuova direttiva, il sistema di autenticazione si dovrà invece basare sull’utilizzo congiunto di due metodi di identificazione individuale. Gli acquirenti di prodotti/servizi, infatti, dovranno comprovare la loro identità attraverso due fattori di autenticazione, i quali potranno essere 2 tra le 3 tipologie di seguito elencate:
- Un PIN o una Password;
- Qualcosa che possiede l’utente, ad esempio uno smartphone precedentemente registrato o una carta della banca (con relativo numero di sicurezza);
- Qualcosa di fisico relativo all’utente: impronta digitale, riconoscimento facciale, riconoscimento vocale.
La nuova disciplina riguarda solo i pagamenti che vengono effettuati online e che non sono già protetti da alti standard di sicurezza, come ad esempio l’addebito diretto, fattura, pagamenti anticipati e importi inferiori a 30 euro.
La SCA, infine, è affiancata dall’implementazione del 3DS 2.0, ovvero la nuova versione del 3D Secure.
Cos’è il 3DS 2.0?
Prima dell’aggiornamento, il 3D Secure 1.0 era un importante strumento per diminuire le frodi online che, tuttavia, poteva influenzare anche negativamente l’esperienza di checkout del consumatore.
Il nuovo standard di autenticazione per pagamenti digitali, il 3DS 2.0, introdotto dalla PSD2, è stato proposto per migliorare la User Experience e rendere l’autenticazione più dinamica e sicura.
Nella pratica aiuterà a:
- Semplificare l’autenticazione;
- Facilitare i pagamenti online;
- Garantire il rispetto degli standard SCA obbligatori, grazie ad un utilizzo più intelligente dei dati.
La principale differenza consiste nel procedimento di pagamento che ora include un secondo fattore di autenticazione.
Con PayPal, il secondo fattore di autenticazione è stato aggiunto automaticamente al processo di pagamento, per cui se si possiede un e-commerce non si dovrà modificare nulla.
In altri casi invece è necessario un adeguamento del proprio e-commerce in modo tale che sia a norma.
Si tratta in ogni caso di un’attività tecnica per la quale è importante, nonché indispensabile, avere un adeguato supporto tecnologico.
Conclusioni
Il principale motivo dell’introduzione della SCA per gli e-commerce è quello di contrastare le frodi.
In Europa il danno di quest’ultime, relativamente alle carte di credito, ammonta ogni anno a circa 1,3 miliardi di euro. Grazie al fatto che il settore e-commerce è internazionale, è stato possibile adottare una regolamentazione a livello europeo che tutelasse adeguatamente acquirenti e gestori di shop online. La SCA è un metodo sicuro poiché richiede il completamento di un secondo passaggio di autenticazione per i pagamenti online, rendendo in questo modo più difficile l’impiego di carte di credito e password rubate.
Ciò non significa, purtroppo, che non si debba stare costantemente allerta poiché i criminali informatici sono continuamente alla ricerca di vulnerabilità non ancora pubbliche, ovvero i cosiddetti “0-day” (zero day).
Ad esempio, un primo strumento potenzialmente vulnerabile è sicuramente il cellulare che, se lasciato incustodito, potrebbe rivelarsi il primo mezzo per violare ulteriori sistemi di sicurezza.
Bisogna poi tenere bene a mente il fenomeno dei keylogger, ovvero malware progettati specificatamente per registrare i caratteri digitati sulla tastiera allo scopo di sottrarre dati sensibili, e la minaccia rappresentata dai mobile banking trojan, diffusi tramite campagne di mail phishing e social engineering che venivano già utilizzate in passato per i tradizionali trojan banker.
Infine, potrebbero essere possibili le frodi telefoniche, il cosiddetto SIM Swap o SIM Scam (letteralmente scambio SIM o frode della SIM).
(Per un maggior approfondimento su questi problemi di sicurezza vi rimandiamo all’articolo PSD2 e open banking: tutti i problemi di sicurezza della Strong Customer Authentication).