stampa

IL CONTESTO DI MERCATO

La SCA (Strong Customer Authentication) consiste nella verifica di almeno due fattori di diversa tipologia per accertare l'identità di un utente di servizi di pagamento e quindi per autorizzare uno specifico pagamento. I fattori necessari per l'autenticazione vengono combinati in modo dinamico legando ciascuna transazione ad un importo e un beneficiario specifico (nel caso dei pagamenti online il beneficiario è l'esercente), creando pertanto una correlazione puntuale tra l'operazione e l'autorizzazione della stessa.
Per quanto riguarda i sopra citati fattori che dovranno essere verificati, la normativa in vigore ha definito puntualmente le caratteristiche degli stessi, come di seguito indicato:

  • conoscenza: qualcosa che solo l'utente conosce (es. PIN o password)
  • possesso: qualcosa che solo l'utente possiede (es. uno smartphone verificato con l'invio di un One-Time password via SMS)
  • inerenza: qualcosa che l'utente "è" (es.: biometria, come riconoscimento facciale o impronta digitale)
 

L'introduzione della SCA ha generato delle ripercussioni sul mercato.
Da un lato, le banche emittenti carte di pagamento stanno rivedendo le modalità di autenticazione che i propri titolari di carta dovranno adottare per autenticare una transazione 3D Secure. Dall'altro, tutti gli esercenti online europei dovranno adottare il nuovo protocollo di sicurezza.

La normativa prevede alcune esenzioni in cui non viene applicato il 3D Secure:

  • le transazioni di importo fisso ricorrenti (es. abbonamento a Netflix)
  • le operazioni considerate a basso rischio dai sistemi antifrode (a esempio. Transaction Risk Analysis)
  • le operazioni effettuate su esercenti dichiarati come "affidabili" dal titolare carta (cosiddetto. Whitelisting) e le operazioni di basso valore
  • le operazioni effettuate senza l'interazione online con il titolare carta, come ad esempio gli ordini telefonici o via e-mail, le ricariche ricorrenti automatiche (es. ricarica telefonica mensile automatica)

Infine, in merito alle carte censite negli wallet di grandi esercenti (big tech, quali ad esempio Amazon, ebay, Apple) il titolare che inserirà per la prima volta le carte nel wallet dovrà autorizzare una tantum l'operazione con il protocollo 3D Secure versione 2.0.