Guida alla PSD2 - Autenticazione forte del cliente
Pubblicato su: 19 Ago 2019
Ultima modifica il: 24 Lug 2025
I progressi delle tecnologie digitali e la crescita di Internet hanno portato a un’esplosione del crimine online. Mentre i crimini tradizionali come i furti con scasso e i furti d’auto continuano a diminuire, le frodi online sono diventate rapidamente il crimine più comune nel Regno Unito con quasi una persona su dieci ne è vittima.
I criminali hanno modificato le loro strategie e il crimine online ha permesso loro di colpire migliaia di vittime contemporaneamente da qualsiasi parte del mondo. Utilizzando phishing, I criminali possono ottenere l’accesso ai conti bancari delle persone ingannandole e costringendole a rivelare le loro password e i loro dati personali.
Questi crimini online possono avere un impatto devastante sulle vittime e, in alcuni casi, le persone non si rendono conto di essere state prese di mira fino a quando non si accorgono che il loro conto corrente è stato svuotato.
Il settore dei servizi finanziari ha investito molto in nuove misure per aiutare a proteggere i clienti online e questo ha contribuito a prevenire oltre 1,6 miliardi di sterline di frodi non autorizzate. Tuttavia, nonostante questi investimenti, nel 2018 i criminali informatici sono riusciti a rubare 1,2 miliardi di sterline attraverso frodi e truffe.
A gennaio 2018 è stata introdotta la nuova direttiva sui servizi di pagamento dell’UE (PSD2), che prevede nuove leggi volte a migliorare i diritti dei consumatori e a ridurre le frodi online. Si tratta di un aggiornamento della precedente prima direttiva sui servizi di pagamento (PSD1), attuata nel 2009. La versione aggiornata della direttiva è stata determinata dall’aumento del commercio elettronico e dalle innovazioni tecnologiche nel settore dei pagamenti.
Cos’è la Strong Customer Authentication della PSD2?

Un elemento chiave della PSD2 è l’introduzione di ulteriori autenticazioni di sicurezza per le transazioni online di importo superiore a 30 euro, note come Strong Customer Authentication (SCA). In passato, i clienti potevano semplicemente effettuare il checkout online inserendo il numero della propria carta e un codice di verifica CVC. Tuttavia, in base alla nuova normativa PSD2, i clienti dovranno fornire un’ulteriore forma di identificazione.
Qual è il requisito dell’autenticazione forte del cliente?
Secondo il nuovo regolamento, tutte le transazioni di pagamento elettronico dovranno essere autenticate con almeno due dei tre metodi possibili:
- Conoscenza: Qualcosa che solo l’utente conosce – Es: una password
- Possesso: Qualcosa che possiede solo l’utente – Es: telefono cellulare, token o lettore di carte.
- Inerenza: Qualcosa che l’utente è – Es: Biometria – Impronte digitali, riconoscimento facciale, riconoscimento vocale
Dove si applica l’autenticazione forte del cliente?

Il CSA si applica solo alle transazioni nello Spazio Economico Europeo (SEE), quando sia il pagatore che il beneficiario si trovano nella regione. Se uno dei due si trova al di fuori dell’Europa, il fornitore di servizi di pagamento in Europa dovrà fare del suo meglio per applicare la SCA.
Che cos’è il pagamento SCA?
L’Autenticazione Forte del Cliente si applicherà ai pagamenti online avviati dal cliente in Europa. Ciò significa che la maggior parte dei pagamenti con carta e tutti i bonifici bancari richiederanno l’SCA.
Attualmente, il modo più comune di autenticare un pagamento con carta online è il 3D Secure. Questo servizio è offerto da diversi fornitori di carte di credito e offre una protezione aggiuntiva agli utenti della carta introducendo un ulteriore livello di protezione della password. Tra gli svantaggi del metodo attuale c’è l’utilizzo di un URL diverso per la schermata di pop-up che potrebbe essere frainteso come un sito di phishing. Può anche essere difficile ricordare più password per carte diverse.
Per affrontare queste sfide e soddisfare i nuovi requisiti SCA, le banche europee hanno adottato una versione aggiornata di 3D Secure. Il nuovo 3DSecure2 è compatibile con i dispositivi mobili e supporta l’uso della biometria, contribuendo a migliorare l’esperienza complessiva dell’utente.
Quali sono le esenzioni alla Strong Customer Authentication?

La PSD2 è stata progettata per rendere la SCA un requisito per tutte le transazioni online. Tuttavia, alcune esenzioni contribuiranno a mantenere un percorso di pagamento senza attriti per i clienti e a raggiungere il giusto equilibrio tra convenienza per il consumatore e prevenzione delle frodi.
Le esenzioni includono:
- Transazioni di basso valore – Le transazioni di valore inferiore a 30€ sono esenti da SCA. Tuttavia, se il cliente tenta più di cinque pagamenti consecutivi di basso valore, o se il valore totale dei pagamenti supera i 100€, sarà richiesto l’SCA.
- Transazioni ricorrenti – Quando un cliente effettua un pagamento regolare dello stesso importo alla stessa azienda, SCA sarà richiesto solo per la prima transazione. Se l’importo cambia, il 3D secure sarà richiesto per ogni nuovo importo.
- Commercianti inseriti nella whitelist – I consumatori hanno la possibilità di assegnare le aziende a una whitelist di beneficiari affidabili. Dopo il completamento della prima autenticazione, tutte le transazioni successive saranno esenti dall’autenticazione.
- Transazioni a basso rischio – Le transazioni a basso rischio che sono state sottoposte a una valutazione in tempo reale possono essere elaborate senza SCA. Questa decisione si baserà sui livelli medi di frode dell’emittente della carta, che avrà l’ultima parola sull’eventuale necessità di SCA.
- Ordini telefonici e per corrispondenza (MOTO) – Le transazioni di ordini telefonici e per corrispondenza non sono considerate pagamenti elettronici, pertanto sono esenti da SCA.
- Pagamenti aziendali – Quando una transazione è avviata da un’azienda piuttosto che da un consumatore, non richiede un’autenticazione separata.
Quando entrerà in vigore la Strong Customer Authentication della PSD2?
L’implementazione della PSD2 Strong Customer Authentication entrerà in vigore dal 14 settembre 2019.
Nell’ultima settimana, il regolatore finanziario del Regno Unito, la Financial Conduct Authority (FCA), ha deciso di ritardare di 18 mesi l’applicazione del nuovo regolamento sui pagamenti online. Le aziende avranno tempo fino a marzo 2021 per implementare effettivamente la nuova funzione.
Il ritardo è stato concesso dopo le pressioni esercitate dai gruppi industriali che hanno avvertito che gli emittenti di carte, le società di pagamento e i rivenditori online non avrebbero avuto abbastanza tempo per implementare le modifiche e che i clienti avrebbero potuto subire un impatto negativo.
La FCA ha dichiarato che non intraprenderà azioni contro le aziende che non rispettano la nuova legislazione durante questo periodo di tempo, a patto che possano dimostrare di aver preso provvedimenti per conformarsi al sistema. Dopo il periodo di grazia di 18 mesi, tutti i pagamenti online saranno soggetti alle nuove misure di sicurezza.
Conclusione
Non c’è dubbio che l’implementazione della PSD2 comporterà enormi cambiamenti per i fornitori di servizi di pagamento. Molti dovranno modificare i loro sistemi per gestire il 3D Secure2 e altri metodi SCA, bilanciando attentamente le esigenze di convenienza e sicurezza dei loro clienti. Tuttavia, contribuendo a ridurre i tassi di frode nel settore, la nuova normativa porterà a una maggiore fiducia nei confronti dei consumatori e, in ultima analisi, migliorerà il percorso di pagamento complessivo dei clienti.
MetaCompliance è specializzata nella creazione di la migliore formazione sulla sicurezza informatica disponibile sul mercato. I nostri prodotti affrontano direttamente le sfide specifiche che derivano dalle minacce informatiche e dalla governance aziendale, rendendo più facile per gli utenti impegnarsi nella sicurezza informatica e nella conformità. Contattaci per avere maggiori informazioni su come possiamo aiutarti a trasformare la formazione sulla sicurezza informatica all’interno della tua organizzazione.