I progressi nelle tecnologie digitali e la crescita di internet hanno portato a un'esplosione del crimine online. Mentre i crimini tradizionali come la rapina e il furto d'auto continuano a diminuire, la frode online è diventata rapidamente il crimine più comune nel Regno Unito, con quasi una persona su dieci che ne è vittima.
I criminali hanno cambiato le loro strategie e il crimine online ha permesso loro di prendere di mira migliaia di vittime allo stesso tempo da quasi ogni parte del mondo. Usando il phishing, il malware e una serie di altre tattiche, i criminali possono ottenere l'accesso ai conti bancari delle persone, inducendole con l'inganno a rivelare le loro password e dettagli personali.
Questi crimini online possono avere un impatto devastante sulla vittima, e in alcuni casi, gli individui non sono nemmeno consapevoli di essere stati presi di mira fino a quando non si rendono conto che il loro conto bancario è stato ripulito.
Il settore dei servizi finanziari ha investito molto in nuove misure per aiutare a proteggere i clienti online e questo ha contribuito a prevenire più di 1,6 miliardi di sterline di frodi non autorizzate. Tuttavia, nonostante questo investimento, i criminali informatici sono ancora riusciti a rubare 1,2 miliardi di sterline attraverso frodi e truffe nel 2018.
Nel gennaio 2018, è stata introdotta una nuova direttiva sui servizi di pagamento dell'UE (PSD2), che ha portato nuove leggi progettate per migliorare i diritti dei consumatori e ridurre le frodi online. Questo è stato un aggiornamento della precedente prima direttiva sui servizi di pagamento (PSD1) che è stata attuata nel 2009. La versione aggiornata della direttiva è stata guidata dall'aumento del commercio elettronico e dalle innovazioni tecnologiche nel settore dei pagamenti.
Cos'è la PSD2 Strong Customer Authentication?
Un elemento chiave della PSD2 è l'introduzione di ulteriori autenticazioni di sicurezza per le transazioni online di più di 30 euro, note come Strong Customer Authentication (SCA). In passato, i clienti potevano semplicemente fare il checkout online inserendo il loro numero di carta e un codice di verifica CVC. Tuttavia, secondo i nuovi regolamenti PSD2, i clienti dovranno fornire un'ulteriore forma di identificazione.
Qual è il requisito della Strong Customer Authentication?
Secondo il nuovo regolamento, tutte le transazioni di pagamento elettronico dovranno essere autenticate da almeno due dei tre metodi possibili:
- Conoscenza: Qualcosa che solo l'utente conosce - Es: una password
- Possesso: Qualcosa che solo l'utente possiede - Es: telefono cellulare, token o lettore di carte
- Inerenza: Qualcosa che l'utente è - Es: Biometrico - Impronta digitale, riconoscimento facciale, riconoscimento vocale
Dove si applica l'autenticazione forte del cliente?
SCA si applicherà alle transazioni nello Spazio economico europeo (SEE) solo se sia l'ordinante che il beneficiario si trovano nella regione. Se uno di questi si trova fuori dall'Europa, il requisito è che il fornitore di servizi di pagamento in Europa faccia del suo meglio per applicare SCA.
Cos'è il pagamento SCA?
La Strong Customer Authentication si applicherà ai pagamenti online avviati dal cliente in Europa. Ciò significa che la maggior parte dei pagamenti con carta e tutti i trasferimenti bancari richiederanno la SCA.
Attualmente, il modo più comune di autenticare un pagamento con carta online si basa su 3D Secure. Questo servizio è offerto da diversi fornitori di carte di credito e dà una protezione aggiuntiva agli utenti della carta introducendo un altro livello di protezione con password. Gli svantaggi del metodo attuale includono l'uso di un URL diverso per la schermata pop-up che potrebbe essere scambiato per un sito di phishing. Può anche essere difficile ricordare password multiple per carte diverse.
Per affrontare queste sfide e soddisfare i nuovi requisiti SCA, una versione aggiornata di 3D Secure è stata adottata dalle banche europee. Il nuovo 3DSecure2 è mobile friendly e supporta l'uso della biometria, aiutando a migliorare l'esperienza complessiva dell'utente.
Quali sono le eccezioni alla Strong Customer Authentication?
La PSD2 è stata progettata per rendere la SCA un requisito per tutte le transazioni online. Tuttavia, alcune esenzioni aiuteranno a mantenere un percorso di pagamento del cliente senza attrito e a raggiungere il giusto equilibrio tra la convenienza per il consumatore e la prevenzione delle frodi.
Le esenzioni includono:
- Transazioni di basso valore - Le transazioni sotto i 30€ sono esenti da SCA. Tuttavia, se il cliente tenta più di cinque pagamenti consecutivi di basso valore, o se il valore totale dei pagamenti supera i 100€, sarà richiesto lo SCA.
- Transazioni ricorrenti - Quando un cliente fa un pagamento regolare dello stesso importo alla stessa azienda, SCA sarà richiesto solo per la prima transazione. Se l'importo cambia, 3D secure sarà richiesto per ogni nuovo importo.
- Commercianti in lista bianca - I consumatori hanno la possibilità di assegnare le aziende a una lista bianca di beneficiari fidati. Dopo la prima autenticazione, tutte le ulteriori transazioni saranno esenti da autenticazione.
- Transazioni a basso rischio - Le transazioni a basso rischio che sono state sottoposte a una valutazione in tempo reale possono essere elaborate senza SCA. Questa decisione sarà basata sui livelli medi di frode dell'emittente della carta e loro avranno l'ultima parola sulla necessità o meno dello SCA.
- Ordini postali e telefonici (MOTO) - Le transazioni di ordini postali e telefonici non sono considerate pagamenti elettronici, quindi sono esenti da SCA.
- Pagamenti aziendali - Quando una transazione è avviata da un'azienda piuttosto che da un consumatore, non richiederà un'autenticazione separata.
Quando entrerà in vigore la PSD2 Strong Customer Authentication?
L'implementazione della PSD2 Strong Customer Authentication entrerà in vigore dal 14 settembre 2019.
Nell'ultima settimana, il regolatore finanziario del Regno Unito, la Financial Conduct Authority (FCA), ha accettato di ritardare di 18 mesi l'applicazione del nuovo regolamento sui pagamenti online. Le imprese avranno tempo fino a marzo 2021 per implementare effettivamente la nuova funzione.
Il ritardo è stato concesso dopo la pressione esercitata da gruppi industriali che avvertivano che gli emittenti di carte, le società di pagamento e i rivenditori online non avrebbero avuto abbastanza tempo per implementare i cambiamenti e che i clienti avrebbero potuto essere colpiti come risultato.
La FCA ha detto che non intraprenderà azioni contro le aziende che cadono in fallo della nuova legislazione durante questo periodo di tempo, a condizione che possano dimostrare di aver preso provvedimenti per conformarsi al sistema. Dopo il periodo di grazia di 18 mesi, tutti i pagamenti online saranno soggetti alle nuove misure di sicurezza.
Conclusione
Non c'è dubbio che l'implementazione della PSD2 porterà enormi cambiamenti per i fornitori di servizi di pagamento. Molti dovranno cambiare i loro sistemi per gestire 3D Secure2 e altri metodi SCA, bilanciando attentamente le esigenze di convenienza e sicurezza dei loro clienti. Tuttavia, aiutando a ridurre i tassi di frode nel settore, il nuovo regolamento porterà ad una maggiore fiducia con i consumatori e, in ultima analisi, migliorerà il viaggio complessivo di pagamento dei clienti.
MetaCompliance è specializzata nella creazione della migliore formazione sulla consapevolezza della Cyber Security disponibile sul mercato. I nostri prodotti affrontano direttamente le sfide specifiche che derivano dalle minacce informatiche e dalla governance aziendale, rendendo più facile per gli utenti impegnarsi nella Cyber Security e nella conformità. Contattateci per ulteriori informazioni su come possiamo aiutarvi a trasformare la formazione sulla Cyber Security all'interno della vostra organizzazione.