Nell’ottica di tutelare al meglio i consumatori che fanno acquisti online, l’Unione Europea ha deciso che dal 14 settembre 2019 entrerà in vigore in tutti i mercati dell’eurozona la Strong Customer Authentication (SCA) prevista dalla direttiva PSD2 (Payment Services Directive) dell’11 dicembre 2017 e recepita dall’Italia con decreto legislativo del 13 gennaio 2018. È un requisito obbligatorio di autenticazione in due fattori per i pagamenti online, e richiede che i pagamenti vengano autenticati mediante almeno due dei seguenti tre elementi: informazioni note solo al cliente (ad esempio password o domanda di sicurezza), oggetti posseduti solo dal cliente (per esempio lo smartphone), caratteristiche fisiche che possiede solo il cliente (impronta digitale o riconoscimento facciale).
Il motivo di questa decisione è evitare furti di dati bancari, frodi e altri elementi di rischio a cui sono esposti i consumatori meno prudenti. Nonostante le molte sollecitazioni da parte degli esperti di sicurezza e dei maggiori gestori dei servizi (pensiamo per esempio ad Amazon e Google), sono infatti molti gli utenti che non hanno ancora adottato un metodo di autenticazione in due fattori. Da settembre tutti coloro che intendono fare acquisti online dovranno forzatamente adeguarsi, attivando le soluzioni già proposte da servizi come PayPal, Amazon e Google. E sono molti i commercianti che non lo richiedono.
Chiarito che secondo l’Autorità bancaria europea i dati riportati sulla carta (il numero, il codice CVV e la data di scadenza), non sono considerati idonei, a decorrere dalla data indicata tutti i pagamenti che non saranno conformi all’autenticazione SCA dovranno essere rifiutati dall’istituto bancario del cliente.
Per i consumatori la diretta conseguenza è che ci sarà un rapido aumento nell’uso dei sistemi di riconoscimento biometrico, peraltro già presenti su moltissimi smartphone e PC in circolazione. Il problema semmai è dalla parte dei commercianti, tutt’altro che pronti ad accogliere l’iniziativa. Un recente sondaggio condotto da Mastercard, per esempio, indica che solo il 25% dei commercianti online in Europa è a conoscenza delle proprie responsabilità SCA, che solo il 14% attualmente lo supporta, il 28% prevede di rispettare la scadenza di settembre, mentre il 24% non ha intenzione di adeguarsi.
“L’uso di password per autenticare gli utenti è terribilmente obsoleto” spiega Ajm Bhalla, Presidente di Global Enterprise Risk and Security di Mastercard, secondo cui “è molto più facile autenticarsi con un sistema biometrico, oltre che più sicuro”. Non a caso l’azienda è fra le prime a recepire la nuova normativa PSD2, i cui requisiti SCA saranno attivi già a far data da aprile 2019.
Secondo una relazione di Iovation e Aite Group, l’entrata in vigore della normativa PSD2 e dei requisiti SCA potrebbe spostare la concentrazione di frodi bancarie verso altre regioni, come gli Stati Uniti.