Ci sono voluti 15 mesi di proroga per mettere il sistema bancario europeo in linea con l’introduzione della SCA, la Strong Customer Authentication (https://www.payment-universe.com/strong-customer-authentication-and-new-deadlines-what-to-do-with-it/). Una proroga necessaria, visto che nel 2019, al momento dell’introduzione della PSD2, la Direttiva che la prevede, solo la Svezia era pronta a partire. Dal primo gennaio è scattata l’ora X e il sistema è entrato in funzione. Tutte le banche devono offrire ai propri clienti un processo di doppia autenticazione per i pagamenti cashless. Come funziona la novità da noi? Lo spiega in questa intervista Matteo Risi, ricercatore dell’Osservatorio Innovative Payments del Politecnico di Milano.

Come si fa una doppia identificazione?

«La Sca non è solo per i pagamenti online, ma anche in negozio. Le modalità disponibili si giocano su tre fattori: qualcosa che solo io conosco (un pin, per esempio), qualcosa che posseggo (la carta, ma anche un cellulare), qualcosa che solo io sono (i miei dati biometrici). Nel mondo fisico la cosa si risolve più facilmente, perché io ho la mia carta in mano, e il commerciante lo vede, e ho il pin, che solo io conosco. Il doppio requisito di autenticazione c’è. Ma per far andar a buon fine un pagamento nel mondo online la cosa si fa più complicata. L’Eba, per esempio, ha chiarito che il possesso della carta in un pagamento online da casa non vale come fattore di possesso. I dati della carta potrebbero saperli in tanti, e quindi non vale come autenticazione”. 

Quindi cosa è necessario nei pagamenti online?

«Si sono scelte due modalità: viene inviato l’sms con dentro un codice online. E quindi si verifica che l’utilizzatore della carta sia il titolare in quanto ha ricevuto il codice: verifica del possesso. Dall’inizio dell’anno, ed è qui la novità, oltre all’sms andrà inserito un ulteriore codice. Ogni banca lo sta facendo a modo suo. Alcune chiedono all’utente di registrarsi e impostare un codice che sa solo lui, altre chiedono lo stesso codice usato per entrare nella sua banca online, altre di utilizzare lo stesso pin usato per prelevare al bancomat». 

Il processo è più semplice per chi ha una app della propria banca e opera attraverso quella?

«Per chi ha una app bancaria funziona così: quando si inserisce il numero carta durante il pagamento online, la banca ti manda una notifica push sullo smartphone che è nella sostanza una verifica del possesso del telefono, perché un utente può essere “loggato” solo su uno specifico telefono (quando lo cambia deve staccarsi e inserire quello nuovo). Quindi si entra nella app e si dà un pin o una password di autenticazione – il fattore “solo io conosco” – o la mia impronta – fattore “solo io sono”. E do l’ok al pagamento».

Perché le banche ci hanno messo tanto ad attivare questo sistema?

«Banche e commercianti temono che le transazioni online, rese un po’ più complesse, si riducano perché è più difficile per molte persone mandarle a buon fine. Tra l’altro le banche non avevano tassi di frode così alti da dover mettere su una macchina simile». 

È un timore fondato?

«Il punto è: il cliente sa che le cose sono cambiate? Ha registrato il suo numero telefono con la banca? Sa qual è il pin che deve mettere dopo aver ricevuto l’sms? Magari non lo ricorda, oppure non è il pin che usa per prelevare ma uno solo per gli acquisti. Così perde la transazione, è frustrato e spegne computer. Le banche sono sicure che verrà perso un po’ di volume di commercio online. E finora preferivano correre qualche rischio pur di incrementare i volumi di transazioni». 

Sotto il profilo tecnologico è stato un impegno importante per il sistema bancario?

«Per far funzionare l’invio dell’sms con il codice hanno dovuto registrare tutti i numeri telefono dei clienti. E integrare il 3d secure code». 

Che cosa è?

«L’sms che ti arriva quando fai un pagamento online che ti dà il codice da inserire per concludere il pagamento, ad esempio, è una parte di questo sistema chiamato 3D Secure Code. Più in generale, è quel sistema che permette la comunicazione tra la banca di chi acquista e la banca del commerciante online. Quest’ultima si mette in contatto con la mia banca, che mi manda l’sms per verificare che a fare il pagamento sia io e nessun’altro. Questo sistema è stato potenziato con la SCA e adesso fornisce più informazioni. Per esempio, il sistema operativo del mio device, oppure se quel commerciante è un mio fornitore abituale. Informazioni che aiutano a capire se il pagamento è legittimo o presenta anomalie».

Ci sono contromisure per attenuare il rischio di caduta delle transazioni tanto temuto?

«Il regolatore europeo ha messo a disposizione delle banche delle esenzioni dalla SCA. Per esempio, i micro pagamenti sotto i 30 euro possono essere esentati dalla doppia autenticazione, almeno per un certo numero di transazioni consecutive dopo il quale scatta comunque la verifica. Un’altra strada che le banche possono utilizzare per saltare la SCA è fornita dal commerciante stesso, che ha la facoltà di chiedere al consumatore di essere inserito in una “white list” di eCommerce fidati. Di esenzioni ce ne sono anche altre, ma una delle più importanti è quella che permette a quegli istituti che hanno bassi tassi di frode di evitare la SCA per i propri clienti».