18 Ottobre 2019

SCA: cos’è, obblighi e esenzioni per commercianti e negozi online

SCA, Strong Customer Authentication: come funziona l’autenticazione forte dei pagamenti digitali e cosa comporta per le attività commerciali

La SCA, Strong Customer Authentication o autenticazione forte dell’utente, è una delle principali misure di sicurezza introdotte dalla PSD2, nuova normativa europea riguardo ai pagamenti digitali.

Visti i trend costantemente in crescita di e-commerce e vendita online, il 13 Gennaio 2019 è stata emanata la PSD2 (Payment Services Directive 2), nuova direttiva europea pronta a rivoluzionare il mondo FinTech. Lo scopo della normativa è promuovere una digital transformation del mondo dei pagamenti. Come? Condividendo con terze parti autorizzate i dati finanziari degli utenti al fine di creare un vero e proprio mercato Open Banking. In questo modo gli stessi e-commerce potranno fornire servizi di pagamento online autentici e sicuri ai propri clienti. Una delle fondamentali novità della normativa è la SCA o Strong Customer Authentication, ovvero una nuova misura di autenticazione che consente di evitare frodi effettuando pagamenti online in modo completamente sicuro.

La SCA è conosciuta anche come “Autenticazione Forte dell’utente”: consiste nella verifica di due diversi parametri di sicurezza per convalidare l’identità dell’utente prima che svolga il pagamento online. La SCA consente di introdurre un ulteriore garanzia di sicurezza per l’utente durante lo svolgimento di qualsiasi transazione online. Tutti gli e-commerce dovranno integrare ai propri moduli di pagamento l’autenticazione a doppio fattore: un’operazione tecnica e sicura, ma molto complessa.

L’entrata in vigore ufficiale della PSD2 era stata fissata per il 14 Settembre 2019, ma, proprio a causa dei cambiamenti innovativi che il sistema finanziario dovrà subire, è stata prorogata. Bankitalia, adeguandosi ad una proposta dell’European Banking Authority, ha comunicato il 1 Agosto 2019 che l’attuazione pratica della SCA sarà rimandata a data da destinarsi. Lo scopo è concedere più tempo ad imprese e organizzazioni per adeguarsi ai nuovi parametri di sicurezza. Infatti, si stima che con un cambiamento più graduale si potranno evitare potenziali malfunzionamenti e disservizi.

Scopriamo come funziona la Strong Customer Authentication SCA, quali misure devono adottare attività e e-commerce e quali sono le esenzioni.

Vuoi migliorare i tuoi risultati di business?
Scegli la soluzione di pagamento Axepta più adatta alle tue esigenze

 

SCA: come funziona e quando si usa?

La Strong Customer Authentication consiste nella verifica di almeno due fattori di autenticazione per verificare l’identità di un utente prima che effettui un pagamento online. I due fattori vengono combinati in modo dinamico integrando transazione, importo, utente e destinatario.

Come funziona la SCA? Per validare un pagamento online sarà necessaria la combinazione di almeno due dei seguenti elementi:

  1. Qualcosa che solo l’utente conosce
  • PIN o Password;
  • Domande di sicurezza conosciute solo dall’utente.
  1. Fattori biometrici che caratterizzano l’utente
  • Impronta Touch-ID;
  • Riconoscimento facciale Face-ID;
  • Scansione dell’iride;
  • Firma DNA.
  1. Qualcosa che possiede il cliente
  • Smartphone o wearable device
  • Token.

Quando si applica la SCA?

  1. Nel caso in cui un cliente acceda al proprio conto online per svolgere operazioni di Home Banking quali bonifici o giroconti;
  2. Quando un utente effettua un qualsiasi pagamento online.

Molte attività e-commerce temono che l’utilizzo dell’autenticazione forte all’interno dei propri store online possa comportare una diminuzione degli acquisti effettivi. Infatti, l’utente potrebbe percepire questa doppia misura di autenticazione come un “ostacolo” che impedisce la fluidità del pagamento. Per questo la SCA va integrata perfettamente alla user experience dei propri clienti, senza rischiare di farla percepire come un impedimento o un’inutile perdita di tempo. È proprio questo uno dei motivi che hanno portato Bankitalia alla decisione di procrastinare l’entrata in vigore di questa misura di sicurezza.

La SCA, se ben integrata alla customer journey del proprio e-commerce, può rivelarsi particolarmente vantaggiosa sia per clienti che per negozianti:

  • I consumatori potranno godere di un massimo livello di sicurezza per i propri pagamenti online, evitando il rischio di frodi o truffe;
  • Gli e-commerce potranno accrescere la fiducia dei propri clienti e avviare processi di fidelizzazione basati sulla sicurezza del proprio servizio di pagamento.

 

SCA: 4 casi di esenzione dall’autenticazione forte PSD2

Esistono 4 particolari situazioni di pagamento online che sono esenti dall’autenticazione SCA a due livelli. Scopriamo quali sono:

  1. Transazioni di basso valore

Tutte le transazioni online che non superano l’importo di 30 Euro non richiedono l’autenticazione forte SCA. Inoltre, anche i pagamenti cumulativi di importo massimo 100 Euro, ripetuti nelle ultime 24 ore e che non superino le 5 transazioni non sono sottoposti all’obbligo SCA.

  1. Pagamenti a beneficiari attendibili

Ogni cliente può indicare al proprio istituto di pagamento una lista di beneficiari attendibili, ovvero di venditori affidabili. Quando si effettua una transazione verso questi e-commerce la SCA non è richiesta. L’autenticazione forte è necessaria esclusivamente per il primo pagamento. In seguito all’inserimento del beneficiario nella lista di contatti attendibili non verrà più richiesta.

  1. Transazioni a basso rischio

Le transazioni considerate a basso rischio fino ai 500 Euro non richiedono la SCA. L’analisi del rischio e dell’affidabilità viene svolta dai Payment Service Provider. Se la soglia di rischio risulta minima e al di sotto dei parametri fissati per la SCA, quest’ultima non verrà applicata.

  1. Pagamenti ricorrenti

Tutti i pagamenti ricorrenti con valore e beneficiario fissi non sono sottoposti all’obbligo SCA. Anche in questo caso l’autenticazione doppia viene applicata solo per il primo pagamento. Tutti i rinnovi successivi verranno considerati operazioni automatiche. Un classico esempio è il rinnovo dei servizi in abbonamento.

 

Strong Customer Authentication: obblighi per gli e-commerce

Con l’introduzione della SCA, tutti i negozianti e-commerce dovranno obbligatoriamente integrare le nuove misure di autenticazione di pagamento ai propri store online. Come spiegato in precedenza, sono diverse le tecnologie che permettono di verificare l’identità dell’utente: PIN, Password, Touch-ID, Face-ID, etc.

È fondamentale per ogni attività scegliere di implementare nel proprio e-commerce le misure maggiormente adatte alla propria clientela. Infatti, è indispensabile che gli utenti non percepiscano la SCA come impedimento o ostacolo, bensì come misura di sicurezza e tutela necessaria.

Per i business con un numero notevole di clienti abituali, è consigliabile scegliere soluzioni di autenticazione definitive. In questo modo l’utente potrà identificarsi un’unica volta nel momento del primo pagamento, per poi effettuare tutte le transazioni verso lo stesso e-commerce senza bisogno di doppia autenticazione.

Vuoi far crescere la tua impresa e migliorare i tuoi risultati di business?
Con i sistemi di pagamento di Axepta puoi trovare la soluzione di pagamento online migliore per te

Condividi questo articolo!