Il lessico appartenente alla sfera dei pagamenti digitali è ricco di sigle. In questo articolo prendiamo in esame quella che probabilmente rappresenta uno dei processi più diffusi ed utilizzati da quasi tutti gli utenti bancari: stiamo parlando della SCA.
Si pensi, ad esempio, al pagamento di una fattura tramite bonifico o a qualsiasi altra operazione che preveda la movimentazione di fondi dal conto bancario. Se queste vengono effettuate tramite i canali online, all’utente verrà richiesto dalla propria banca di farsi riconoscere tramite impronta digitale o face-id e, ancora, di inserire un codice o un altro elemento di sicurezza. Di fatto, viene richiesto di eseguire una SCA.
Cos’è la SCA
La SCA (Strong Customer Authentication) è il processo di autenticazione “forte” che gli istituti bancari devono fornire ai propri utenti qualora questi abbiano la necessità di operare online tramite il proprio conto.
Prevista dalla seconda direttiva europea sui servizi di pagamento (c.d. PSD2), la SCA è diventato uno strumento obbligatorio per le banche che intendano consentire ai propri utenti di eseguire pagamenti tramite home-banking o app. La ratio di tale previsione normativa sta nell’aumento della sicurezza e nella conseguente diminuzione del rischio di frodi causate, ad esempio, dal furto di credenziali, potendo autenticare l’esecutore delle operazioni in modo univoco e sicuro.
Perché “strong”
La “forza” che caratterizza il processo di SCA è da attribuire alla combinazione degli elementi che costituiscono una autenticazione valida. La SCA si basa infatti su due o più fattori che sono indipendenti tra loro in quanto la violazione di uno non compromette l’affidabilità degli altri.
Per portare a termine in modo corretto il processo è necessario che vengano verificati almeno due dei seguenti elementi, ecco perché spesso si sente parlare anche di “Autenticazione a doppio fattore”:
- “Conoscenza” ovvero qualcosa che si conosce. Per questo elemento l’utente deve essere in grado di inserire, durante la procedura di autenticazione, un codice PIN o una risposta ad una domanda di sicurezza o un altro dato simile che solo lui è in grado di conoscere.
- “Possesso” ovvero qualcosa che si possiede, come uno smartphone o altro device previamente autorizzato dalla banca in fase di adesione al servizio digitale.
- “Inerenza”, ovvero qualcosa che caratterizza l’utente stesso, come le impronte digitali o il viso.
Ogni istituto bancario può prevedere in modo autonomo quale combinazione far utilizzare ai propri utenti e quali dispositivi o processi di verifica dei fattori implementare. Pur non addentrandoci in tecnicismi, è utile infatti ricordare che, oltre alle possibili differenti combinazioni tra fattori, sono stati previsti degli standard a livello europeo che permettono alle banche di poter implementare la SCA secondo schemi tecnici predefiniti, aspetto che facilita inoltre le integrazioni con le cd. “Terze Parti”.
Alcune tipologie di istituti di pagamento, ad esempio i prestatori di servizi di disposizione di ordini di pagamento (cd. PISP) per erogare i propri servizi devono integrare i processi di SCA messi a disposizione dalla banca di ciascun utente.
I vantaggi della SCA
La SCA ha sicuramente costituito un utile processo per accrescere in modo sistemico le misure di protezione a favore degli utenti bancari che operano online e di conseguenza anche il loro grado di fiducia nei confronti del mercato dei servizi di pagamento digitali.
La contemporanea presenza di due fattori per poter disporre un pagamento rende più difficoltosa la vita ai malintenzionati, dovendo questi entrare in possesso di entrambi gli elementi richiesti dalla SCA. Tuttavia, tali soggetti hanno adottato e sviluppato rapidamente forme più subdole di cosiddetto “Social Engineering” per aggirare gli ostacoli imposti dall’autenticazione forte, ottenendo purtroppo un rilevante successo.
La previsione di un obbligo normativo ha inoltre consentito di non creare differenze tra gli operatori bancari, mirando a creare un level playing field nel quale venga lasciato però libero spazio per lo studio di soluzioni personalizzate, sempre più frictionless e al contempo in grado di fornire all’utente finale una sensazione di sicurezza nell’esperienza d’uso.
In conclusione, sebbene la SCA abbia rappresentato un notevole salto in avanti per quanto riguarda la sicurezza nel mondo dei pagamenti online, è bene precisare che questa non può rappresentare l’unico presidio di protezione delle proprie informazioni bancarie o dei propri fondi.
Il fattore umano rimane sempre quello più debole, essendo condizionato da disattenzioni, emozioni o infondata fiducia. Pertanto, il miglior modo di proteggersi è sempre quello di conservare con cura i fattori di autenticazione e informarsi ogni volta in caso di dubbio direttamente con la propria banca.
Michele Barba – Centro Studi CGN
