I requisiti della Strong Customer Authentication (SCA) contenuti nella PSD2 – Payment services directive 2, troveranno applicazione a partire da domani, 14 settembre 2019. Da tale data il consumatore che effettua un pagamento elettronico dovrà servirsi di due fattori di autenticazione (tra password semplice, one time password su dispositivo che possiede e autenticazione biometrica).
Ma i problemi per siti ecommerce e banche sono così tanti, da affrontare, che andremo verso un periodo di transizione di (almeno) 18 mesi, come vedremo.
I requisiti di tali fattori di autenticazione e le relative esenzioni sono quelli previsti nel Regolamento Delegato della Commissione (UE) 2018/389 sulle Norme tecniche di regolamentazione per l’autenticazione forte del cliente (c.d. “RTS”).
Di fatto, tuttavia, la piena applicazione dei requisiti di SCA per i pagamenti online con carta richiede sforzi infrastrutturali notevoli (tanto che Banca d’Italia ha concesso più tempo oltre il 14 settembre, a chi ne fa richiesta e spieghi come intenda procedere).
Indice degli argomenti
PSD2: i problemi per gli acquisti online
In particolare, è richiesta un’infrastruttura che permetta all’esercente online di comunicare con l’emittente e richiedere l’autenticazione del titolare della carta con la one time password. La maggioranza dei siti di e-commerce non si è ancora dotato di tale infrastruttura, che è basata sul protocollo EMV 3DS.
Possiamo immaginarci l’EMV 3DS come una grossa conduttura che collega l’esercente all’emittente tramite la quale passano circa 140 diverse e specifiche informazioni sul titolare di carta, sull’esercente e sulla transazione stessa.
Molti dei siti su cui i consumatori fanno shopping abitualmente non sono ad oggi in grado di richiedere l’autenticazione del titolare della carta, così come richiesto dalla normativa sulla SCA.
Un’applicazione rigida dei requisiti di SCA al 14 settembre 2019 condurrebbe quindi all’impossibilità per gran parte dei consumatori europei di continuare a fare shopping online.
I consumatori si vedrebbero le proprie transazioni declinate dall’emittente. È stato stimato che circa il 20-30% delle transazioni online non andrebbero a buon fine. Questo porterebbe a una grande sfiducia dei consumatori nei confronti dei pagamenti elettronici ed in ingenti perdite economiche per tutti quegli esercenti, soprattutto di medie e piccole dimensioni, che non si sono ancora adeguati.
Gli esercenti, del resto, sono riluttanti a dotarsi di un’infrastruttura basata sul protocollo EMV 3DS perché la PSD2 non si applica agli esercenti, l’autenticazione aumenta l’abbandono, il protocollo EMV 3DS ha un costo per ogni transazione.
PSD2, problemi per le banche: addio sms
Le banche e altri emittenti di carta, dal canto loro, non sono ancora riusciti a iscrivere tutti i propri titolari di carta in sistemi di autenticazione che siano conformi a quanto previsto dalla normativa sulla SCA.
Prima di tutto perché è impossibile forzare tutti i consumatori a comprarsi uno smartphone, scaricare un’app di autenticazione della banca e usarla.
In secondo luogo, perché l’Autorità Bancaria Europea (ABE) ha “alzato l’asticella” su quali siano le soluzioni conformi. L’SMS OTP, che è finora il metodo più diffuso di autenticazione, usato da molte banche, non è stato considerato da solo conforme ai requisiti di PSD2 (perché può essere intercettato e poi il codice contenuto utilizzato, via attacchi man in the middle).
Questo nonostante l’SMS OTP sia stato molto efficace nella riduzione delle frodi. I dati ci dicono che l’SMS OTP porta a livelli di frode bassissimi, pari a circa 5-6 euro di frode ogni 10 mila euro di transato.
È chiaro che gli emittenti si sono trovati nella condizione di dover trovare delle soluzioni alternative per essere in regola con la nuova normativa, come per esempio aggiungere una password o un PIN all’SMS OTP, nonostante tali fattori di autenticazioni siano molto deboli.
Il futuro comunque è certamente nell’autenticazione biometrica, permessa dalle applicazioni scaricabili sullo smartphone (riconoscimento facciale, impronta digitale) come pure nelle soluzioni di autenticazione “passiva”.
Dobbiamo favorire sistemi di autenticazione “passiva” in modo che i consumatori europei non debbano ricevere un SMS OTP e ricordarsi una password ogni volta che fanno shopping online.
Ci sono soluzioni di autenticazione nel mercato basate sull’intelligenza artificiale e dati di comportamento del consumatore molto più sicure di una password. Amazon ne è un esempio, con dati di frode fra i più bassi nel mercato.
Del resto, se compro gli stessi prodotti dallo stesso esercente, e nel fare questo uso lo stesso computer, con lo stesso indirizzo IP, con la stessa lingua e versione di modello operativo, mi trovo nello stesso luogo e chiedo che il prodotto mi venga inviato al mio indirizzo di casa, che è anche l’indirizzo di fatturazione della mia carta, le probabilità che sia io il titolare della carta è estremamente alta.
Se a questo si aggiunge modalità di autenticazione già approvate dall’ABE, quale il mio modo di digitare sulla tastiera, di cliccare con il mouse e la velocità con cui mi muovo da una pagina all’altra del sito, il numero di falsi positivi e falsi negativi è estremamente basso.
L’opinione dell’ABE
Proprio per permettere ai consumatori di continuare a fare shopping online, l’opinione dell’ABE del 21 giugno 2019 concede alle Autorità Nazionali Competenti (ANC) di concedere un periodo di transizione di durata limitata durante il quale i requisiti di SCA della PSD2 potranno non essere pienamente implementati.
Questo periodo di transizione permetterà agli esercenti di dotarsi della infrastruttura basata sul protocollo EMV 3DS e agli emittenti di registrare i titolari di carta in sistemi di autenticazione che siano conformi a quanto previsto dai requisiti SCA.
Tutti concordano che il periodo di transizione debba essere unico in tutta Europa. Se fosse diverso, gli emittenti nei paesi con un periodo più ristretto sarebbero costretti a declinare le transazioni dei propri clienti quando questi comprano da esercenti esteri che non si sono ancora adeguati all’infrastruttura basata sull’EMV 3DS.
Per esempio, un consumatore italiano che volesse comprasse un biglietto Ryanair non potrebbe completare la transazione se l’Italia dovesse concedere un periodo molto ristretto. Per fortuna, questo non si verificherà perché la Banca d’Italia ha un approccio molto ragionevole e pragmatico e sta aiutando le altre ANC a raggiungere una soluzione condivisa in seno all’ABE.
PSD2, la durata del periodo di transizione
Le ANC, i circuiti quali Visa e Mastercard, gli emittenti, gli esercenti e gli altri operatori di mercato si stanno comunque orientando verso un periodo di transizione di (almeno) 18 mesi.
Durante questi 18 mesi ci dovrebbe essere una continuità operativa per tutti gli operatori che garantisca ai consumatori la possibilità di continuare di fare shopping online. A tal fine, le ANC dovrebbero mettere nero su bianco che:
- gli esercenti che non hanno ancora adottato il protocollo EMV 3DS potranno non inviare una richiesta di autenticazione;
- gli emittenti che ricevono una transazione senza una richiesta di autenticazione potranno comunque autorizzarla;
- gli emittenti che ricevono una transazione con una richiesta di autenticazione potranno autenticare le transazioni utilizzando i sistemi di autenticazione attualmente utilizzati, quali l’SMS OTP, senza bisogno di dover aggiungere una password o un PIN.
Le ANC stanno adesso raccogliendo le informazioni sullo stato di adeguamento degli esercenti all’infrastruttura EMV 3DS e su quanti consumatori possono già autenticare le transazioni ai sensi dei requisiti SCA.
Sulla base di queste informazioni le ANC cercheranno di raggiungere un consenso all’interno dell’ABE sulla durata massima concedibile per il periodo di transizione.
