Pagamenti elettronici, Bankitalia: la doppia autenticazione riduce il rischio di frode (Fonte immagine: Pixabay)
Pagamenti elettronici, Bankitalia: la doppia autenticazione riduce il rischio di frode
Secondo uno studio di Bankitalia il sistema della doppia autenticazione per i pagamenti elettronici riduce il rischio di frode del 60% per quelli eseguiti da remoto con carta e dell’80% per quelli effettuati con moneta elettronica
La SCA, ossia i nuovi requisiti di autenticazione forte del cliente (o doppia autenticazione) riduce il rischio di frode del 60% per i pagamenti eseguiti da remoto con carta e dell’80% per quelli effettuati con moneta elettronica. È quanto emerso dal documento “La sicurezza degli strumenti di pagamento retail: evidenze dai dati di vigilanza“, pubblicato oggi da Banca d’Italia, all’interno della collana “Mercati, infrastrutture, sistemi di pagamento“.
Banca d’Italia stima, inoltre, che le transazioni per cui la regolamentazione prevede un’esenzione dall’applicazione della SCA risultano relativamente sicure.
Il lavoro pubblicato da Banca d’Italia affronta, quindi, il tema della sicurezza dei pagamenti al dettaglio, fornendo una stima dell’impatto dei nuovi requisiti di autenticazione forte del cliente (SCA) introdotti con la PSD2 sulla sicurezza dei pagamenti eseguiti da remoto. Per ciascuno strumento di pagamento si costruiscono indicatori di rischio aggregati e si analizza la sicurezza dei pagamenti domestici e cross-border, e dei pagamenti eseguiti da remoto e al punto vendita fisico.
Pagamenti elettronici, in cosa consiste la doppia autenticazione?
Come spiegato da Banca d’Italia l’autenticazione forte del cliente (Strong Customer Authentication – SCA) è “una procedura volta a convalidare l’identificazione di un utente basata sull’uso di due o più elementi di autenticazione (cd. “autenticazione a due fattori“), appartenenti ad almeno due categorie tra le seguenti:
- conoscenza (qualcosa che solo l’utente conosce, come una password o un PIN);
- possesso (qualcosa che solo l’utente possiede, come un token/chiavetta, o uno smartphone);
- inerenza (qualcosa che caratterizza l’utente, come l’impronta digitale o il riconoscimento facciale).
Questi elementi (o credenziali di autenticazione) devono essere indipendenti tra loro, in modo che un’eventuale violazione di uno di essi non comprometta l’affidabilità degli altri”.
Nei pagamenti elettronici, la procedura di autenticazione del cliente tramite SCA “prevede, sulla base delle credenziali inserite dall’utente, la generazione di un codice di autorizzazione monouso – cioè accettato una sola volta dal prestatore di servizi di pagamento (in alcuni casi prende la forma di un codice OTP: One Time Password) – legato indissolubilmente all’importo e al beneficiario: in questo modo, se carpito o intercettato, tale codice non può essere usato per altri pagamenti”.
Vi sono, poi, alcuni casi per cui la normativa prevede che si possa fare a meno della SCA. Ad esempio per i pagamenti a distanza a basso rischio (perché di modesta entità) o di operazioni ricorrenti successive ad una prima autorizzazione (come il pagamento delle rate di un abbonamento successive alla prima).
