Che cosa è l'autenticazione forte del cliente (Strong Customer Authentication, SCA)

La principale misura di sicurezza prevista dalla normativa è l'autenticazione forte del cliente (Strong Customer Authentication - SCA); si tratta di una procedura per convalidare l'identificazione di un utente basata sull'uso di due o più elementi di autenticazione (cd. "autenticazione a due fattori"), appartenenti ad almeno due categorie tra le seguenti:

• conoscenza (qualcosa che solo l'utente conosce, come una password o un PIN);
• possesso (qualcosa che solo l'utente possiede, come un token/chiavetta, o uno smartphone);
• inerenza (qualcosa che caratterizza l'utente, come l'impronta digitale o il riconoscimento facciale).

Questi elementi (o credenziali di autenticazione) devono essere indipendenti tra loro, in modo che un'eventuale violazione di uno di essi non comprometta l'affidabilità degli altri.

Gli utenti potranno rivolgersi all'intermediario che ha emesso la carta per verificare le modalità con le quali procedere alla creazione/abilitazione dei fattori di autenticazione nonché per qualsiasi esigenza legata all'utilizzo della SCA.

La procedura di autenticazione del cliente tramite SCA è propedeutica all'autorizzazione di un pagamento on line; essa prevede, sulla base delle credenziali inserite dall'utente, la generazione di un codice di autorizzazione monouso - cioè accettato una sola volta dal prestatore di servizi di pagamento (in taluni casi prende la forma di un codice OTP: One Time Password) - legato indissolubilmente all'importo e al beneficiario: in questo modo, se carpito o intercettato, tale codice non può essere usato per altri pagamenti.

Attraverso la SCA viene offerta sia ai pagatori sia agli esercenti una soluzione tecnica molto avanzata per il contrasto delle frodi, che in caso di problemi, come furti o smarrimenti, rende più difficile l'utilizzo della carta da parte di soggetti diversi dal legittimo titolare.

In alcuni casi, la normativa prevede che si possa fare a meno della SCA; si tratta, ad esempio, dei pagamenti a distanza a basso rischio (perché di modesta entità) o di operazioni ricorrenti successive ad una prima autorizzazione (come il pagamento delle rate di un abbonamento successive alla prima).