La Direttiva (UE) 2015/2366 sui servizi di pagamento nel mercato interno (PSD2) prevede il ricorso all’autenticazione forte del cliente (la Strong Customer Authentication - SCA) in tutti i casi di accesso online ai conti e per la disposizione di operazioni di pagamento elettronico o per altre azioni tramite canali a distanza che implichino rischi di frode.

Con il parere del 16 ottobre 2019, l’EBA ha fissato al 31 dicembre 2020 il termine ultimo per il completamento dell’adozione della SCA per le carte in tutta Europa, per permettere ad Issuer e Acquirer di completare l’adeguamento del proprio parco carte ed esercenti affinché supportino esclusivamente soluzioni SCA pienamente conformi alla normativa PSD2/RTS2.

L’Autenticazione Forte (meglio nota come SCA-Strong Customer Authentication) è un sistema di sicurezza aggiuntivo che permette di identificare e autenticare in maniera univoca il cliente, riducendo sia i rischi legati all’accesso ai propri conti online che all’esecuzione di operazioni fraudolente da parte di soggetti terzi non autorizzati.

L’utilizzo della SCA prevede che gli utenti che accedono all’area riservata del conto o effettuano disposizioni di pagamento online, dovranno autenticarsi attraverso due o più fattori classificati come:

1. Conoscenza: ad esempio la password personale o il PIN che solo l’utente conosce
2. Possesso: una password temporanea (c.d. One Time Password - OTP) generata da un Token virtuale (generalmente via smartphone) o Token fisico (ad esempio una “chiavetta”) e valida per un solo utilizzo
3. Inerenza: qualcosa di univoco che contraddistingue l’utente come ad esempio la sua impronta digitale.

Le più comuni forme di autenticazione a due fattori sfruttano i primi due strumenti: la password personale e un secondo fattore in esclusivo possesso del cliente.

Come ulteriore elemento di sicurezza a protezione del pagatore, poi, la normativa introduce anche il requisito del Collegamento Dinamico (o Dynamic Linking), per cui le Banche dovranno garantire l'autenticazione delle singole operazioni anche attraverso codici dinamici: in questo modo l’utente è identificato e autorizzato a svolgere una transazione specifica.

In particolare, la Banca dovrà generare, prima dell’autorizzazione dell’utente all’operazione di pagamento, un codice di autenticazione collegato in modo univoco all’operazione inserita prendendo in considerazione gli elementi fondamentali del pagamento, come per esempio l’importo e le credenziali del conto del beneficiario.