PSD2 Conformità: autenticazione forte dei clienti senza attriti

La normativa PSD2 innalza il livello dei requisiti di sicurezza che accompagnano la convalida delle transazioni finanziarie e regola l'accesso ai dati bancari, in particolare rendendo obbligatoria l'autenticazione forte per alcune operazioni, compresi i pagamenti online. E-merchant, fornitori di servizi di pagamento, banche: non abbiate paura di perdere i vostri clienti rispettando il PSD2.
Conformità e autenticazione forte

Cos'è il regolamento PSD2?

L'obiettivo della seconda direttiva europea sui servizi di pagamento (PSD2) è quello di rafforzare la sicurezza dei pagamenti. Adottato nel novembre 2015, è entrato in vigore in tutta l'Unione Europea nel gennaio 2018 (anche se alcune disposizioni devono ancora essere attuate), innalzando il livello dei requisiti di sicurezza che accompagnano la convalida delle transazioni finanziarie e regolando l'accesso ai dati bancari.

In tema di caratteristiche di sicurezza, l'elemento principale di PSD2 è l'uso diffuso dell'autenticazione a più fattori (MFA) per alcune tipologie di transazioni, compresi i pagamenti online.

La sicurezza dei pagamenti è garantita da un'autenticazione forte con la PSD2

Cos'è l’autenticazione a più fattori?

L'autenticazione si dice forte quando un utente deve fornire due delle tre possibili categorie di fattori di identificazione per accedere o convalidare la sua operazione. Le 3 categorie di fattori di identificazione sono:

  • qualcosa che conosco(fattore knowledge): l'esempio più comune è la password per le applicazioni, o il codice PIN per le carte di pagamento.
  • qualcosa che possiedo(fattore possession): un telefono, un computer, una chiavetta USB, un oggetto collegato. Le possibilità sono numerose. Il fattore possession è generalmente chiamato token.
  • qualcosa che sono: si tratta essenzialmente di fattori biometrici - impronta digitale, scanning della retina, voce, riconoscimento facciale...

Conformità alla PSD2: le transazioni che richiedono la Strong Customer Authentication (SCA)

La direttiva europea impone la Strong Customer Authentication su 3 tipi di operazioni.

accesso e gestione dell’account di pagamento

che può essere un conto di deposito presso una banca o un conto presso un provider di servizi di pagamento.

pagamento online

effettuato con carta di credito o con bonifico bancario.

transazione online con un significativo rischio di frode

come la convalida di un nuovo beneficiario di trasferimenti.

La normativa PSD2 prevede alcune eccezioni a queste regole, elencando le transazioni considerate a basso rischio. Queste eccezioni includono i pagamenti fino a 50 euro in modalità contactless o fino a 30 euro online, o ancora trasferimenti a un beneficiario che è stato già in precedenza convalidato mediante autenticazione forte.

No, la convalida via SMS non è autenticazione forte

La principale conseguenza della PSD2 è che il funzionamento consueto del sistema di sicurezza dei pagamenti (3D Secure), che convalida inviando una password una tantum (OTP - One Time Password) via SMS che l'utente deve reinserire, non è più conforme. Questo sistema infatti si basa su un solo fattore, quello del possesso di un telefono cellulare, e può essere aggirato molto facilmente.

La direttiva quindi modifica il customer journey dell’e-commerce nel suo punto più cruciale: la fase di convalida del pagamento. Da qui le paure dei rivenditori online, che sono preoccupati per un aumento di abbandoni del carrello a causa di quello che percepiscono come un processo più complesso. Questa preoccupazione è comprensibile se si considerano solo le soluzioni più comuni di autenticazione a due o più fattori: generalmente poco sicure, sono anche complicate da usare, dato che spesso richiedono il reinserimento di una password OTP ottenuta in modo più o meno pratico.

Tuttavia, questo non è affatto obbligatorio: lo testimonia inWebo MFA, la cui implementazione non solo permette la conformità alla PSD2, ma riduce anche attriti e rallentamenti nel processo di pagamento, anche in confronto all'esperienza attualmente offerta da 3D Secure.

Conformità PSD2: inWebo MFA, la soluzione di autenticazione a più fattori che soddisfa tutti i requisiti

Ottenere la conformità all'intera normativa PSD2 è un compito complesso, che richiede molte competenze. La buona notizia è che la soluzione MFA di inWebo non solo ha tutte le carte in regola per rendere sicure le transazioni, ma offre anche caratteristiche uniche per facilitare l'implementazione e migliorare la user experience.

Con inWebo MFA

l'accesso agli account è protetto

la soluzione inWebo può essere facilmente implementata e integrata per proteggere l'accesso esterno ai conti di deposito bancario o agli account presso provider di pagamento.

le operazioni sensibili e i cambiamenti di status sono confermati da un link dinamico

Questo link dinamico, in conformità alla PSD2, garantisce la tracciabilità e la sicurezza di tutte le operazioni considerate a rischio, come l'aggiunta di un beneficiario di trasferimento.

La Strong Customer Authentication (SCA) è assicurata

La SCA (Strong Customer Authentication) implica almeno l'autenticazione a 2 fattori, ed esclude automaticamente le soluzioni con one-time password via SMS. inWebo offre la gamma più completa di fattori di accesso, con i suoi token mobile, desktop, browser (Deviceless e Smartphoneless).
Come condizione essenziale perché i suoi clienti bancari siano certificati PSD2, inWebo è un OSSP (Outsourced Critical Service Provider), garantendo la resilienza del servizio di MFA.

Come essere conformi a PSD2 offrendo un customer journey privo di attriti

Resta comunque il fatto che il principale ostacolo alla conformità alla normativa PSD2 oggi non è tecnico ma legato, come abbiamo visto, alle paure suscitate dai cambiamenti nel processo di pagamento.

È qui che entra in gioco uno dei principali elementi di differenziazione della soluzione inWebo: l’autenticazione forte senza uno smartphone, attraverso un semplice browser. Il token Deviceless (o Smartphoneless) permette al cliente di autenticarsi in conformità alla PSD2 senza nessun altro dispositivo trusted oltre al suo browser, tramite un semplice codice PIN riutilizzabile. E tutto questo si ottiene garantendo allo stesso tempo il più alto livello di access security rispetto a qualsiasi altra soluzione MFA, grazie all'esclusiva tecnologia dynamic random keys. Per saperne di più su questa innovazione tecnologica, leggi il nostro articolo Deviceless MFA.

Non solo l'implementazione della soluzione MFA inWebo non peggiora la login experience, ma la rende addirittura più semplice eliminando la necessità di uno smartphone, di una rete mobile per ricevere l'SMS e di reinserire un codice unico soggetto a errori.

Il percorso è quindi semplificato. Ma è anche unificato. Con centinaia di integrazioni disponibili, tramite connettori, la sua modalità API o il suo SDK, la soluzione inWebo MFA può essere implementata su tutti gli accessi all'applicazione, non solo sugli accessi al conto bancario. Così, l'utente che vuole accedere alla sua posta elettronica, convalidare una transazione o accedere alla VPN della sua azienda beneficerà di un'interfaccia unificata, un'esperienza di login uniforme e anche un codice PIN unico (o qualsiasi altro fattore knowledge) senza alcun compromesso in termini di sicurezza.

Compliance PSD2? Niente paura!

E-merchant, provider di servizi di pagamento, banche, non abbiate paura di perdere i vostri clienti adattandovi alla PSD2. Grazie a inWebo, è possibile combinare la Strong Customer Authentication con un processo di pagamento fluido. Inoltre, la soluzione MFA Full SaaS può essere distribuita in pochi click a migliaia di utenti, senza alcun vincolo di dotazione.

Guarda il replay del nostro webinar 

PSD2 e autenticazione a due o più fattori dei clienti: combinare sicurezza ed esperienza utente semplificata

Che cos'è la direttiva sui servizi di pagamento PSD2 ?
PSD2 è la revisione della direttiva sui servizi di pagamento emanata dalla Commissione Europea che regolamenta i servizi di pagamento in tutta l'Unione Europea. La direttiva sui servizi di pagamento è stata adottata per la prima volta nel novembre 2015 (PSD1) e attuata in tutta l'UE nel gennaio 2018 (PSD2). La direttiva innalza il livello dei requisiti di sicurezza per la convalida delle transazioni finanziarie e regola l'accesso ai dati bancari.
Che cos'è l'autenticazione forte del cliente (SCA)?
La conformità al sito PSD2 richiede che i servizi finanziari applichino l'autenticazione forte del cliente (SCA) per tre tipi di transazioni: (i) accesso e gestione del conto di pagamento, (ii) pagamento online e (iii) transazioni online con un rischio significativo di frode.
In che modo PSD2 sta cambiando i mercati dei pagamenti?
PSD2 aumenta la concorrenza nel mercato dei pagamenti, consentendo a soggetti non bancari di offrire servizi nuovi e innovativi ai propri clienti. Ad esempio, dall'adozione della PSD1 nel 2007, sono emersi nuovi servizi di pagamento online, noti come FinTech o Third Party Provider (TTP). Con PSD2, le FinTech sono tenute a seguire le stesse regole dei tradizionali fornitori di servizi di pagamento, assicurando che possano offrire i loro servizi in tutta l'UE.

Contattaci per una demo o per richiedere il tuo account di prova

Le nostre ultime notizie

Richiedi una demo