Pagamenti online, arriva l’autenticazione forte

Si chiama strong authentication ed è la novità principale introdotta dalla recente Direttiva sui servizi di pagamento (UE 2366 del 2015), detta PSD2. Si tratta sostanzialmente di un'autenticazione doppia, richiesta al momento di un acquisto, che avviene attraverso l'inserimento di due password: una statica, conosciuta dall’utente, e una dinamica, che consiste in un codice usa e getta che può avere la forma di un messaggio sul cellulare oppure può essere generata tramite le cosiddette chiavette o token.

In pratica si tratta dell’applicazione ai pagamenti della stessa procedura richiesta quando facciamo operazioni dispositive sul nostro home banking, per esempio un bonifico online. Le nuove regole, definite dall’EBA (l’autorità bancaria europea) con il via libera della Commissione europea, dovrebbero entrare in vigore entro 18 mesi dall'approvazione, quindi entro novembre 2018, e si applicheranno a molti degli acquisti online, anche se non a tutti.
  • Compromessi e deroghe
  • Compromessi e deroghe

    Tutto ciò che rende l’acquisto online più complicato non piace ai grandi operatori come Amazon o Visa, ma neanche a Google e Apple, che vendono ogni giorno centinaia di migliaia di app nei loro store. In seguito alle forti contrarietà espresse da alcuni big del commercio online si è quindi arrivati a un compromesso che lascia, però, molti dubbi sull'effettiva sicurezza degli utenti e sulla riduzione del possibile numero di frodi, che era poi l'intento del legislatore europeo.

    Esiste per esempio la possibilità di una deroga all’autenticazione forte per le operazioni online di basso ammontare (sotto i 30 euro) e solo se con la deroga sono state fatte in totale operazioni di pagamento che non superano i 100 euro o ne sono state fatte al massimo cinque consecutive.

    Un'altra deroga si basa sull'analisi di rischio: se l'operazione viene considerata poco rischiosa, l'autenticazione forte non verrà richiesta. Come viene classificata un'operazione a basso rischio? Devono verificarsi queste condizioni: l'operazione non può superare i 500 euro, deve essere classificata entro il tasso di frode rilevato per la banca che fa il pagamento e si deve trattare di un'operazione dall'ammontare non anomalo, con accesso da computer o altro dispositivo identificato e con luogo di spedizione della merce non strano e già noto.

    Sarà inoltre possibile indicare alla banca o all'istituto di pagamento una lista di beneficiari di fiducia o di transazioni ricorrenti per i quali i pagamenti possono essere fatti senza autenticazione forte. Per esempio se compriamo sempre da un sito di commercio elettronico che consideriamo molto affidabile, potremmo indicarlo nella lista per non essere obbligati alla doppia autenticazione durante gli acquisti. Uno dei punti forti di Amazon, come si sa, è la possibilità di comprare con un semplice clic, avendo dato in precedenza il proprio assenso alla conservazione dei dati della carta di credito. Con la doppia autenticazione si perderebbe questa comodità.
  • Possibili intoppi
  • Possibili intoppi

    Non è detto che vada tutto liscio come l’olio quando facciamo un acquisto online. Lo strumento di pagamento viene bloccato se l'autenticazione per un pagamento fallisce per cinque volte di seguito. In tutti i casi, prima del blocco permanente il cliente sarà allertato. Inoltre se dopo l'autenticazione di un pagamento si rimane inattivi per più di cinque minuti, bisognerà autenticarsi nuovamente. È anche bene ricordare che l'autorizzazione al pagamento si ottiene per un determinato ammontare: nel momento in cui la somma aumenta (nel caso, per esempio, dell'aggiunta di commissioni) l'autorizzazione non sarà più valida e l’autenticazione andrà ripetuta.
  • Sul sito della banca
  • Sul sito della banca

    Anche per le operazioni di home banking sono state previste delle deroghe. L'autenticazione forte non sarà necessaria se si accede al sito della banca solo per controllare il saldo del conto corrente o le operazioni eseguite negli ultimi 90 giorni. Anche i bonifici a se stessi nella stessa banca, i cosiddetti giroconti, non necessiteranno di un’autenticazione forte.
  • Il PIN per i pagamenti contactless
  • Il PIN per i pagamenti contactless

    Qualcosa è cambiato anche per quel che riguarda le procedure di pagamento nei negozi fisici, in particolare per le operazioni contactless, che avvengono con il semplice avvicinamento della carta o dello smartphone al POS. Fino ad oggi il limite di spesa al di sotto del quale non era necessario digitare il PIN era di 25 euro, in futuro il limite sarà innalzato a 50 euro. Il PIN sarà però richiesto per qualsiasi pagamento se il totale dei pagamenti consecutivi senza PIN supera i 150 euro o se sono state già fatte cinque operazioni consecutive senza PIN. A prescindere dall'ammontare, non verrà invece richiesto alcun PIN quando le carte verranno utilizzate per pagare biglietti di trasporto o parcheggi su terminali incustoditi.