A gennaio 2018 è entrata in vigore la seconda edizione della Direttiva UE sui servizi di pagamento nel mercato europeo che invita e impone di affrontare in modo nuovo il tema della sicurezza e intende rendere più sicuri i pagamenti digitali

La PSD2 (Payment Service Directive 2) invita e impone di affrontare in modo nuovo il tema della sicurezza e intende rendere più sicuri i pagamenti digitali. Tutti i sistemi di autenticazione e autorizzazione dovranno adeguarsi entro il 14 settembre 2019 e implementare la cosiddetta SCA (Strong Customer Authentication).


Quali sono i requisiti della Strong Customer Authentication?
Escluse alcune transazioni appartenenti a uno specifico elenco di esenzione (es. pagamenti ricorrenti e piccoli importi), la PSD2 impone l'autenticazione forte, basata sull'utilizzo di due o più elementi classificati nelle seguenti categorie:


• Conoscenza (qualcosa che solo l’utente conosce)
• Possesso (qualcosa che solo l’utente possiede)
• Inerenza (qualcosa che caratterizza l’utente)

Con l’obiettivo di garantire il rispetto della normativa e avere il minor impatto possibile sull’utenza due sono gli scenari nei i quali si è deciso di implementare una soluzione basata sull’utilizzo dello smartphone, o di un telefono cellulare tradizionale, da parte dell’utente finale:

TokenApp
Implementazione all’interno dell’App Carige Mobile di una serie di funzionalità che consentono di poter trasformare uno smartphone in un dispositivo di autorizzazione, ad esempio funzionalità per la gestione del dispositivo come Token autorizzativo. Ogni transazione iniziata sui canali online verrà autorizzata tramite l’app con l’inserimento di un PIN conosciuto solo dall’utente.

In questo caso le caratteristiche della SCA sono rispettate in quanto:
• Conoscenza: il PIN
• Possesso: lo smartphone

One Time Password (OTP)
Una soluzione alternativa per tutti i clienti che possiedono un cellulare ma non uno smartphone è quella di inviare una password “usa e getta” (One Time Password) al dispositivo dell’utente. La password è univoca per la specifica operazione (Dynamic Link) e verrà anche richiesta in fase di collegamento ai canali online.

Anche in questo scenario le caratteristiche della SCA sono rispettate in quanto:
• Conoscenza: la OPT
• Possesso: la SIM del cellulare

Considerazioni
Tra le due soluzioni, entrambi compliant, quella che prevede l’utilizzo della TokenApp presenta almeno due vantaggi:
1. Maggiore sicurezza: il possesso del dispositivo fornisce maggiori garanzie del possesso della SIM.
2. Maggiore disponibilità: la TokenApp ha la possibilità di essere utilizzata anche nel caso di dispositivo mobile fuori copertura, utilizzando un QRCODE.

DOCK joined in tech ha il compito di implementare la SCA per i canali online del Gruppo CARIGE. Questo articolo è un approfondimento tecnico e una riflessione su alcune delle soluzioni adottate nei progetti in corso. Francesco Boncompagni è Project Manager per il progetto Token App.

Per approfondire
L'autenticazione a due fattori

6 Giugno 2019