Cos’è l’autenticazione forte e perché ti protegge da acquisti impulsivi e frodi online.
Comprare online è diventato un riflesso automatico, un gesto talmente rapido che talvolta non ci accorgiamo nemmeno di averlo compiuto. Questa estrema immediatezza ha un caro prezzo: spalancare le porte dei nostri conti in banca, rendendoli vulnerabili a frodi informatiche sempre più sofisticate. Per questo motivo, l’Unione Europea ha deciso di blindare le nostre finanze introducendo la PSD2, la direttiva che ha riscritto da zero le regole dei pagamenti digitali.
Il nostro modo di fare acquisti è cambiato con la Strong Customer Authentication (SCA), ovvero l’autenticazione forte del cliente. Se prima, per acquistare beni e servizi online, bastava copiare i dati della carta sul sito di turno, oggi ogni singola spesa deve superare una doppia verifica. Quello che a un primo sguardo potrebbe sembrare l’ennesimo ostacolo burocratico è in realtà un vero e proprio scudo contro i truffatori.
Cos’è l’Autenticazione forte
Prima dell’introduzione della PSD2, a un criminale bastava intercettare il numero della carta di credito, il codice CVV e la data di scadenza per poter effettuare acquisti online su qualsiasi e-commerce. Con l’autenticazione forte, questo gioco è finito. Anche nel caso in cui un malintenzionato dovesse entrare in possesso dei dati della tua carta, non potrebbe spendere un solo euro senza superare l’autenticazione forte dell’utente.
La normativa ha individuato tre categorie di autenticazione:
- Qualcosa che conosci: ovvero tutte quelle informazioni che sono note solo all’utente, come un PIN oppure la risposta a una domanda di sicurezza.
- Qualcosa che possiedi: un oggetto fisico che appartiene all’utente. Rientrano in questa categoria i token bancari, le carte di pagamento, gli smartphone e i dispositivi per la gestione di codici temporanei.
- Qualcosa che sei: un elemento biometrico che identifica la persona, come, per esempio, il riconoscimento facciale o l’impronta digitale.
L’utente, per poter portare a termine un pagamento, dovrà utilizzare almeno due fattori appartenenti a categorie diverse.
Come funziona e quando è obbligatoria la SCA
Gli habitué dello shopping online si sono probabilmente già imbattuti nella SCA, magari senza conoscerne il nome. Oggi, infatti, dopo aver inserito i dati della carta la banca richiede un’azione immediata, come l’inserimento di un codice temporaneo per poter procedere con l’acquisto. In questo modo, ogni singola transazione online viene collegata all’importo esatto da pagare e al beneficiario. Nel caso in cui l’operazione non venga autorizzata, il pagamento decade istantaneamente.
Sono principalmente tre le casistiche in cui l’autenticazione forte è sempre obbligatoria: in caso di accesso al proprio conto online, quando si compiono operazioni che comportano un rischio di frode e per autorizzare un pagamento elettronico. Tale obbligo si estende anche alle carte di debito e alle prepagate, oltre che a numerosi altri strumenti di pagamento elettronico.
Tuttavia, per evitare che i pagamenti diventino troppo macchinosi, la normativa prevede alcune esenzioni all’obbligo di SCA. Per esempio, per gli abbonamenti e i servizi ricorrenti la doppia autorizzazione è richiesta solo al momento della prima attivazione: i rinnovi successivi saranno addebitati automaticamente, purché l’importo resti invariato.
Numerose banche, per facilitare i propri clienti, hanno poi introdotto la possibilità di inserire determinati esercenti in una lista di soggetti fidati. In questo modo, una volta autorizzato il commerciante, le successive operazioni potranno essere semplificate.
Il reale vantaggio per i consumatori
Abituati come siamo all’immediatezza delle transazioni economiche, l’introduzione della PSD2 non ha ricevuto una risposta troppo entusiasta da parte degli utenti. In molti hanno percepito il processo di pagamento come più lungo e complesso; al tempo stesso, diversi e-commerce si sono trovati a dover aggiornare le proprie piattaforme.
Con il tempo, il meccanismo è diventato automatico e si è tradotto in una drastica riduzione delle carte clonate.
C’è poi un risvolto collaterale, di natura puramente psicologica, che non va sottovalutato. Prima dell’introduzione della SCA, gli acquisti online erano diventati un gesto quasi anestetizzato. Con la fluidità del pagamento con un clic è stato eliminato il cosiddetto pain of paying (il dolore del pagamento), tanto da favorire gli acquisti impulsivi, slegati da una reale percezione del denaro. L’obbligo dell’autenticazione forte ha ripristinato quel confine. Quella serie di gesti richiesti per autorizzare un pagamento ha spezzato l’automatismo compulsivo e ha restituito consapevolezza all’azione. Davanti a una notifica push o alla richiesta di un codice temporaneo, la transazione torna a essere percepita come uno scambio economico reale.
