Come si sa, i conti online presentano chiavette token che generano i codici di accesso per procedere al pagamento. Sabato 14 settembre è entrata in vigore l’ultima parte della direttiva europea dedicata ai servizi di pagamento digitali, la cosiddetta PSD2 che servirà a limitare le frodi.
UE: “I consumatori europei saranno più protetti contro le frodi online e avranno miglior accesso a forme più innovative di pagamenti online e via smartphone”
Il nuovo sistema d’identificazione basato su due fattori, come l’impronta digitale e un codice pin, sarà obbligatorio per tutti i pagamenti online e mobile superiori ai 30 euro.
E’ stato implementato un doppio fattore indipendente di autenticazione (pin più un codice usa e getta) e tramite la password generata sarà possibile compiere solo un’operazione.
In precedenza era possibile compiere un numero indefinito di operazioni di pagamento con la medesima password. Con la nuova normativa, invece, ogni bonifico richiede un nuovo codice usa e getta (un po’ quello che succede utilizzando sistemi quali lettori BancoPosta).
Tale codice è quindi collegato a una singola e unica operazione di pagamento che avviene nei confronti di un solo e unico beneficiario.
Si è scelto di sostituire il vecchio token fisico con i nuovi codici generati direttamente dal proprio smartphone tramite app o inviati via SMS (in verità, alcuni circuiti, per elargire pagamenti su determinati siti già richiedevano un’autenticazione tramite codice da confermare sull’app o pin recapitato tramite SMS sull’intestatario del conto ma con questa nuova normativa i fattori saranno obbligatoriamente congiunti).
Tuttavia, in alcuni casi, la chiavetta che tutti conosciamo è rimasta: essa va però utilizzata in combinazione con altri requisiti di sicurezza.
Tutto ciò andrà sotto il nome di “Strong Customer Authentication”.
Questa procedura inoltre impone alle banche di verificare l’identità dell’utente e l’autenticità delle operazioni di pagamento attraverso l’utilizzo di due o più fattori tra loro indipendenti che facciano riferimento ad esempio al pin, a qualcosa che solo l’utente possiede (ad esempio l’OTP, One Time Password, generata dal proprio cellulare) e all’impronta digitale (Biometria).
Ricapitolando, l’autenticazione forte richiede per tutti i pagamenti online l’autorizzazione con almeno 2 elementi di autenticazione a scelta fra 3 opzioni:
1) un oggetto che possiede solo il cliente (lo smartphone)
2) una caratteristica che possiede solo il cliente (l’impronta digitale o un altro fattore biometrico)
3) un’informazione nota solo al cliente (una password o pin)
In sostanza all’utente viene richiesto un doppio fattore di autenticazione per accedere al proprio conto ed effettuare i pagamenti.
Sbagliato per 5 volte di seguito, il pagamento è bloccato.
Questo sistema è mutuato da siti exchange per criptovalute, visto che molti di questi (ad esempio LocalBitcoins) possiedono un sistema a due fattori per accedere al conto (un po’ diverso da questo ma comunque il sistema è quello).
Sostanzialmente richiedono: mail + password.
Infine il sistema a due fattori con un codice fisso più una centinaia di codici (fissi) corrispondenti ad un centinaia di login (ad esempio il login numero 1 avrà un certo codice, il numero 2 un altro e così via. Il tutto però sempre accoppiato ad un codice fisso uguale per tutti i login).
