Dopo i cambiamenti apportati al settore bancario, e in particolare all’area dei pagamenti, con l’emanazione della PSD2 (Payment Services directive 2) il 13 gennaio 2018, nel 2019 è arrivata la SCA, Strong Customer Authentication. Sebbene nascosta dietro il solito acronimo un po’ criptico, la SCA ha avuto un impatto ben maggiore, e soprattutto molto più visibile nel quotidiano, di quelli introdotti precedentemetne nella strada verso l‘open banking.
Open Banking, il 14 settembre entra in vigore la SCA (Strong Customer Authentication)
Il 14 settembre 2019 in tutti i mercati dell’eurozona è entrata in vigore la SCA (Strong Customer Authentication): prevista già dalla PSD2, l’autenticazione forte richiede che i tutti pagamenti online vengano autorizzati con almeno due elementi di autenticazione a scelta fra tre opzioni: un oggetto che possiede solo il cliente (come ad esempio può essere lo smartphone, identificato in modo univoco), una caratteristica che possiede solo il cliente (come l’impronta digitale o un altro fattore biometrico) o un’informazione nota solo al cliente (come una password).
In questo modo le transazioni a distanza in Europa non possono più essere autorizzate solo inserendo un numero di carta di credito (nemmeno se accompagnato dal codice di verifica CVV riportato sul retro), oppure riportando il codice generato dai token che negli ultimi anni le banche hanno distribuito ai clienti per aumentare la sicurezza delle transazioni, e nemmeno con i “numeri segreti” contenuti nelle “carte-codice” adottate da altre banche. Non solo: gli istituti bancari europei hanno l’obbligo di rifiutare le richieste di transazione che non siano autorizzate secondo lo standard SCA.
Open Banking e SCA, che cosa cambia per le banche
Le banche e i giganti del settore, si sono (in gran parte, anche se non del tutto) già attrezzati da tempo, con una campagna di “richiamo” dei vecchi token o con l’aggiunta di un ulteriore elemento di sicurezza: ai clienti, infatti, nella maggior parte dei casi è stata data facoltà di scegliere se installare il “token software” (cioè l’app della banca) sullo smartphone, ottemperando così alla richiesta di due elementi di autenticazione (smartphone + password temporanea) per autorizzare i pagamenti, oppure se, ogni volta che si richiede un pagamento, ricevere un SMS con una OTP (one-time password, cioè password usa-e-getta) da inserire nel sistema di pagamento dopo aver digitato la propria password principale (ottemperando anche in questo caso alla richiesta di doppia autenticazione).