Strong customer authentication

La Strong Customer Authentication (SCA), cioè l'autenticazione del cliente tramite un sistema multifattoriale, è un requisito per servizi online che richiedono un elevato livello di sicurezza.

La SCA è una delle novità introdotte dalla PSD2 (Payment Services Directive 2) la seconda direttiva sui servizi di pagamento, voluta dall’UE per favorire la crescita dei pagamenti digitali europei.

La SCA è correntemente usata dalle banche e dagli altri prestatori di servizi di pagamento (anche per servizi diversi da quelli di pagamento) laddove sia richiesto un elevato livello di confidenza sull'identità della controparte.

Requisiti

La SCA prevede che per alcuni tipi di pagamento in alcune condizioni sia chiesta al cliente un'autenticazione a due fattori o più.

Autenticazione

Con l’entrata in vigore della nuova normativa europea, viene richiesta al cliente un’autenticazione più approfondita, in particolare la SCA richiede per l'autenticazione la verifica di almeno due di questi tre elementi:^[1]

conoscenza: identificazione tramite un codice mnemonico che solo il cliente conosce, come ad esempio una password, un codice PIN o una domanda di sicurezza;
possesso: identificazione tramite qualcosa che è in possesso del cliente e che quest'ultimo può usare, tipicamente una carta di debito o di credito, un dispositivo come lo smartphone, una smart key o un token bancario;
inerenza: identificazione con una caratteristica biometrica del cliente, come un'impronta digitale o il riconoscimento facciale, in grado di identificare in modo univoco la persona.

Transazioni

La Strong Customer Authentication è obbligatoria quando si svolgono operazioni che in genere coinvolgono una banca o un altro prestatore di servizi di pagamento, come:

accesso al proprio conto corrente online, anche solo per conoscerne il saldo;

disposizione di un pagamento elettronico, eseguito sia a distanza che in un negozio;

qualsiasi azione a distanza che comporti un rischio di frode nei pagamenti o altri tipi di abusi^[2].

La nuova normativa prevede che alcune tipologie di transazioni possano essere esentate dal processo SCA a due livelli, in particolare:^[3]^[1]

Le transazioni che prevedono un importo al di sotto dei 30 euro, che, se ripetute nel corso del tempo e sommate in un arco di 24 ore non superino i 100 euro o una serie di cinque transazioni consecutive. Al raggiungimento di tali limiti scatta il meccanismo dell’autenticazione SCA.
Per transazioni a basso rischio, ovvero quelle operazioni che sono analizzate dai fornitori di servizi di pagamento e nel momento in cui la soglia della percentuale di frodi del fornitore di servizi di pagamento rimane al di sotto dei parametri relativi ai pagamenti su carta esclude l’adozione della SCA.
Pagamenti ricorsivi con un valore fisso, come avviene ad esempio negli abbonamenti ad alcuni servizi: in questi casi l'autenticazione forte entra in azione solo per la prima transazione, ma non viene richiesta per i successivi rinnovi, che possono essere considerati come delle operazioni automatiche. In caso di cambi di valore da parte del servizio o della modalità di uso dello stesso, verrà richiesta nuovamente l'autenticazione forte per completare il pagamento.
Nel caso di pagamenti verso venditori identificati come beneficiari credibili. In questo caso l’autenticazione forte viene richiesta al primo pagamento, mentre i pagamenti successivi si effettuano senza SCA.

Nel mondo

Unione Europea

Per le Banche e i PSP (Prestatori di Servizi di Pagamento), l'uso della SCA è un requisito disciplinato dalla seconda Direttiva dell'Unione Europea (UE) 2015/2366 sui Sistemi di Pagamento PSD2^[4] e dal Regolamento delegato della Commissione Europea 2018/389 del 27 novembre 2017 ^[3], e richiesto sia per servizi di pagamento bancario (SCT o bonifico, SCTinst o bonifico istantaneo, pagamenti Target 2 e Target 2 cross-border ecc), che per servizi informativi che richiedono lo scambio di dati confidenziali, come la visualizzazione del saldo del conto, l'elenco dei movimenti ecc.

Note

^ ^a ^b (EN) Commission Delegated Regulation (EU) 2018/389 of 27 November 2017 supplementing Directive (EU) 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication (Text with EEA relevance. ), 32018R0389, 13 marzo 2018. URL consultato il 18 gennaio 2021.
^ SCA Strong Customer Authentication: cos’è l’autenticazione forte del cliente, su focus.namirial.it. URL consultato il 16 maggio 2025.
^ ^a ^b (EN) Regulatory Technical Standards on strong customer authentication and secure communication under PSD2, su European Banking Authority, 12 aprile 2019. URL consultato il 18 gennaio 2021.
^ (EN) Press corner, su European Commission - European Commission. URL consultato il 18 gennaio 2021.

Voci correlate

Portale Diritto

Portale Sicurezza informatica

[:0-1] (EN) Commission Delegated Regulation (EU) 2018/389 of 27 November 2017 supplementing Directive (EU) 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication (Text with EEA relevance. ), 32018R0389, 13 marzo 2018. URL consultato il 18 gennaio 2021.

[2] SCA Strong Customer Authentication: cos’è l’autenticazione forte del cliente, su focus.namirial.it. URL consultato il 16 maggio 2025.

[:1-3] (EN) Regulatory Technical Standards on strong customer authentication and secure communication under PSD2, su European Banking Authority, 12 aprile 2019. URL consultato il 18 gennaio 2021.

[4] (EN) Press corner, su European Commission - European Commission. URL consultato il 18 gennaio 2021.

[1]

[2]

[3]

[4]