La direttiva europea 2015/2366 cosiddetta PSD2, il cui recepimento in Italia e' avvenuto con il Decreto Legislativo n. 218 del 2017, nasce in seguito alla continua evoluzione dell'utilizzo di pagamenti elettronici.
La PSD2 disciplina i servizi di pagamento e lo scopo della direttiva e' quello di rafforzare la tutela degli utenti dei servizi di pagamento, aumentare la trasparenza e la sicurezza.
I soggetti a cui e' rivolta la PSD2 sono i fornitori di servizi di pagamento, dalle banche, alle assicurazioni, alle Fintech, alle Telco (compagnie telefoniche), ai TPP (Third Party Providers). Uno dei punti fondamentali della normativa riguarda la possibilità concessa a terze parti (TPP) di ottenere dati e di poter avviare disposizioni di pagamento sui conti correnti dei clienti, previa autorizzazione diretta. I soggetti, che invece, si prefigge di tutelare sono tutti gli utenti dei servizi di pagamento.
La cosiddetta Autenticazione Forte rientra tra i meccanismi della PSD2, essa definisce standard aperti di comunicazione comuni e sicuri ed è strutturata per identificare e autenticare in modo univoco il cliente.
Chi gestisce negozi online che si basano sui servizi di pagamento digitale potrebbe subire importanti contraccolpi dall'introduzione della Strong Customer Authentication. La lentezza e le lungaggini delle procedure di sicurezza correlate al pagamento, possono infatti scoraggiare molti, riducendo le vendite e il tasso di conversione.
Questo perche' con la SCA, i servizi di pagamento richiedono l'aggiunta di ulteriori modalita' di autenticazione e verifica. L'autenticazione forte si realizza combinando elementi specifici quali password, PIN, accesso a device di proprieta' come smartphone o ancora tramite l'identificazione biometrica di tratti somatici personali (impronte, viso).
Al momento dell'acquisto, in base alle tipologie di autenticazione definite dall'operatore, l'utente si trovera' dunque a dover confermare la propria identita' inserendo, per esempio, una password e un PIN distinti, oppure ancora usando un codice personale e una chiave di sicurezza OTP ricevuta via SMS.