websights Conformità alla PSD2: Autenticazione senza attriti con MFA

Stai cercando inwebo.com? Siete nel posto giusto! Leggete tutto nel nostro post sul blog

Venite a trovarci di persona alle prossime fiere e conferenze del settore.

Contenuti

Conformità PSD2: forte autenticazione dei clienti senza attriti

La PSD2 innalza il livello dei requisiti di sicurezza che regolano la convalida delle transazioni finanziarie e regola l'accesso ai dati bancari con, in particolare, la generalizzazione dell'autenticazione forte per operazioni specifiche, tra cui i pagamenti online. Commercianti online, fornitori di servizi di pagamento, banche, non temete di perdere i vostri clienti conformandovi alla PSD2.

MFA-DSP2-SCA

Che cos'è il regolamento PSD2?

L'obiettivo della seconda direttiva europea sui servizi di pagamento (PSD2) è rafforzare la sicurezza dei pagamenti. Adottata nel novembre 2015, è entrata in vigore in tutta l'Unione Europea nel gennaio 2018 (anche se alcune disposizioni devono ancora essere attuate) e innalza il livello dei requisiti di sicurezza che accompagnano la convalida delle transazioni finanziarie e regola l'accesso ai dati bancari.

Nell'ambito delle caratteristiche di sicurezza, l'elemento più sensibile della PSD2 è l'uso diffuso dell'autenticazione a più fattori (MFA) per alcune transazioni, compresi i pagamenti online.

La sicurezza dei pagamenti è garantita da una forte autenticazione con la PSD2.

Che cos'è l'autenticazione forte, nota anche come MFA (Multifactor Authentication)?

L'autenticazione si dice forte quando un utente, per accedere o convalidare la sua operazione, deve fornire due elementi di categorie diverse tra le tre possibili. Le 3 categorie di fattori di identificazione sono:

  • qualcosa che conosco: l'esempio più comune è la password per le applicazioni o il codice PIN per le carte di pagamento.
  • qualcosa che possiedo: un telefono, un computer, un'unità flash, un dispositivo connesso. Ci sono molte possibilità. Il fattore di possesso viene solitamente definito "token".
  • qualcosa che sono: si tratta essenzialmente di biometria - impronte digitali, retina, voce, riconoscimento facciale.

Conformità PSD2: operazioni che richiedono un'autenticazione forte del cliente (SCA)

accesso e gestione del conto di pagamento

che può essere un conto di deposito aperto presso un istituto bancario o un conto presso uno dei prestatori di servizi di pagamento.

pagamento online

con carta di credito o con bonifico.

transazione online con un rischio significativo di frode

come la convalida di un nuovo beneficiario del trasferimento.

La PSD2 prevede alcune eccezioni a queste regole, elencando le transazioni considerate a basso rischio. Queste eccezioni comprendono i pagamenti fino a 50 euro in modalità contactless o 30 euro online, o i trasferimenti a un beneficiario precedentemente convalidato da un'autenticazione forte.

No, la convalida degli SMS non è un'autenticazione forte.

La principale conseguenza della PSD2 è che il processo abituale del sistema di sicurezza dei pagamenti (3D Secure), che convalida le operazioni inviando una one-time password (OTP) via SMS che deve essere reinserita dall'utente, non è più conforme. Si basa infatti su un unico fattore, il possesso di un telefono cellulare, e può essere aggirato molto facilmente da un attacco informatico come l'SMShing.

La direttiva modifica quindi il percorso del cliente nel commercio elettronico nel suo punto più cruciale: la convalida del pagamento. Da qui i timori dei commercianti online che temono un aumento dell'abbandono del carrello a causa di quello che percepiscono come un percorso del cliente più complesso. Questa preoccupazione è facilmente comprensibile se consideriamo solo le soluzioni di autenticazione a più fattori più diffuse. Generalmente poco sicure, sono anche complicate da usare, richiedendo spesso la reimmissione di una password monouso ottenuta con mezzi più o meno pratici.

Tuttavia, ciò non è affatto inevitabile, come dimostra inWebo MFA , la cui implementazione non solo consente la conformità alla PSD2 ma riduce anche l'attrito nel processo di pagamento, anche rispetto all'esperienza attualmente offerta da 3D Secure.

Conformità PSD2: TrustBuilder.io MFA, la soluzione di autenticazione a più fattori che soddisfa tutte le esigenze

La conformità all'intera normativa PSD2 è un progetto complesso, che richiede molte competenze. La buona notizia è che la soluzione MFA di inWebo non solo soddisfa tutte le esigenze di sicurezza delle transazioni, ma offre anche vantaggi esclusivi per facilitare l'implementazione e migliorare l'esperienza dell'utente.

Con TrustBuilder.io MFA Autenticazione multifattoriale SaaS

l'accesso ai conti è protetto

TrustBuilder.io MFA può essere facilmente distribuito e integrato per proteggere l'accesso esterno ai conti di deposito bancari o ai conti presso i fornitori di pagamenti.

Le operazioni sensibili e i cambiamenti di stato vengono sigillati da un collegamento dinamico

Questo collegamento dinamico, in conformità con la PSD2, garantisce la tracciabilità e la sicurezza di tutte le transazioni considerate a rischio, come l'aggiunta di un beneficiario di trasferimento.

è garantita l'autenticazione forte del cliente (SCA)

La SCA (Strong Customer Authentication) prevede l'autenticazione con almeno 2 fattori, il che esclude le soluzioni con password unica via SMS. TrustBuilder.io offre la gamma più completa di fattori di connessione, con i suoi token per dispositivi mobili, desktop e browser (Deviceless e Smartphoneless).

Condizione essenziale per la certificazione PSD2 dei propri clienti bancari, inWebo è un fornitore certificato di servizi essenziali esternalizzati, che garantisce la resilienza del servizio MFA .

Come essere conformi alla PSD2 offrendo un percorso cliente senza attriti

Tuttavia, il principale ostacolo alla conformità alla PSD2 oggi non è di natura tecnica ma, come abbiamo visto, legato ai timori per i cambiamenti nel percorso di pagamento.

È qui che entra in gioco uno dei principali elementi di differenziazione della soluzione inWebo: l'autenticazione forte senza smartphone, tramite un semplice browser. Il token Deviceless (o Smartphoneless) consente al cliente di autenticarsi in conformità alla PSD2 senza alcun altro dispositivo fidato se non il suo browser, tramite un semplice codice PIN riutilizzabile. Questo risultato è ottenuto garantendo il più alto livello di sicurezza degli accessi di qualsiasi altra soluzione MFA grazie all'utilizzo di una tecnologia proprietaria di chiavi casuali dinamiche. Per saperne di più su questo risultato tecnologico, consultate il nostro articolo Deviceless MFA.

L'implementazione della soluzione inWebo MFA non solo non degrada l'esperienza di connessione, ma la rende addirittura più semplice, eliminando la necessità di avere uno smartphone, di avere una connessione alla rete mobile per ricevere l'SMS e di reinserire un codice univoco, una delle principali fonti di errore e di abbandono del pagamento.

Il percorso è quindi semplificato. Ma è anche unificato. Con centinaia di integrazioni disponibili, tramite connettori, modalità API o SDK, la soluzione inWebo MFA può essere implementata su tutti gli accessi alle applicazioni, non solo sugli accessi ai conti bancari. In questo modo, l'utente che vuole connettersi alla sua e-mail, convalidare una transazione o accedere alla VPN della sua azienda, beneficerà di un'interfaccia unificata, di un'esperienza di login uniforme e persino di un codice PIN univoco (o di qualsiasi altro fattore di conoscenza) senza alcun degrado della sicurezza.

Non temete la conformità alla PSD2

Rivenditori online, fornitori di servizi di pagamento, banche, non dovete temere di perdere i vostri clienti adeguandovi alla PSD2. Con TrustBuilder.io, potete combinare una forte autenticazione dei clienti con un viaggio senza attriti. E come bonus aggiuntivo, otterrete una soluzione SaaS completa MFA che può essere implementata in pochi clic su migliaia di utenti, senza alcun vincolo di attrezzatura.

Guardate la replica del nostro webinar

PSD2 e strong client authentication SCA: combinare sicurezza ed esperienza utente semplificata

Webinar-inWebo-authentification-forte-1024x667-1-1024x667

La PSD2 è la revisione della Direttiva sui servizi di pagamento emanata dalla Commissione europea che regolamenta i servizi di pagamento in tutta l'Unione europea. La direttiva sui servizi di pagamento è stata adottata per la prima volta nel novembre 2015 (PSD1) e poi applicata in tutta l'Unione europea nel gennaio 2018 (PSD2). La direttiva innalza il livello dei requisiti di sicurezza che regolano la convalida delle transazioni finanziarie e regola l'accesso ai dati bancari.

La conformità alla PSD2 richiede ai servizi finanziari di impostare l'autenticazione forte del cliente (SCA) su 3 tipi di operazioni: (i) accesso e gestione del conto di pagamento, (ii) pagamento online e (iii) transazione online con un rischio significativo di frode.

La PSD2 aumenta la concorrenza nel mercato dei pagamenti, consentendo a soggetti non bancari di offrire servizi nuovi e innovativi ai propri clienti. Di conseguenza, dall'adozione della PSD1 nel 2007, sono emersi nuovi servizi di pagamento online, noti come FinTech o "Third Party Provider (TTP)". Con la PSD2, alle FinTech è stato richiesto di seguire le stesse regole dei tradizionali fornitori di servizi di pagamento, garantendo così la possibilità di offrire i propri servizi in tutta l'UE.

Contattateci per una demo o per richiedere una prova gratuita