L'Autorità bancaria europea (EBA) respinge la biometria sui dispositivi mobili come metodo di autenticazione forte dei clienti (SCA)

L’Autorità bancaria europea (EBA) richiede l’autenticazione forte del cliente (SCA) per i pagamenti elettronici, al fine di migliorare la sicurezza. Tuttavia, la biometria su dispositivo non è più considerata un metodo valido da utilizzare come secondo fattore di autenticazione, ha stabilito l’EBA il 31 gennaio 2023;

Tuttavia, non tutti gli usi della biometria per verificare l’identità sono uguali. In questo articolo vedremo perché l’uso di un dispositivo mobile come sistema di identificazione biometrica non è considerato sicuro e i metodi alternativi che lo sono.

Che cos’è l’autenticazione forte del cliente (SCA) nella direttiva sui servizi di pagamento 2 (PSD2)?

L’autenticazione forte del cliente (SCA) è un requisito di sicurezza stabilito dall’Autorità bancaria europea (EBA) per l’autenticazione dei clienti nello Spazio economico europeo (SEE). Questo requisito consiste nel rispettare un processo di autenticazione che richiede due o più fattori di autenticazione indipendenti affinché un cliente possa accedere in modo sicuro ai propri conti online o completare un’operazione di pagamento online.

SCA richiede ai clienti di fornire due o più dei seguenti fattori di autenticazione:

• Qualcosa di noto al cliente (ad esempio una password o un PIN), 
• Qualcosa che il cliente possiede (ad esempio un telefono cellulare o un token di sicurezza), e
• Qualcosa che il cliente è (ad esempio, dati biometrici come il riconoscimento del volto, delle impronte digitali o della voce).

L’SCA è un’iniziativa volta a ridurre le frodi e gli accessi non autorizzati ai conti dei clienti. Implementando l’SCA, le banche e i prestatori di servizi di pagamento (PSP) possono offrire ai clienti un livello di sicurezza più elevato e proteggerli da perdite finanziarie dovute ad attività fraudolente. Inoltre, la conformità al CSA è un obbligo di legge e la sua mancata osservanza può comportare sanzioni e la perdita di fiducia da parte dei clienti.

Come influisce il CSA sulle aziende del settore bancario?

Le banche e le istituzioni finanziarie del SEE e del Regno Unito devono attenersi al CSA per evitare sanzioni. L’SCA mira a ridurre le frodi e a migliorare la sicurezza dei pagamenti elettronici, rafforzando la fiducia e la fedeltà dei clienti. Questo può portare a un ulteriore attrito nel processo di pagamento e quindi c’è un’opportunità per l’innovazione: offrire un’esperienza semplice ma sicura al cliente.

Cosa dice l’EBA sull’autenticazione biometrica nei dispositivi?

Il 31 gennaio 2023, l’EBA, nella sua sezione Q&A, discute le questioni relative all’uso della biometria sui dispositivi mobili. Chiarire come le informazioni della carta di pagamento debbano essere aggiunte a un portafoglio digitale su un dispositivo mobile conforme alla PSD2.El 31 de enero de 2023, la EBA, en su sección de preguntas y respuestas, habla sobre cuestiones relativas al uso de biometría en dispositivos móviles. Aclarando cómo debe añadirse la información de la tarjeta de pago a un monedero digital en un dispositivo móvil conforme a la PSD2.

Chiariscono che l’uso di una carta di pagamento digitale per effettuare pagamenti richiede misure di sicurezza aggiuntive da parte del CSA, a meno che non vi siano ragioni specifiche per cui ciò non sia necessario.Inoltre, lo sblocco di un telefono tramite dati biometrici (come le impronte digitali o il volto) non può essere considerato un buon modo per verificare l’identità per aggiungere una carta di pagamento a un portafoglio digitale se l’emittente della carta di pagamento non controlla il meccanismo di blocco dello schermo del telefono;

In altre parole, l’EBA afferma che i metodi di autenticazione mobile sono sicuri solo se l’emittente può controllarli o garantire che l’utente sia legittimo.

In cosa si differenzia la biometria on-device dall’autenticazione biometrica basata su cloud di Alice Biometrics?

L’utilizzo della biometria presente nei dispositivi mobili, come l’impronta digitale o il riconoscimento facciale per sbloccare il dispositivo, sostituisce la password di accesso al dispositivo, ma non verifica l’identità dell’utente: ad esempio, l’impronta digitale inserita in sostituzione della password potrebbe benissimo essere quella di vostro fratello o di un amico, e quindi l’identità dell’utente non può essere garantita.

L’EBA raccomanda che una soluzione biometrica sia controllata dall’emittente della carta e collegata all’identità ufficiale del cliente, per essere utilizzata come elemento di Strong Customer Authentication (SCA). Sarebbe la banca emittente della carta, utilizzando servizi di verifica dell’identità a distanza come Alice, a verificare l’identità del cliente al momento di collegare la carta al telefono cellulare.

In altre parole, l’uso della biometria sul dispositivo mobile non può essere associato a qualcosa che il cliente è, poiché non c’è alcun controllo nel processo di iscrizione per convalidare che si tratti effettivamente della persona autorizzata. Con la verifica biometrica di Alice, invece, l’identità viene verificata in modo unico e univoco rispetto a un elemento esterno (documento d’identità) ed è l’emittente ad avere il controllo sul processo di verifica.

Aumentare la sicurezza e ridurre le frodi d’identità con la tecnologia di Alice

Il servizio cloud di autenticazione biometrica di Alice, valida l’identità ufficiale di una persona prima di registrarne i dati biometrici, assicurandosi che la persona che presenta il documento d’identità sia autentica e presente nel processo, e convalidandolo attraverso il meccanismo della prova di vita.  

Una volta completato il processo di verifica, è possibile utilizzare vari metodi di autenticazione biometrica, come il riconoscimento facciale, per accedere all’area clienti privata, gestire le transazioni o utilizzare il dispositivo mobile come metodo di pagamento;

Alice garantisce l’accesso solo agli utenti autorizzati. In questo modo, come banca o istituto di servizi finanziari, potete soddisfare i requisiti PSD2 per la SCA. Inoltre, potete farlo fornendo un’esperienza senza attriti, a differenza di altri processi di verifica che aggiungono passaggi intermedi o tempi di attesa.