Cos’è la Strong Authentication e perché se ne parla tanto

Per l’accesso all’home e al mobile banking è pratica assodata, nelle transazioni e-commerce meno, nel trasferimento sicuro dei documenti c’è ancora da lavorare. Lo stato dell’arte della Strong Authentication e le previsioni sugli sviluppi futuri.

Milano, 27/03/2014 – A cura della Redazione – informazioni@icbpi.it

Young hacker with virtual lock symbols and icons

Secondo quanto emerge dalla recente ricerca “Come cambia ed evolve il retail banking in Italia” realizzata da CRIF e SDA Bocconi e che ha coinvolto 21 istituti finanziari del nostro paese, la clientela bancaria negli ultimi cinque anni ha fatto sempre più ricorso all’home e corporate banking, raggiungendo nel 2012 un impiego quasi doppio rispetto a quello rilevato nel 2007.

Anche il mobile banking, del tutto inesistente tra gli operatori italiani nel 2007, negli ultimi cinque anni ha registrato tassi di crescita importanti legati alla crescente diffusione di smartphone e tablet.

Per i prossimi cinque anni è prevedibile un utilizzo sempre maggiore, trainato dalla realizzazione di servizi multicanale e nuovi device, dai cambiamenti culturali e dai vantaggi in termini di comodità d’uso.

L’home e il mobile banking, inoltre, prevedono l’accesso alle piattaforme bancarie attraverso reti di telefonia mobile, reti WiFi domestiche, o addirittura pubbliche, tipicamente poco sicure, e per questo richiedono una maggiore sicurezza negli accessi.

È in questo scenario che si collocano i sistemi di strong authentication che, peraltro, garantiscono la piena aderenza agli standard di sicurezza richiesti dalla Bce e dalle normative della Banca d’Italia e del Garante della Privacy.

Una tecnica di strong authentication prevede l’utilizzo di due tra i tre fattori di autenticazione tipici dell’autenticazione tradizionale. Si tratta del riconoscimento biometrico (SYA – something you are), attraverso un Pin o una password (SYK – something you know) e attraverso un token (SYH – something you have), un certificato digitale, uno smartphone, una carta di credito.

La strong authentication è di utilizzo frequente in almeno due casi: per l’accesso all’home banking in cui si richiede la conoscenza di un Pin e il possesso di un token e per il prelievo da un bancomat per cui è necessario fornire una carta fisica e un Pin.

Al contrario, nelle procedure d’acquisto online (e-commerce) la strong authentication non è ancora sufficientemente diffusa, in questi casi, l’elemento di sicurezza in più viene fornito, spesso imposto, dall’istituto di credito che richiede un’ulteriore password per l’autorizzazione al pagamento.

Secondo l’ultima release della PSD (Payment Service Directive), inoltre, se il sito di e-commerce non predispone un’autenticazione a due fattori, il Payment Service Provider che offre il servizio non potrà rivalersi completamente sul cliente finale in caso di transazioni non autorizzate.

Importante sottolineare, infine, che il tema della strong authentication non si applica esclusivamente alle transazioni monetarie ma anche e sempre di più al trasferimento dei documenti riservati. In quest’ambito, le credenziali d’accesso al documento si riassumono attorno al concetto generico di “firma elettronica”.

Anche e soprattutto in quest’ambito, dunque, vista la rapida diffusione delle procedure di digitalizzazione dei documenti, i sistemi di strong authentication diventano non solo una necessità ma l’opportunità per le società bancarie di fornire un servizio in più ai propri clienti.