Non sarà la giornata nazionale più celebrata, ma quest’anno il World Password Day potrebbe essere l’ultimo. Almeno in Europa – dove i requisiti di Strong Customer Authentication (SCA) di PSD2 aiuteranno a porre fine, una volta per tutte, all’uso delle password per autenticare i pagamenti. Si tratta di una svolta che abbiamo aspettato a lungo. Infatti, la password del computer ha più di 50 anni – fu inventata da Fernando Corbato negli anni ’60. Da allora, i metodi tradizionali di inserimento password (a es: il nome da nubile della madre o del primo animale domestico) hanno frustrato persino gli utenti più pazienti. Peraltro, le strategie per ricordarsi le password spesso includono l’appuntarle da qualche parte, riutilizzarle per più account o scegliere quelle che possono essere facilmente ricordate. Secondo SplashData, società attiva nel settore sicurezza, le due password usate più frequentemente sono “123456” e “password” – un sogno per hacker e truffatori.
É tempo di cambiare
L’ecosistema dei pagamenti è cambiato, e così deve cambiare anche il modo in cui lo teniamo al sicuro. Le ultime evoluzioni dei metodi di autenticazione e antifrode sono tali per cui firma e PIN sono diventati opzionali per alcune banche e commercianti. A ottobre 2018, la firma è diventata facoltativa per i commercianti abilitati EMVChip sulla rete di pagamento Visa grazie alle funzionalità di sicurezza del chip. Mentre, il 3D Secure 2.0 EMV può analizzare un numero di dati 10 volte superiore rispetto al passato, consentendo di valutare le transazioni online in base al rischio in background, spesso senza chiedere al consumatore di fare assolutamente nulla. Infine, la crescente sofisticazione dell’intelligenza artificiale sta rendendo il rilevamento delle frodi più rapido e accurato.
In questo contesto di sicurezza avanzata, la password è superata. Sfruttare le ultime tecnologie e le esenzioni SCA (Strong Customer Authentication) significa che, anche dopo il 14 settembre, l’unica vera ragione per cui dovremmo chiedere ai consumatori di compiere ulteriori autenticazioni è quella di controllare direttamente con loro per essere assolutamente sicuri che siano i reali titolari della carta o perché rileviamo qualcosa di insolito sul loro pagamento che potrebbe indicare una frode. Se da una parte vogliamo una forma di sicurezza che rassicuri i consumatori, dall’altra vogliamo qualcosa di così efficace che faccia fallire qualsiasi tentativo da parte di un truffatore. La password non è efficace né per una cosa né per l’altra.
SCA ci dà l’opportunità di esplorare nuovi approcci per i consumatori moderni. L’unica domanda non è se fornire ai clienti un’autenticazione aggiornata, ma quale scegliere.
Un’autenticazione flessibile
Esistono molte forme di autenticazione, e molte altre ne arriveranno grazie a un ecosistema aperto e collaborativo che incoraggia l’innovazione. Ma, attualmente i due principali successori al trono delle password sono i codici monouso (OTP) e le biometrie. Per molti, gli OTP sono la scelta più ovvia. L’uso di un codice univoco supera di gran lunga la sicurezza fornita da una password e l’invio a un telefono cellulare – associato a uno specifico titolare di carta e probabilmente a sua portata – è conveniente. L’autenticazione è anche il codice, non il dispositivo, il che significa che può essere inviato anche a indirizzi e-mail o lavorare tramite rete fissa, per soddisfare le diverse esigenze. È anche familiare: i consumatori utilizzano regolarmente le OTP per accedere a e-mail e servizi bancari online e gran parte dell’infrastruttura necessaria è già presente.
L’opzione più affasciante, ovviamente, è l’autenticazione biometrica. Un tempo solo caratteristica dei film di spionaggio, la biometria è ormai all’ordine del giorno. Da 6 anni, da quando i sensori di impronte digitali sono stati integrati negli smartphone, i consumatori si son sentiti sempre più a proprio agio con questa metodologia. Una ricerca condotta da Visa, in America, ha mostrato che i consumatori apprezzano l’uso della biometria come alternativa più veloce, più semplice e più sicura alle password. L’83% dei consumatori è interessato all’utilizzo dell’impronta digitale per verificare l’identità o effettuare pagamenti, e il 59% conosce già la biometria. Con i progressi dei dispositivi mobili che hanno aumentato precisione e velocità di impronte digitali e biometria vocale, è questo il momento migliore per integrare la tecnologia biometrica nelle app bancarie e nell’esperienza di pagamento dei clienti. L’autenticazione biometrica può offrire soluzioni di sicurezza avanzate SCA, senza quell’attrito che in molti temono nel settore.
Libertà di scelta per il consumatore
Probabilmente la risposta è lasciare la decisione al consumatore. L’SCA non solo dà l’opportunità di abbandonare l’uso della password, ma anche di rimuovere l’obbligo di restringere i metodi di autenticazioni a uno soltanto.
Senza dubbio, lo stesso consumatore che è felice di utilizzare l’impronta digitale quando paga con il proprio telefono in movimento, probabilmente preferirà una mail OTP quando acquisterà biglietti aerei sul proprio desktop di casa. Noi disponiamo dell’infrastruttura per la flessibilità, i consumatori hanno la curiosità e la PSD2, dopo tutto, è parte della scelta crescente. La convenienza è negli occhi di chi guarda, e se vogliamo cercare di evitare uno scontro, forse la risposta è lasciare che sia il cliente a decidere.