Vai al contenuto principale
Certyneo
Guida DSP2 & SCA · 2026

DSP2 e autenticazione forte (SCA): la guida della firma elettronica conforme

La seconda direttiva sui servizi di pagamento (DSP2, direttiva (UE) 2015/2366) impone l'autenticazione forte del cliente (Strong Customer Authentication, SCA) per accedere a un conto di pagamento online, avviare un pagamento elettronico o effettuare qualsiasi azione a distanza che presenta un rischio di frode. Questa guida spiega come la firma elettronica avanzata (AES) conforme eIDAS soddisfa questi requisiti per le banche, gli istituti di pagamento e le fintech.

Aggiornato il

Che cos'è l'autenticazione forte del cliente (SCA) secondo la DSP2?

L'articolo 97 della direttiva (UE) 2015/2366 (DSP2) impone l'autenticazione forte del cliente. Le sue modalità tecniche sono specificate dal regolamento delegato (UE) 2018/389 (Regulatory Technical Standards, RTS). L'SCA si basa su almeno due elementi indipendenti appartenenti a categorie diverse.

  • Conoscenza: un elemento che solo il cliente conosce (password, codice)
  • Possesso: un elemento che solo il cliente possiede (telefono che riceve un OTP SMS)
  • Inerenza: un elemento che il cliente è (biometria) — opzionale se gli altri due sono presenti
  • Collegamento dinamico: per un pagamento, il codice deve essere collegato all'importo e al beneficiario (art. 5 RTS UE 2018/389)

Quali atti bancari rientrano nell'autenticazione forte?

Apertura di conto di pagamento e convenzione di conto
Mandato di addebito SEPA (prima attivazione)
Fascicolo di instaurazione del rapporto e KYC a distanza
Sottoscrizione a distanza di servizi finanziari
Mandato di gestione e ordine di bonifico rilevante
Modifica di un mezzo di pagamento o di un limite

Come appare un percorso di firma conforme SCA?

  1. 1

    Identificare il cliente (conoscenza)

    Il cliente accede alla busta tramite un collegamento sicuro e si autentica tramite un primo fattore (email + password, o identificativo Certyneo). Questo è l''elemento di conoscenza.

  2. 2

    Verificare il possesso (OTP)

    Un codice monouso (OTP) viene inviato via SMS al telefono precedentemente verificato del cliente. L'inserimento del codice prova il possesso — secondo fattore indipendente.

  3. 3

    Firmare con marcatura temporale qualificata

    Il cliente appone la sua firma avanzata (AES). Certyneo genera un certificato di firma univoco e una marcatura temporale qualificata conforme all'articolo 26 del regolamento eIDAS.

  4. 4

    Produrre l'audit trail SCA

    Il PDF di prova documenta i due fattori, la marcatura temporale qualificata, l'hash SHA-256 e l'IP — opponibile all'ACPR per dimostrare la conformità SCA del percorso.

Domande frequenti — DSP2 & autenticazione forte

La firma avanzata (AES) è sufficiente per soddisfare l'SCA della DSP2?
Sì, quando combina due fattori indipendenti. La firma avanzata Certyneo copre la conoscenza (password / email di firma) e il possesso (OTP SMS su un telefono verificato): due elementi di categorie diverse, conformi all'articolo 97 della DSP2 e al regolamento delegato (UE) 2018/389. La biometria (inerenza) non è necessaria se questi due fattori sono riuniti.
Qual è la differenza tra autenticazione forte (SCA) e firma elettronica?
L'SCA autentica l'accesso e l'intenzione del cliente al momento di un'operazione sensibile; la firma elettronica sigilla un documento con un valore probante duraturo. Certyneo combina i due: il percorso di autenticazione forte alimenta direttamente l'audit trail della firma, in modo che la prova di autenticazione e la prova di consenso formino un tutto opponibile.
Cos'è il collegamento dinamico richiesto per i pagamenti?
L'articolo 5 del regolamento delegato (UE) 2018/389 impone, per un'operazione di pagamento, che il codice di autenticazione sia specificamente collegato all'importo e al beneficiario. Qualsiasi modifica di questi dati invalida il codice. Per la firma di un mandato o di un ordine, l'integrità garantita dall'hash SHA-256 del documento svolge una funzione equivalente di non alterazione.
Esistono esenzioni dall'autenticazione forte?
Sì. Il regolamento delegato (UE) 2018/389 prevede esenzioni (pagamenti di importo ridotto, operazioni ricorrenti, beneficiari di fiducia, analisi del rischio di transazione). Riguardano l'esecuzione di pagamenti, non la firma di un atto contrattuale: la firma di una convenzione di conto o di un mandato rimane soggetta ai requisiti probatori dell'articolo 1367 del Codice civile.
L'audit trail è opponibile all'ACPR in caso di controllo?
Sì. L'audit trail Certyneo documenta i due fattori di autenticazione, la marcatura temporale qualificata, l'integrità del documento e l'identità del firmatario. Esportabile in PDF certificato, permette di dimostrare all'Autorità di controllo prudenziale e di risoluzione (ACPR) che il percorso rispetta i requisiti SCA della DSP2.
Guida completa firma elettronica · Soluzione Certyneo per banca & assicurazione · Guida eIDAS — livelli SES/AES/QES · Firmare un''apertura di conto aziendale online · Firmare un mandato SEPA aziendale online

Implementare un percorso di firma conforme SCA

Piano gratuito permanente (5 buste / mese), senza carta di credito. Autenticazione forte DSP2 (OTP SMS), firma avanzata eIDAS, audit trail opponibile e archiviazione 10 anni inclusa.