DSP2 e autenticazione forte (SCA): la guida della firma elettronica conforme
La seconda direttiva sui servizi di pagamento (DSP2, direttiva (UE) 2015/2366) impone l'autenticazione forte del cliente (Strong Customer Authentication, SCA) per accedere a un conto di pagamento online, avviare un pagamento elettronico o effettuare qualsiasi azione a distanza che presenta un rischio di frode. Questa guida spiega come la firma elettronica avanzata (AES) conforme eIDAS soddisfa questi requisiti per le banche, gli istituti di pagamento e le fintech.
Che cos'è l'autenticazione forte del cliente (SCA) secondo la DSP2?
L'articolo 97 della direttiva (UE) 2015/2366 (DSP2) impone l'autenticazione forte del cliente. Le sue modalità tecniche sono specificate dal regolamento delegato (UE) 2018/389 (Regulatory Technical Standards, RTS). L'SCA si basa su almeno due elementi indipendenti appartenenti a categorie diverse.
- Conoscenza: un elemento che solo il cliente conosce (password, codice)
- Possesso: un elemento che solo il cliente possiede (telefono che riceve un OTP SMS)
- Inerenza: un elemento che il cliente è (biometria) — opzionale se gli altri due sono presenti
- Collegamento dinamico: per un pagamento, il codice deve essere collegato all'importo e al beneficiario (art. 5 RTS UE 2018/389)
Quali atti bancari rientrano nell'autenticazione forte?
Come appare un percorso di firma conforme SCA?
- 1
Identificare il cliente (conoscenza)
Il cliente accede alla busta tramite un collegamento sicuro e si autentica tramite un primo fattore (email + password, o identificativo Certyneo). Questo è l''elemento di conoscenza.
- 2
Verificare il possesso (OTP)
Un codice monouso (OTP) viene inviato via SMS al telefono precedentemente verificato del cliente. L'inserimento del codice prova il possesso — secondo fattore indipendente.
- 3
Firmare con marcatura temporale qualificata
Il cliente appone la sua firma avanzata (AES). Certyneo genera un certificato di firma univoco e una marcatura temporale qualificata conforme all'articolo 26 del regolamento eIDAS.
- 4
Produrre l'audit trail SCA
Il PDF di prova documenta i due fattori, la marcatura temporale qualificata, l'hash SHA-256 e l'IP — opponibile all'ACPR per dimostrare la conformità SCA del percorso.
Domande frequenti — DSP2 & autenticazione forte
- La firma avanzata (AES) è sufficiente per soddisfare l'SCA della DSP2?
- Sì, quando combina due fattori indipendenti. La firma avanzata Certyneo copre la conoscenza (password / email di firma) e il possesso (OTP SMS su un telefono verificato): due elementi di categorie diverse, conformi all'articolo 97 della DSP2 e al regolamento delegato (UE) 2018/389. La biometria (inerenza) non è necessaria se questi due fattori sono riuniti.
- Qual è la differenza tra autenticazione forte (SCA) e firma elettronica?
- L'SCA autentica l'accesso e l'intenzione del cliente al momento di un'operazione sensibile; la firma elettronica sigilla un documento con un valore probante duraturo. Certyneo combina i due: il percorso di autenticazione forte alimenta direttamente l'audit trail della firma, in modo che la prova di autenticazione e la prova di consenso formino un tutto opponibile.
- Cos'è il collegamento dinamico richiesto per i pagamenti?
- L'articolo 5 del regolamento delegato (UE) 2018/389 impone, per un'operazione di pagamento, che il codice di autenticazione sia specificamente collegato all'importo e al beneficiario. Qualsiasi modifica di questi dati invalida il codice. Per la firma di un mandato o di un ordine, l'integrità garantita dall'hash SHA-256 del documento svolge una funzione equivalente di non alterazione.
- Esistono esenzioni dall'autenticazione forte?
- Sì. Il regolamento delegato (UE) 2018/389 prevede esenzioni (pagamenti di importo ridotto, operazioni ricorrenti, beneficiari di fiducia, analisi del rischio di transazione). Riguardano l'esecuzione di pagamenti, non la firma di un atto contrattuale: la firma di una convenzione di conto o di un mandato rimane soggetta ai requisiti probatori dell'articolo 1367 del Codice civile.
- L'audit trail è opponibile all'ACPR in caso di controllo?
- Sì. L'audit trail Certyneo documenta i due fattori di autenticazione, la marcatura temporale qualificata, l'integrità del documento e l'identità del firmatario. Esportabile in PDF certificato, permette di dimostrare all'Autorità di controllo prudenziale e di risoluzione (ACPR) che il percorso rispetta i requisiti SCA della DSP2.