L’autenticazione a due fattori è sistema di autenticazione, adottato ormai da molte piattaforme e servizi online per l’accesso ad essi.
Ogni identità digitale deve essere verificata prima di poter accedere ad un sito o ad un servizio e l’autenticazione è la tecnica con cui questo avviene, ma la sicurezza dell’utente remoto dipende dal metodo
utilizzato.
I sistemi che ricorrono ad un’autenticazione a due fattori sono ritenuti decisamente più sicuri e più affidabili di quelli che utilizzano un metodo debole o incapace di garantire l’identità dell’utente in modo adeguato.
In tal caso, questo si trova esposto ad una serie di rischi, che un sistema più sicuro più evitare o quanto meno ridurre.
Con la recente introduzione della direttiva europea PSD2 e con l’avanzare dell’Open Banking, inoltre, affidarsi ad un sistema di autenticazione davvero sicuro diventa di importanza vitale. Ma andiamo per gradi.
Autenticazione a due fattori: cos’è
Prima di tutto, quando parliamo di autenticazione o verifica in due passaggi o di 2FA, ossia Two Factor Authentication, ci riferiamo ad un particolare modo di accedere ad un servizio o ad un sito. Si tratta di un metodo di autenticazione che si svolge in due passaggi e che prevede l’utilizzo di due o più metodi attraverso cui procedere all’autenticazione individuale.
Il concetto si ricollega al cosiddetto out of band authentication, ossia il ricorso di più canali per autenticarsi verso un asset.
Un esempio lampante è quello del conto corrente: per l’accesso ad esso, infatti, vengono utilizzati ID, password e l’OTP, ossia una password generata da un token fisico e utilizzabile un’unica volta.
Il metodo più utilizzato è quello che prevede identificativo e password per accedere al sistema, ma si tratta di una tecnica di autenticazione dalla sicurezza molto limitata. Infatti, la password può essere persa, dimenticata, condivisa o rubata, per cui è evidente come questa non sia sufficiente, nell’esempio dell’accesso al conto corrente. Proprio per questo motivo, nel tempo, sono state elaborate tecniche di Strong Authentication.
Sistemi di autenticazione a due fattori
Di solito, per procedere ad autenticazione a sistemi digitali, sono previste tre diverse tecniche, che possiamo elencare come segue:
- “qualcosa che si conosce”, come password o PIN;
- “qualcosa che si ha”, come un numero di cellulare, un oggetto fisico o una carta di credito;
- “qualcosa che si è”, come il riconoscimento biometrico, ossia quel tipo di autenticazione che avviene attraverso il riconoscimento di determinate caratteristiche individuali e uniche del corpo, quali voce, retina, impronta digitale o iride.
Quando un’autenticazione viene definita a due fattori è perché questa si basa su almeno due di questi diversi metodi di autenticazione, piuttosto che sulla sola password, che è una tecnica di autenticazione ad un fattore, considerata debole.
Di solito, le combinazioni più utilizzate sono quelle tra “qualcosa che si conosce”, quindi una password, e “qualcosa che si ha” o “qualcosa che si è”. Un sistema è considerato Strong Authentication, quindi, quando si utilizza più di un fattore di autenticazione.
Come funziona
Il sistema prevede di inserire il proprio user e la propria password per accedere ed eseguire il login.
In seguito, il servizio richiede un secondo codice, che può essere recapitato tramite SMS, chiamata vocale o e-mail o generato da app per generare codici d’accesso o da dispositivi come i token elettronici utilizzati per l’home banking.
Ricevuto il codice, questo va inserito e confermato. A questo punto, l’accesso sarà eseguito.
Direttiva PSD2
Una maggiore sicurezza in materia di pagamenti attraverso sistemi affidabili di autenticazione sarà necessaria soprattutto in considerazione dell’introduzione della direttiva PSD2. La PSD2 o Payment Services Directive 2 è la nuova direttiva europea in materia di pagamenti digitali, entrata in vigore a gennaio 2018, con attuazione prevista entro la metà del 2019. Questa direttiva cambia il modo di concepire i servizi finanziari e rappresenta un’opportunità di crescita per coloro che sapranno coglierla.
Attraverso la PSD2, la Commissione Europea ha imposto alle banche dell’Unione Europea di aprire a terze parti autorizzate e di concedere loro l’accesso a conti e dati in loro possesso.
Una volta attuata, il mondo dei servizi finanziari è cambiato e sarà sempre meno quello a cui siamo stati abituati: non si dovrà più ricorrere a carte di credito, contanti o bancomat per ogni pagamento. Ogni acquisto, dal più semplice caffè al bar al più complesso, viene effettuato attraverso i PISP, ossia i Payment Initiation Service Providers.
Grazie ad un semplice click, i clienti delle banche possono decidere di dare accesso a soggetti specifici alle proprie informazioni di conto corrente.
Lo scopo è quello di dare più apertura alle informazioni dei conti bancari e di aumentare la concorrenza sul mercato dei pagamenti.
La PSD2 permette ai clienti delle banche, privati o aziende che siano, di servirsi di provider di operatori terzi, ossia soggetti non bancari, per gestire ed eseguire operazioni di pagamento.
Direttiva PSD2 a chi si rivolge e come funziona
La direttiva PSD2 è rivolta a tutti i fornitori di servizi di pagamento, quali banche, assicurazioni, compagnie telefoniche e ai TPP, ossia i Third Party Providers.
La nuova normativa prevede che le banche diano ai TPP un accesso sicuro ai conti dei clienti e alle informazioni sui pagamenti.
Lo scopo ultimo è quello di rendere il mercato europeo dei pagamenti più efficiente e funzionale e di creare un ambiente bancario più democratico e fondato su condizioni di parità.
Per i soggetti non tradizionali, tale innovazione rappresenta un’opportunità, in quanto possono accedere al mercato dei pagamenti anche parti terze che offrono servizi basati sull’accesso alle informazioni del conto e servizi alternativi non offerti dalle banche.
Per eseguire dei pagamenti dal proprio conto corrente online, non sarà più necessario passare per l’istituto di credito di appartenenza, ma basterà procedere attraverso i soggetti terzi autorizzati.
Cosa cambia per le aziende
Il cambiamento più significativo riguarda lo shopping online, che diventa più semplice.
Prima del PSD2, per acquistare un prodotto su Amazon, il rivenditore contattava l’acquirente che contattava Visa o MasterCard per prevelare dalla carta.
Dopo il PSD2, è possibile pagare direttamente dal proprio conto, con il permesso del titolare della carta.
L’attuazione del PSD2, insomma, comporta una generale semplificazione di molti servizi offerti dalle aziende e dalle banche, senza l’intervento di intermediari o l’applicazione di commissioni. Per quanto riguarda, invece, la sicurezza, l’Open Banking è sicuro come l’Online Banking: infatti, la legge impone agli account provider di verificare l’identità dell’utente e del servizio.
In definitiva, data la rilevanza e la sensibilità delle informazioni e dei dati in questione, per le aziende, così come per i privati, sarà importante dotarsi di sistemi di autenticazione che garantiscano maggiore sicurezza.
