PSD2: cosa ne sarà dell’autenticazione basata su SMS?

Pubblicato il 09 Feb 2017

Sul tema della autenticazione tramite SMS il quadro normativo collegato alla implementazione della PSD2 pone una serie di interrogativi legati alle logiche di autenticazione tramite SMS. Su questo tema PagamentiDigitali.it ospita un contributo a cura di Frederik Mennes, Senior Manager Market & Security Strategy, VASCO Data Security 

Frederik Mennes, Senior Manager Market & Security Strategy, VASCO Data Security

Le banche e i fornitori di servizi di pagamento a volte si affidano agli SMS per verificare l’identità di una persona che vuole fare un bonifico bancario o confermare un pagamento. Essi mandano un messaggio SMS contenente una one-time-password (OTP) al telefono cellulare dell’utente, il quale deve inserire l’OTP ricevuta nell’applicazione della banca o del fornitore dei servizi di pagamento.

Vediamo però se l’autenticazione basata su SMS sarà ancora accettabile alla luce dei requisiti di Strong Customer Authentication (SCA) previsti dalla PSD2.

Conduciamo questa breve analisi riferendoci, in particolare, al progetto di proposta per la norma tecnica di regolamentazione della Strong Customer Authentication che l’Autorità bancaria europea (European banking Authority – EBA) ha pubblicato ad agosto 2016 come addendum alla PSD2. Ci aspettiamo che la norma tecnica di regolamentazione sia finalizzata dall’ABE nelle prossime settimane.

Per rispondere al quesito, consideriamo tre scenari di utilizzo dell’autenticazione basata su SMS. Quindi, discuteremo quali di essi soddisfano i requisiti della norma tecnica di regolamentazione.

Scenario 1: autenticazione a due dispositivi

In questo primo caso l’utente ha due dispositivi indipendenti: uno per accedere al sito web o all’app di una banca e l’altro per autenticare se stesso o un pagamento. Il primo dispositivo, che possiamo indicare come il dispositivo bancario, è in genere un PC desktop, un laptop o un dispositivo mobile (ad esempio un telefono o un tablet) che gestisce un’applicazione di mobile banking. Il secondo dispositivo, che definiamo il dispositivo di autenticazione, è un dispositivo mobile che riceve l’SMS. Partiamo dal presupposto che l’utente autentica se stesso sul sito web o sull’applicazione della banca utilizzando l’OTP ricevuta via SMS e una password o un PIN.

Questa soluzione è compatibile con la norma tecnica di regolamentazione quando viene utilizzata per accedere al sito web o all’app della banca. La soluzione può essere conforme per la firma di una transazione solo se vengono soddisfatte due condizioni: in primo luogo, il messaggio SMS deve contenere i dettagli della transazione (ad esempio importo, beneficiari); in secondo luogo, il contenuto del messaggio SMS deve essere protetto contro l’alterazione durante il transito e la ricezione sul dispositivo mobile. Quest’ultimo requisito non può essere facilmente soddisfatto dai messaggi SMS, in quanto sono di solito non protetti.

Quindi, in generale, l’autenticazione basata su SMS può essere utilizzata per l’accesso, ma non per la firma.

Scenario 2: autenticazione a due-app

A differenza del primo, questo approccio non si basa su due dispositivi diversi, ma su due diverse applicazioni eseguite sullo stesso dispositivo mobile. Le app interagiscono tramite la cosiddetta comunicazione app-to-app. Ci riferiamo a queste applicazioni rispettivamente come app bancarie e app di autenticazione. L’app di autenticazione richiede e riceve i messaggi SMS.

L’autenticazione standard basata su SMS non è conforme per due motivi. In primo luogo, l’SMS può essere intercettato e alterato in transito. In secondo luogo, l’SMS può essere intercettato da malware presente sul dispositivo mobile, il che significa che il requisito di separazione dei canali posto dalla norma tecnica di regolamentazione non è soddisfatto.

La soluzione può essere resa conforme se il contenuto del messaggio SMS viene protetto utilizzando un canale end-to-end sicuro che termina nell’app di autenticazione, in modo che solo quest’ultima possa decifrare l’SMS. Tuttavia, questo non è l’approccio standard.

Scenario 3: autenticazione one-app

In questo caso l’utente non solo usa un singolo dispositivo, ma anche una singola applicazione per avviare e autenticare le transazioni. L’utente non utilizza un dispositivo o un’app di autenticazione separati.

Questo scenario non è conforme ai requisiti PSD2, perché non vi è alcuna separazione dei canali. L’utilizzo di SMS non influisce su questo.

Conclusioni

Siamo ancora in attesa dei requisiti finali sulla Strong Customer Authentication sotto la PSD2. Tuttavia, se non cambia nulla rispetto alla proposta attuale, è del tutto evidente che l’autenticazione basata su SMS avrà difficoltà a soddisfare i requisiti, in particolare quelli relativi all’approvazione dei pagamenti.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati