Autenticazione forte del cliente (SCA): Cos’è e come funziona
  • Amministrazione aziendale
  • Cybersecurity

Autenticazione forte del cliente (SCA): Cos’è e come funziona

Data di pubblicazione: 27.08.2025
Ultimo aggiornamento: 17.09.2025

Dal 31 dicembre 2020, ogni pagamento digitale in Italia richiede una doppia verifica dell’identità

Non basta più inserire il numero della carta di credito: ora servono almeno due prove di identificazione. Questa rivoluzione silenziosa ha cambiato le abitudini di milioni di consumatori e costretto migliaia di aziende a ripensare i propri sistemi di pagamento.

L’autenticazione forte del cliente (chiamata anche SCA, dall’inglese Strong Customer Authentication) non è solo un’altra sigla del gergo bancario, ma la risposta europea a un problema concreto, ossia le frodi sui pagamenti digitali nell’UE. 

Secondo il rapporto EBA-BCE 2024, le frodi sui pagamenti hanno raggiunto 4,3 miliardi di euro nel 2022 e i 2 miliardi di euro nel primo semestre 2023, motivando l’introduzione della normativa PSD2 (la seconda direttiva europea sui servizi di pagamento) per proteggere consumatori e commercianti. Tuttavia, l’implementazione ha creato attriti imprevisti: carrelli abbandonati, transazioni fallite, clienti frustrati.

Questo articolo spiega in parole semplici come funziona la SCA, quando si applica e soprattutto quando non è necessaria. Perché conoscere le esenzioni può fare la differenza tra un processo di pagamento fluido e uno che allontana i clienti.

TABLE OF CONTENTS

  1. Che cos’è l’autenticazione forte del cliente (SCA)?
  2. Perché la SCA è stata introdotta dalla PSD2
  3. In che modo la SCA incide sulle transazioni online
  4. Elementi cardine della SCA: qualcosa che sai, hai o sei
  5. SCA: quando è richiesta e quando no
  6. Come funziona la SCA nei pagamenti con carta: in negozio e online
  7. Impatto della SCA sul checkout in Italia e sui tassi di conversione
  8. Consigli pratici per ridurre le frizioni senza rinunciare alla sicurezza
  9. Le soluzioni myPOS che supportano la SCA
  10. Conclusioni: sicurezza e semplicità possono convivere

Che cos’è l’autenticazione forte del cliente (SCA)?

L’autenticazione forte del cliente (anche definita come Strong Customer Authentication o SCA) è una procedura di verifica che richiede l’uso di due o più fattori di autenticazione indipendenti per verificare l’identità dell’utente quando accede a conti o effettua pagamenti online, al fine di migliorare la sicurezza e ridurre le frodi. Si tratta di un requisito normativo europeo introdotto dalla direttiva europea PSD2.

In pratica, non è sufficiente conoscere due password: servono prove indipendenti che confermino l’identità di chi sta pagando.

La procedura genera un codice usa e getta collegato specificamente all’importo esatto e al negozio che riceverà il pagamento.

Questo significa che ogni codice vale solo per quella transazione, in quel momento, verso quel destinatario. Un sistema che rende quasi impossibile intercettare e riutilizzare le autorizzazioni per truffe future.

I tre pilastri della SCA sono:

  • Conoscenza: qualcosa che solo tu dovresti sapere (la password del tuo conto online, il PIN del bancomat, risposte a domande segrete).
  • Possesso: ciò che solo tu possiedi (il tuo smartphone, un dispositivo token della banca, la tua carta di credito fisica).
  • Inerenza: qualcosa che solo tu sei (la tua impronta digitale, il riconoscimento del tuo viso, la tua voce).

Questi tre fattori, usati in combinazione, garantiscono un livello di sicurezza molto elevato per ogni transazione elettronica, riducendo drasticamente il rischio di frodi.

Perché la SCA è stata introdotta dalla PSD2

Perché la SCA è stata introdotta dalla PSD2

La direttiva europea PSD2 (acronimo di Payment Services Directive 2) e il suo Regolamento tecnico del 2018 hanno stabilito regole di sicurezza uguali per tutti i pagamenti nell’Unione Europea. 

L’obiettivo dichiarato: ridurre le truffe online e garantire a tutti i cittadini europei lo stesso livello di protezione dei dati quando pagano.

L’Italia ha ottenuto una proroga fino al 31 dicembre 2020 per adeguare i pagamenti online con carta, mentre altri paesi hanno iniziato prima. Oggi l’obbligo è pienamente attivo e la Banca d’Italia controlla che tutti rispettino le regole, con multe per chi non si adegua.

In che modo la SCA incide sulle transazioni online

L’impatto iniziale è stato significativo. Come confermano da diverse fonti, durante i primi mesi di applicazione, molti negozi online hanno registrato cali delle vendite completate fino al 20% in alcuni settori. 

I siti di viaggi, moda e consegna cibo a domicilio hanno sofferto particolarmente, soprattutto per gli acquisti da smartphone dove i passaggi aggiuntivi creavano maggiore confusione.

I problemi principali emersi nella pratica:

  • Autenticazioni che non funzionano perché i codici SMS non arrivano o le app bancarie non sono aggiornate
  • Tempi di pagamento raddoppiati che portano il cliente ad abbandonare l’acquisto
  • Procedure diverse per ogni banca che confondono chi compra online

Con il tempo, l’adozione di sistemi più moderni (come il protocollo 3DS2, che gestisce meglio le verifiche) e il miglioramento delle app bancarie hanno ridotto parte dei problemi. Ma rendere il pagamento semplice resta una sfida quotidiana per chi vende online.

Elementi cardine della SCA qualcosa che sai, hai o sei

Elementi cardine della SCA: qualcosa che sai, hai o sei

I tre fattori di autenticazione devono essere veramente indipendenti tra loro: se qualcuno ruba uno, non deve poter accedere agli altri. Per esempio, una carta clonata (possesso) non deve rivelare il tuo PIN (conoscenza). Un’impronta digitale rubata (inerenza) non deve sbloccare il tuo telefono (possesso).

La tabella sotto mostra alcuni esempi per ogni categoria di autenticazione.

Fattore di autenticazione
Conoscenza (informazioni che tieni segrete)Possesso (oggetti fisici che porti con te)Inerenza (caratteristiche del tuo corpo)
Modi di autenticazioneLa password per entrare nel tuo conto onlineIl PIN della tua carta di debito o creditoLe risposte alle domande di sicurezza (“nome del tuo primo animale domestico”)Il tuo smartphone con l’app della banca installataUn piccolo dispositivo (token) che genera codici numericiLa tua carta di pagamento con il chip internoLa tua impronta digitaleIl riconoscimento del tuo visoLa scansione dell’iride (parte colorata dell’occhio)

Tabella: Categorie e modi di autenticazione

La combinazione di questi elementi rende l’autenticazione molto più robusta rispetto a sistemi basati su un solo fattore. È proprio l’unione tra ciò che sai, ciò che hai e ciò che sei a offrire la protezione migliore per ogni tipo di pagamento elettronico.

SCA: quando è richiesta e quando no

Passiamo ora ad alcuni aspetti pratici riguardo l’autenticazione forte del cliente. Procediamo a stabilire quando si utilizza la SCA e quali sono i casi particolari in cui l’autenticazione non è richiesta.

Quando l’autenticazione forte è richiesta

La SCA scatta in due situazioni principali: quando accedi al tuo conto bancario online per fare operazioni importanti e quando fai un pagamento elettronico che non rientra nelle eccezioni previste dalla legge. 

La regola generale è semplice. Ogni transazione richiede doppia verifica, salvo casi specifici.

Casi in cui la SCA non è richiesta

Le esenzioni sono casi in cui la legge permette di saltare la doppia verifica per rendere il pagamento più veloce. Conoscerle e applicarle correttamente può migliorare molto l’esperienza dei tuoi clienti.

I casi in cui la SCA non è richiesta sono diversi: 

  • Pagamenti contactless: quando paghi avvicinando la carta al lettore, non serve il PIN per importi sotto i 50 euro. Ma attenzione: dopo 5 pagamenti consecutivi o 150 euro totali, il sistema richiede comunque il PIN per sicurezza.
  • Macchinette automatiche non sorvegliate: parchimetri, biglietterie automatiche della metro, caselli autostradali. Questi dispositivi possono accettare pagamenti senza doppia verifica per non creare code e rallentamenti.
  • Negozi di fiducia (beneficiari fidati): i clienti possono dire alla propria banca “mi fido di questo negozio”. Una volta autorizzato, i pagamenti futuri verso quel negozio non richiedono più la doppia verifica.
  • Abbonamenti e pagamenti ricorrenti: servizi come Netflix, Spotify o la palestra. Questi pagamenti richiedono la doppia verifica solo la prima volta. I rinnovi successivi dello stesso importo sono automatici.
  • Piccoli pagamenti online: le transazioni sotto i 30 euro online possono evitare la doppia verifica, ma la banca tiene il conto di quante ne fai e dopo un certo numero le richiede comunque per sicurezza.
  • Analisi del rischio (TRA): le banche usano sistemi intelligenti che capiscono se un pagamento è sospetto. Se il sistema dice “questo pagamento è sicuro” e la banca ha poche frodi, può autorizzare senza doppia verifica.

Tutte queste esenzioni sono pensate per bilanciare sicurezza e semplicità d’uso. Un’applicazione corretta consente agli esercenti di ridurre l’abbandono del carrello e migliorare il tasso di conversione, mantenendo comunque alti standard di protezione.

Trova la soluzione di pagamento ideale per la tua attività

Approfitta del 10% di sconto sul tuo primo ordine compilando il modulo qui sotto!

Casi particolari di pagamenti senza SCA

L’autenticazione a due fattori, inoltre, non è richiesta in caso di altri due operazioni. 

Gli ordini per telefono o email (MOTO) non sono considerati pagamenti elettronici dalla legge. Se un cliente ti chiama per ordinare o ti manda un’email con i dati della carta, non serve la SCA.

L’altra situazione e quella dei pagamenti internazionali (one-leg-out). Quando paghi su un sito americano o giapponese (fuori dall’Europa), la SCA si applica solo parzialmente. La tua banca europea decide se è sicuro procedere o se bloccare per proteggerti.

In questi scenari, il livello di sicurezza è affidato principalmente agli strumenti di prevenzione delle frodi adottati dai fornitori di servizi di pagamento. È comunque fondamentale che l’esercente mantenga alti standard di protezione per tutelare sé stesso e i propri clienti.

Come funziona la SCA nei pagamenti con carta: in negozio e online

I principi che regolano la SCA sono gli stessi in ogni contesto, ma l’applicazione pratica presenta alcune differenze tra pagamenti in negozio e online: 

In negozio 

Il sistema è semplice e funziona bene. Inserire la carta nel lettore e digitare il PIN soddisfa automaticamente i requisiti di doppia verifica: hai la carta (possesso) e conosci il PIN (conoscenza).

Per i pagamenti contactless (avvicinando carta o telefono), il sistema gestisce automaticamente le soglie di sicurezza. I pagamenti con smartphone (Apple Pay, Samsung Pay o Google Pay) usano l’impronta o il riconoscimento facciale, quindi hanno già la doppia verifica integrata.

Online 

Qui la situazione diventa più complessa. Quando paghi online, per esempio usando il home banking, il sistema (chiamato 3D Secure 2) decide in pochi secondi se serve una verifica extra.

Questo standard di autenticazione può generare due possibili scenari:

  • Pagamento diretto: se il sistema ritiene il pagamento sicuro, procede senza interruzioni.
  • Verifica aggiuntiva: se c’è qualche dubbio, ti chiede di confermare tramite un codice SMS, una notifica sull’app della banca o l’impronta digitale sul telefono.

Le transazioni online, come è evidente, richiedono un livello di prevenzione e sicurezza maggiore, mancando alcuni elementi di identificazione che appaiono chiari nelle transa

Impatto della SCA sul checkout in Italia e sui tassi di conversione

Impatto della SCA sul checkout in Italia e sui tassi di conversione

In fase di checkout, la SCA crea dei problemi principalmente in tre momenti critici: quando vieni rimandato su troppe pagine diverse e ti perdi, quando il codice SMS non arriva o arriva tardi, e quando devi fare tutto su uno schermo piccolo del telefono con pulsanti minuscoli.

A questo si aggiunge che molti clienti non capiscono cosa stia succedendo. Si trovano davanti richieste strane senza sapere perché sono necessarie o se sono legittime.

I dati dei primi sei mesi del 2021, come fatto emergere dalla Banca d’Italia, mostravano problemi seri. 

L’Italia aveva il 15% in più di acquisti abbandonati rispetto agli altri paesi europei durante le verifiche. I siti di moda, viaggi e cibo a domicilio hanno perso fino al 30% delle vendite nelle ore di punta.

I dati più recenti mostrano un miglioramento significativo rispetto alla fase iniziale. L’adozione diffusa di 3D Secure 2 e il miglioramento delle app bancarie hanno ridotto i problemi di conversione, portando i tassi di abbandono su livelli più gestibili.

Consigli pratici per ridurre le frizioni senza rinunciare alla sicurezza

Rendere il pagamento semplice e sicuro richiede attenzione ai dettagli, a partire dalla tecnologia. In tal senso usare sistemi di pagamento moderni (3D Secure 2) non è opzionale. Sistemi vecchi o mal configurati sono la prima causa di problemi che si potrebbero evitare.

Per creare un processo di pagamento sicuro, ti invitiamo a sfruttare le esenzioni, se possibile, cercando di:

  • Incoraggiare i clienti a mettere il tuo negozio tra quelli fidati nella loro banca.
  • Configurare bene gli abbonamenti e i pagamenti rateali per evitare verifiche inutili.
  • Usare l’analisi del rischio quando hai poche frodi.

Seguendo queste buone pratiche, puoi ridurre le interruzioni inutili. L’obiettivo è trovare il giusto equilibrio tra sicurezza e semplicità, così da proteggere i clienti senza creare frustrazione.

Inoltre, potresti migliorare l’esperienza di pagamento attraverso:

  • Pagine che si caricano in meno di 3 secondi;
  • Spiegazioni chiare su cosa sta succedendo (“La tua banca ti invierà un codice per confermare il pagamento”);
  • Un design che funzioni bene su tutti i telefoni.

In sintesi, è importante preparare il cliente e avvisare prima del pagamento che ci sarà una verifica di sicurezza. Spiegare che questa procedura protegge i suoi soldi da potenziali truffe e che non è una complicazione inutile.

Fate crescere la vostra attività con il POS portatile myPOS Go 2

Scopri di più

Le soluzioni myPOS che supportano la SCA

Le soluzioni di pagamento myPOS mettono a disposizione degli esercenti una gamma di strumenti pronti all’uso che semplificano al massimo la gestione della Strong Customer Authentication, senza introdurre complessità né per l’attività né per i clienti, che possono così beneficiare di pagamenti sicuri e semplici.

Tra le principali soluzioni offerte da myPOS, troviamo:  

  • Terminali POS: tutti i dispositivi myPOS supportano pagamenti contactless e Chip&PIN in conformità con le disposizioni europee. Gli aggiornamenti automatici del software garantiscono che il tuo terminale rispetti sempre le normative vigenti sempre senza che tu debba fare nulla.
  • Pagamenti online (myPOS Online & Checkout): il sistema integra automaticamente le verifiche 3D Secure 2, decidendo quando serve la doppia autenticazione e quando si può evitare. Gestisce tutte le esenzioni permesse, inclusi abbonamenti e negozi di fiducia, rendendo il pagamento più fluido dove possibile.

La piattaforma sceglie automaticamente il percorso migliore per ogni pagamento, bilanciando sicurezza e semplicità per ridurre i carrelli abbandonati.

Conclusioni: sicurezza e semplicità possono convivere

L’autenticazione forte del cliente non è solo un obbligo normativo, ma un’opportunità per rafforzare la fiducia dei tuoi clienti e proteggere la tua attività dalle frodi. Comprendere come funziona la SCA, quando si applica e come sfruttare correttamente le esenzioni ti permette di offrire un’esperienza di pagamento più fluida e professionale.

Le soluzioni di myPOS sono pensate proprio per aiutarti a trovare il giusto equilibrio tra sicurezza e semplicità, semplificando la conformità e riducendo l’attrito in ogni transazione. Preparati oggi per offrire ai tuoi clienti un’esperienza di pagamento più sicura, veloce e senza sorprese.

Domande frequenti 

L’autenticazione forte del cliente è una misura di sicurezza obbligatoria per i pagamenti elettronici in Europa. Richiede almeno due elementi di verifica tra: qualcosa che solo l’utente conosce (es. un codice PIN), ha (es. uno smartphone) o è (es. impronta digitale), per confermare l’identità del pagatore.

La SCA è richiesta per la maggior parte dei pagamenti online o tramite POS nei paesi dell’UE e dello Spazio Economico Europeo. È obbligatoria per acquisti con carta, accessi ai conti bancari online e autorizzazioni di bonifici elettronici, salvo eccezioni previste dalla normativa.

Non necessariamente. Se ben implementata, la SCA protegge da frodi senza compromettere l’esperienza utente. Inoltre, sfruttare correttamente le esenzioni previste dalla legge può mantenere fluido il processo di acquisto, migliorando la fiducia e riducendo l’abbandono del carrello.

Desi Tzoneva

Autore

Desi Tzoneva

Articoli simili

Customer Effort Score: cos’è e come migliorarlo

Customer Effort Score: cos’è e come migliorarlo

  • Amministrazione aziendale
  • Avviare un'attività

Data di pubblicazione: 04.12.2025

Ultimo aggiornamento: 04.12.2025
Vendita abbinata: strategie, modelli di pricing e consigli

Vendita abbinata: strategie, modelli di pricing e consigli

  • Amministrazione aziendale
  • Avviare un'attività

Data di pubblicazione: 04.12.2025

Ultimo aggiornamento: 04.12.2025
Come gestire le finanze aziendali: La guida completa

Come gestire le finanze aziendali: La guida completa

  • Amministrazione aziendale
  • Gestione finanziaria

Data di pubblicazione: 04.12.2025

Ultimo aggiornamento: 04.12.2025

Rimani aggiornato e ispirato.

Gioca d'anticipo: iscriviti per ricevere le ultime notizie di myPOS, aggiornamenti esclusivi e approfondimenti per aumentare i tuoi affari!

Cookie

Seleziona la tua preferenza per i cookie

Utilizziamo due tipi di cookie: cookie necessari e cookie di personalizzazione. I cookie necessari vengono memorizzati ed elaborati al fine di garantire che tu possa accedere al nostro sito Web e visualizzarne tutti i contenuti in modo privo di bug e senza interruzioni, mentre i cookie di personalizzazione ci aiutano a fornirti contenuti più pertinenti. Se continui a utilizzare questo sito Web senza fare clic sul pulsante accetta qui sotto, non memorizzeremo o elaboreremo alcun cookie di personalizzazione per te. Puoi gestire il modo in cui interagisci con i nostri cookie in qualsiasi momento facendo clic sulle impostazioni dei cookie nel piè di pagina o sul pulsante "Personalizza cookie" qui sotto.

Troverai ulteriori informazioni, incluso un elenco di ciascun tipo di cookie, il suo scopo e la durata di conservazione, nel nostro Politica sui cookie.