Come parte della seconda direttiva sui servizi di pagamento (PSD2) , i negozi online nell’Unione Europea dovranno implementare misure di sicurezza aggiuntive durante il processo di autenticazione. Per molti commercianti online, queste nuove normative potrebbero richiedere l’aggiunta di ulteriori misure di autenticazione alla procedura di pagamento. In questa guida daremo uno sguardo più da vicino a questi nuovi requisiti noti come Strong Customer Authentication (SCA) e ai tipi di pagamenti sui quali incidono. Copriremo anche le esenzioni che possono essere utilizzate per transazioni a basso rischio per offrire un’esperienza di pagamento senza difficoltà.
Cos’è l’autenticazione forte del cliente?
L’autenticazione forte del cliente (SCA) è un requisito della direttiva sui servizi di pagamento dell’UE (PSD2) rivista sui prestatori di servizi di pagamento all’interno dello Spazio economico europeo.
La SCA richiede che i pagamenti elettronici vengano eseguiti con l’autenticazione a più fattori, allo scopo di aumentare la sicurezza dei pagamenti elettronici.
In sostanza, tutte le transazioni che coinvolgono una carta emessa o un acquirente nell’UE devono implementare misure di sicurezza aggiuntive per completare le transazioni online.
[AdSense-A]
Quando è richiesta la Strong Customer Authentication?
La Strong Customer Authentication si applica ai pagamenti online “avviati dal cliente” in Europa. Di conseguenza, la maggior parte dei pagamenti con carta e tutti i trasferimenti bancari richiedono la SCA. Gli addebiti diretti ricorrenti, invece, sono considerati “avviati dal commerciante” e non richiedono un’autenticazione forte. Ad eccezione dei pagamenti contactless, i pagamenti con carta effettuati di persona non sono influenzati dal nuovo regolamento.
Per i pagamenti con carta online, questi requisiti si applicano alle transazioni in cui sia l’azienda che la banca del titolare della carta si trovano nello Spazio economico europeo (SEE).
[AdSense-B]
Come funziona l’autenticazione forte del cliente?
L’elemento più importante della SCA è l’autenticazione a due fattori. Esistono tre categorie che possono essere utilizzate per verificare le informazioni sui clienti in una transazione conforme a SCA:
· Conoscenza – Qualcosa che solo l’utente conosce
· Possesso – Qualcosa di generato solo per il cliente (ad es. Un codice inviato al telefono dell’utente)
· Inerenza – ovvero il riconoscimento del cliente (ad es. ID viso o impronta digitale)
Nell’ambito dell’autenticazione a due fattori, i commercianti online sono tenuti a utilizzare solo due dei tre elementi. Se una transazione non utilizza due metodi di autenticazione indipendenti, la transazione non avrà esito positivo.
Prima dell’autenticazione a due fattori, le banche emittenti di solito richiedevano agli utenti solo di ricordare una password per completare gli acquisti ed effettuare pagamenti. Tuttavia, le password sono spesso facili da dimenticare o, peggio, facili da indovinare. Per evitare frodi, l’impiego di dati più dinamici con SCA renderà il processo di pagamento più conveniente e sicuro per i clienti.
Ma ovviamente ci sono delle eccezioni. La PSD2 ha un ampio elenco di scenari di esenzione, ecco le esenzioni SCA più rilevanti :
- Transazioni di basso valore – Le transazioni inferiori a 30 EUR sono esenti da SCA.
- Abbonamenti – Le transazioni ricorrenti con un importo fisso saranno esentate dalla seconda transazione a termine; solo la transazione iniziale richiede SCA.
- Esercenti autorizzati – Le aziende elencate come “Beneficiari attendibili” non richiederanno la SCA. Ciò lo rende più conveniente per i clienti che acquistano regolarmente con una determinata attività
- Mail Order and Telephone Order (MOTO) – Queste transazioni sono esenti da SCA in tutti i casi.
Vediamo alcuni di questi casi nel dettaglio.
[AdSense-B]
Esenzioni alla Strong Customer Authentication
In base a questo nuovo regolamento, tipi specifici di pagamenti a basso rischio possono essere esentati dalla Strong Customer Authentication. I fornitori di servizi di pagamento possono richiedere queste esenzioni durante l’elaborazione del pagamento. La banca del titolare della carta riceverà quindi la richiesta, valuterà il livello di rischio della transazione e infine deciderà se approvare l’esenzione o se è ancora necessaria l’autenticazione.
Costruire l’autenticazione nel flusso di checkout introduce un passaggio aggiuntivo che può aggiungere difficoltà e aumentare l’abbandono dei clienti. L’utilizzo di esenzioni per pagamenti a basso rischio può ridurre il numero di volte in cui sarà necessario autenticare un cliente semolificando le operazioni di acquisto.
Le esenzioni più rilevanti per le attività Internet sono:
Transazioni a basso rischio
Un fornitore di servizi di pagamento può eseguire un’analisi dei rischi in tempo reale per determinare se applicare la SCA a una transazione. Ciò può essere possibile solo se i tassi di frode complessivi del fornitore di servizi di pagamento o della banca per i pagamenti con carta non superano le seguenti soglie:
0,13% per esentare le transazioni inferiori a 100 €
0,06% per esentare le transazioni inferiori a € 250
0,01% per esentare le transazioni inferiori a € 500
Tali soglie saranno convertite in importi equivalenti locali, se del caso.
Nei casi in cui solo il tasso di frode del fornitore di servizi di pagamento è inferiore alla soglia, ma la banca del titolare della carta è al di sopra di essa, ci aspettiamo che la banca rifiuti l’esenzione e richieda l’autenticazione.
Pagamenti inferiori a 30 €
Questa è un’altra esenzione che può essere utilizzata per pagamenti di importo ridotto. Le transazioni inferiori a 30 € sono considerate di “valore modesto” e possono essere esentate dalla SCA. Le banche, tuttavia, devono richiedere l’autenticazione se l’esenzione è stata utilizzata cinque volte dall’ultima autenticazione riuscita del titolare della carta o se la somma dei pagamenti precedentemente esentati supera € 100. La banca del titolare della carta deve tenere traccia del numero di volte in cui questa esenzione è stata utilizzata e decidere se è necessaria l’autenticazione.
Abbonamenti a importo fisso
Questa esenzione può essere applicata quando il cliente effettua una serie di pagamenti ricorrenti per lo stesso importo, alla stessa azienda. La SCA è richiesta per il primo pagamento del cliente, ma le spese successive possono essere esentate dalla SCA.
Beneficiari fidati
Quando si completa l’autenticazione per un pagamento, i clienti possono avere la possibilità di consentire all’elenco di un’azienda di cui si fidano per evitare di dover autenticare acquisti futuri. Queste attività vengono quindi incluse in un elenco di “beneficiari attendibili” gestito dalla banca del cliente o dal fornitore di servizi di pagamento.
Vendite telefoniche
I dettagli della carta raccolti per telefono non rientrano nell’ambito della SCA e non richiedono l’autenticazione. Questo tipo di pagamento è talvolta denominato “Ordini per corrispondenza e ordini telefonici” (MOTO). Analogamente ai pagamenti esentati, le transazioni MOTO devono essere contrassegnate come tali, con la banca del titolare della carta che prende la decisione finale di accettare o rifiutare la transazione.
Questo è un caso d’uso importante per qualsiasi azienda che accetti pagamenti per telefono e ci aspettiamo che sia ampiamente supportato dalle banche.
Pagamenti aziendali
Questa esenzione può coprire i pagamenti effettuati con carte “depositate” (ad esempio, quando una carta aziendale utilizzata per la gestione delle spese di viaggio dei dipendenti è detenuta direttamente con un agente di viaggio online), nonché i pagamenti aziendali effettuati utilizzando numeri di carte virtuali (che sono anche utilizzato nel settore dei viaggi).
Chi è influenzato dalla forte autenticazione del cliente?
Come parte della PSD2, la SCA si applica solo alle transazioni che coinvolgono una carta emessa o un acquirente situato nell’UE. Quindi, ecco come i commercianti e i consumatori online saranno influenzati dalla SCA:
Commercianti online dell’UE
Pro: i commercianti rischiano di perdere meno denaro a causa della riduzione degli addebiti fraudolenti.
Contro: i commercianti potrebbero dover modificare o aggiornare i propri sistemi per adeguarsi alle nuove normative SCA aggiungendo ulteriori metodi di autenticazione. Poiché c’è sempre il rischio di singhiozzo durante una transizione, i commercianti devono lavorare di più per soddisfare le aspettative dei clienti e ridurre al minimo le interruzioni nel processo di pagamento.
Clienti UE
Pro: i clienti avranno a disposizione opzioni bancarie e di pagamento più flessibili. Le loro informazioni personali saranno più protette ora che è richiesta un’autenticazione aggiuntiva.
Contro: ci saranno passaggi aggiuntivi quando si completa un acquisto o si effettua un pagamento. Ma questo è appena un negativo perché i cinque secondi aggiunti al processo di checkout significano che le informazioni personali sono più sicure.
Come autenticare un pagamento
Attualmente, il modo più comune per autenticare un pagamento con carta online si basa su 3D Secure, uno standard di autenticazione supportato dalla stragrande maggioranza delle carte europee. L’applicazione di 3D Secure in genere aggiunge un passaggio aggiuntivo dopo il checkout in cui al titolare della carta viene richiesto dalla banca di fornire ulteriori informazioni per completare un pagamento (ad esempio, un codice monouso inviato al telefono o l’autenticazione dell’impronta digitale tramite l’app di mobile banking).
[AdSense-A]
3D Secure 2 , la nuova versione del protocollo di autenticazione lanciato nel 2019, sarà il metodo principale per autenticare i pagamenti con carta online e soddisfare i nuovi requisiti SCA. Questa nuova versione introduce una migliore esperienza utente che aiuterà a ridurre al minimo alcuni degli attriti che l’autenticazione aggiunge al flusso di pagamento.
[AdSense-B]
Altri metodi di pagamento basati su carta come Apple Pay o Google Pay supportano già i flussi di pagamento con un livello di autenticazione integrato (biometrico o password). Questi possono essere un ottimo modo per le aziende di offrire un’esperienza di pagamento senza intoppi soddisfacendo i nuovi requisiti.
La mia ditta online permette di conoscere di più sui metodi di digitalizzazione dell’impresa italiana, delle nuove frontiere in campo di tecnologia e della promozione delle stesse.