La nuova normativa europea PSD2 apre le porte a nuovi sistemi di autenticazione per il pagamento online: dal 14 Settembre 2019 è diventato obbligatorio che, all’interno di ogni processo di pagamento in rete, sia attiva la cosiddetta Strong Customer Authentication (SCA) e il relativo protocollo 3D Secure 2.0, cioè l’autenticazione a due o più fattori per garantire al consumatore un’esperienza di pagamento online più semplice e sicura.
SCA: che cos’è, come funziona e quali miglioramenti apporta ai sistemi di pagamento online
La SCA, obbligatoria per il pagamento dai 30 Euro in su, consente di verificare se un utente è l’effettivo titolare della carta utilizzata per eseguire il pagamento online.
Come? Oltre ai soliti dati (numero, codice CVV e data di scadenza) l’utente deve inserire almeno una combinazione di due tra i seguenti fattori:
Fattori che conosce il Cliente:
- Password nota soltanto all’Utente;
- Domande di sicurezza note soltanto all’Utente.
Fattori che descrivono il Cliente:
- Riconoscimento facciale;
- Impronta digitale;
- Scansione vocale;
- Scansione dell’iride;
- Firma DNA.
Fattori che possiede il Cliente:
- Smartphone;
- Wearable device;
- Token bancario.
I fattori sopra elencati devono essere indipendenti gli uni dagli altri: ciò perché la violazione di uno di essi non deve poter compromettere l’affidabilità e la sicurezza degli altri.
Addio dunque alle chiavette genera-token, che potevano passare di mano in mano senza alcun controllo o essere smarrite con facilità. Ora il codice da digitare deve essere sul cellulare, accessibile dall’app della banca o via SMS.
3DS 2.0: che cos’è, come funziona e quali miglioramenti apporta alla sicurezza del pagamento online
Il 3D Secure 2.0 è l’ultimo standard di autenticazione per pagamenti digitali: introdotto dalla PSD2, ha come scopo quello di migliorare la user experience e di rendere l’autenticazione più sicura. L’ultima evoluzione del sistema 3D Secure permetterà infatti di utilizzare nuovi metodi di autenticazione, tutti basati sull’impiego della SCA, con l’obiettivo di diminuire il numero di frodi.
Tramite i nuovi sistemi di autenticazione a due fattori, infatti, l’Utente non sarà più obbligato a ricordare diversi codici o password, ma potrà fare uso, ad esempio, dei proprio dati biometrici.
Il sistema 3D Secure 2.0 permetterà agli Esercenti di inviare alla banca dell’Acquirente più di 100 dati informativi per ogni transazione, il tutto in modo assolutamente sicuro e automatico, senza bisogno di reindirizzamenti su browser.
Ricevute le informazioni, la banca dell’Utente potrà valutare il livello di rischio della transazione in corso e optare per una di queste due soluzioni:
- approvare la transazione. Questo avverrebbe in modo automatico, senza alcuna autenticazione da parte dell’Utente, qualora i dati fossero sufficienti per qualificare l’Acquirente come il legittimo proprietario e titolare della carta di credito;
- richiedere ulteriori dati all’Utente per convalidare la transazione. Qualora i dati non fossero sufficienti per autenticare il pagamento, il sistema 3D Secure 2.0 prevede un’ulteriore verifica, secondo le modalità definite dalla banca dell’Acquirente.
Queste possono includere: invio di un codice all’Utente tramite email o SMS o autenticazione biometrica sulla APP della banca sul dispositivo dell’Utente con verifica mediante impronta digitale, riconoscimento facciale o semplice password.
3DS 2.0: quali sono le differenze rispetto a 3DS?
E quali i vantaggi?
- Il precedente sistema 3D Secure 1 aveva un limite importante: utilizzare una schermata pop-up, avente URL differente, alla quale l’Utente veniva reindirizzato per rispondere a ulteriori domande di sicurezza. Ciò dava luogo a un’alta percentuale di utenti che abbandonava la transazione proprio perché ritenuta non sicura.
Con 3DS 2.0 l’autenticazione è effettuata all’interno della APP o del modulo di pagamento dell’e-commerce, evitando reindirizzamenti.
- 3D Secure 1 non aveva l’obbligo di implementare il sistema 3DS come misura di sicurezza, accrescendo così per il Cliente la possibilità di subire frodi online.
Al contrario, 3DS è un sistema obbligatorio. Come già detto, a partire dal 14 settembre 2019, la normativa PSD2 lo ha reso necessario per tutti i sistemi di pagamento online europei. - 3D Secure 1 permetteva all’Acquirente di effettuare il pagamento con il solo utilizzo di carte di credito, escludendo così i portafogli virtuali.
3DS 2.0 offre invece la possibilità di procedere a transazioni online utilizzando e-wallet e mobile wallet. - 3DS 2.0 supera il limite, proprio di 3D Secure 1, che obbligava l’Utente a ricordarsi innumerevoli password univoche o variabili: l’utilizzo di token o sistemi biometrici di riconoscimento semplifica il processo di autenticazione. Ciò costituisce un notevole vantaggio anche per gli Acquirenti; la semplificazione delle transazioni impatterà positivamente sul tasso di abbandono delle transazioni.
SCA: quali pagamenti digitali non hanno l’obbligo di utilizzarla?
Esistono diverse tipologie di transazioni che non hanno l’obbligo di utilizzare la SCA.
Queste sono:
- Transazioni a basso importo. Ne sono esenti a patto che siano soddisfatte le seguenti condizioni:
-
- l’importo dell’operazione non supera i 30 EUR;
- l’importo cumulativo delle precedenti operazioni di pagamento elettronico, dall’ultima applicazione dell’autenticazione forte del cliente, non supera i 100 EUR,oppure, il numero delle precedenti operazioni dall’ultima applicazione dell’autenticazione forte del cliente non è superiore a cinque operazioni singole consecutive.
- Transazioni a rischio ridotto;
- Transazioni verso beneficiari credibili;
- Abbonamenti o transazioni fisse;
- Transazioni di ordine telefonico o postale;
- Transazioni extra SEE.
La nuova normativa Europea PSD2 porta con sé molti altri cambiamenti oltre a 3DS 2.0 e SCA relativi ai pagamenti online: per scoprire tutte le novità apportate dalla PSD2 puoi consultare l’articolo “PAYMENT SERVICES DIRECTIVE 2 (PSD2): LA NUOVA DIRETTIVA EUROPEA SUI PAGAMENTI DIGITALI”
QUICK TIPS
Sapevi che …
- secondo l’indagine 2018 “Customer experience and payment behaviours in the psd2 context” realizzata da PwC e Strategy&, il 48% dei consumatori europei effettua 2-5 acquisti mensili online. Basandoci su questi dati è semplice comprendere la scelta della Commissione Europea relativa all’aggiornamento delle direttive riguardanti le modalità di pagamento online: la nuova normativa Payment Services Directive 2 (PSD2) ha portato importanti novità tra le quali 3DS 2.0 e Strong Customer Authentication (SCA), ovvero nuovi sistemi di autenticazione in grado di ottimizzare la sicurezza delle transazioni online.