SCA e 3DS 2.0: i nuovi sistemi di autenticazione aumentano la sicurezza dei pagamenti online
La nuova normativa europea PSD2 apre le porte a nuovi sistemi di autenticazione per il pagamento online: dal 14 Settembre 2019 diventano obbligatori SCA e 3DS 2.0 per garantire al un’esperienza di pagamento online più semplice e più sicura.
Pagamento online: secondo l’indagine 2018 “Customer experience and payment behaviours in the psd2 context” realizzata da PwC e Strategy&, il 48% dei consumatori europei compie acquisti online con una frequenza mensile di 2-5 volte. Partendo da questo presupposto è semplice comprendere la scelta della Commissione Europea relativa all’aggiornamento delle direttive riguardanti le modalità di pagamento online: la nuova normativa Payment Services Directive 2 (PSD2) porta con sé importanti novità quali 3DS 2.0 e Strong Customer Authentication (SCA), ovvero nuovi sistemi di autenticazione in grado di ottimizzare la sicurezza delle transazioni online.
La normativa PSD2 comporta alcune modifiche che gli esercenti dovranno apportare ai propri sistemi di pagamento: 3DS 2.0 e SCA saranno funzionalità di sicurezza obbligatorie per qualsiasi sistema di pagamenti online in Europa a partire dal 14 Settembre 2019. Ma, il 1 Agosto 2019, Bankitalia ha reso pubblico un comunicato nel quale dichiara che, aderendo alla possibilità di proroga proposta dall’Associazione Bancaria Europea, decide di rimandare la data di entrata in vigore della SCA. Infatti, giudicando gli aggiornamenti particolarmente complessi, la Banca d’Italia preferisce promuovere un aggiornamento del sistema finanziario graduale e con meno rischi. La Srong Customer Authentication per i pagamenti online non sarà attiva dal 14 Settembre, bensì da data ancora da definire sulla base dei limiti comunicati dall’EBA.
Vuoi migliorare i tuoi risultati di business?
Scegli la soluzione di pagamento Axepta più adatta alle tue esigenze
SCA: cos’è, come funziona e come migliora i sistemi di pagamento online
La SCA (Strong Customer Authentication) è uno dei cambiamenti introdotti dalla nuova normativa PSD2 riguardo alla sicurezza dei pagamenti online. La Strong Customer Authentication si basa sul sistema di autenticazione a due fattori che diventerà obbligatorio all’interno di ogni processo di pagamento in rete a partire dal 14 Settembre 2019.
Per emettere pagamenti online sicuri sarà necessario identificarsi mediante la combinazione di due tra i seguenti fattori:
Fattori che conosce il cliente:
- Password conosciuta solo dall’utente
- Domande di sicurezza conosciute solo dall’utente
Fattori che caratterizzano il cliente:
- Riconoscimento facciale
- Impronta digitale
- Scansione vocale
- Scansione dell’iride
- Firma DNA
Fattori che possiede il cliente:
- Smartphone
- Wearable device
- Token bancario
Questi devono essere indipendenti gli uni dagli altri, affinché la violazione di uno non comprometta l’affidabilità degli altri.
3DS 2.0: cos’è, come funziona e come migliora la sicurezza del pagamento online
Il 3DS 2.0 è il nuovo standard di autenticazione per pagamenti digitali introdotto dalla PSD2 per migliorare la user experience e rendere l’autenticazione più dinamica e sicura. 3D Secure 2.0 è l’evoluzione del già noto 3DS: questo nuovo sistema online permetterà di utilizzare nuovi metodi di autenticazione, basati sull’utilizzo della SCA, al fine di ridurre il numero di frodi. 3DS 2.0 è senza dubbio una soluzione efficace per il miglioramento dell’esperienza online del cliente: mediante i nuovi sistemi di autenticazione a due fattori, infatti, l’acquirente non sarà più obbligato a ricordare innumerevoli codici e password, ma potrà utilizzare ad esempio i propri dati biometrici.
Come funziona? Il sistema 3D Secure 2.0 consentirà agli esercenti di inviare in modo sicuro alla banca dell’acquirente oltre 100 dati informativi per ogni transazione: i dati verranno condivisi con le banche in modo automatico in quanto i sistemi di autenticazione saranno inclusi all’interno delle procedure di pagamento dell’e-commerce senza il bisogno di reindirizzamenti su browser.
Una volta ricevute le informazioni, la banca del titolare della carta potrà svolgere una valutazione riguardo al livello di rischio della transazione e scegliere di procedere in due modi differenti:
- Qualora i dati fossero sufficienti per qualificare l’acquirente come il legittimo proprietario e titolare della carta di credito, la transazione risulterebbe idonea e l’autenticazione avverrebbe automaticamente, senza alcuna conseguenza sull’esperienza cliente: in altre parole l’utente non si accorgerebbe dell’utilizzo automatico del protocollo 3DS 2.0.
- Se la banca ritenesse le informazioni fornite insufficienti per autenticare il pagamento, al cliente verrebbe richiesto di fornire ulteriori dati per convalidare la transazione. In questo caso il sistema 3DS 2.0 prevede uno step ulteriore di verifica secondo le modalità definite dalla banca del cliente: ad esempio, l’autenticazione può avvenire mediante l’invio di un codice al cliente tramite email o SMS, autenticazione biometrica, funzionante mediante i nuovi SDK mobili in grado di attivare l’App della banca sul dispositivo del cliente e richiedere una verifica mediante impronta digitale, riconoscimento facciale o semplice password.
La nuova generazione di tecnologie di autenticazione 3DS 2.0 rappresenta un importante passo avanti verso la prevenzione delle frodi online e la sicurezza del cliente.
3DS 2.0: quali sono le differenze con 3D Secure 1? E i vantaggi?
Rispetto alla prima versione del sistema 3D Secure, 3DS 2.0 afferma una proposta totalmente innovativa per l’autenticazione dei pagamenti online con un’esperienza cliente rinnovata e migliorata.
Scopriamo quali sono i miglioramenti che 3DS 2.0 garantirà rispetto all’attuale sistema 3D Secure:
- L’attuale sistema 3DS ha un limite significativo: fa uso di una schermata pop-up con un URL differente alla quale l’utente viene reindirizzato per rispondere a ulteriori domande di sicurezza rispetto al pagamento online. Utilizzando una schermata pop-up il rischio di diminuire il tasso di conversione è molto alto: molti utenti, dopo essere stati reindirizzati alla pagina pop-up online 3D Secure, abbandonano la transazione in quanto giudicata non sicura. 3DS 2.0 apporta una soluzione significativa a questo problema: l’autenticazione della transazione viene eseguita all’interno dell’App o del modulo di pagamento dell’e-commerce evitando reindirizzamenti poco chiari. Come funziona? Semplice. Grazie a nuovi SDK mobili gli esercenti commerciali potranno incorporare il flusso di autenticazione dei pagamenti online direttamente nelle procedure di completamento della transazione all’interno delle proprie applicazioni e-commerce, sia da web che da dispositivo mobile, senza il bisogno di alcun reindirizzamento. In questo modo la transazione può passare attraverso un flusso di autenticazione semplice, veloce e privo di problematiche.
- Il metodo 3D Secure attuale possiede un fattore di rischio importante: non vi è, infatti, l’obbligo di implementare il sistema 3DS come misura di sicurezza e questo accresce il rischio di subire frodi online per il cliente. 3DS 2.0 è invece un sistema obbligatorio: la normativa PSD2 rende il sistema di autenticazione doveroso a partire dal 14 Settembre 2019 per tutti i sistemi di pagamento online in Europa.
- La prima versione del metodo 3D Secure consente all’acquirente di pagare utilizzando esclusivamente carte di credito: 3DS 1 non permette quindi al cliente di pagare utilizzando portafogli virtuali. 3DS 2.0 è invece un sistema innovativo che offre al cliente la possibilità di effettuare transazioni online mediante i più recenti sistemi di pagamento quali e-wallet e mobile wallet.
- Un ulteriore limite del sistema 3DS attualmente in uso è senza dubbio relativo alla memorizzazione di password univoche o variabili: gli utenti intestatari di molteplici carte potrebbero, infatti, riscontrare problemi nel ricordare le innumerevoli password. 3DS 2.0 ottimizza notevolmente l’esperienza lato utente mediante la semplificazione del processo di autenticazione con l’utilizzo di token o sistemi biometrici di riconoscimento. Anche gli esercenti online possono trarre vantaggio dal nuovo sistema 2.0: gli abbandoni delle transazioni da parte del cliente diminuiranno notevolmente in quanto la procedura di pagamento risulterà enormemente semplificata.
SCA: quali sono i pagamenti digitali che non hanno l’obbligo di utilizzare la SCA?
Esistono diverse tipologie di transazioni esenti dall’obbligo SCA, scopriamo quali sono:
- Transazioni a basso importo
Sono esenti dall’obbligo della SCA purché siano soddisfatte le seguenti condizioni:
- L’importo dell’operazione di pagamento a distanza non supera i 30 Euro; E
- L’importo cumulativo delle precedenti operazioni di pagamento elettronico a distanza disposte dal pagatore dall’ultima applicazione dell’autenticazione forte del cliente non supera i 100 Euro; OPPURE
- Il numero delle precedenti operazioni di pagamento elettronico a distanza disposte dal pagatore dall’ultima applicazione dell’autenticazione forte del cliente non è superiore a cinque operazioni singole consecutive.
- Transazioni a rischio ridotto
Sono escluse dall’obbligo SCA le transazioni considerate a basso rischio in seguito a un’attenta analisi da parte del payment service provider.
- Transazioni verso beneficiari credibili
Qualora il cliente aggiungesse un e-commerce alla propria lista di “beneficiari credibili”, per i seguenti pagamenti non verrà più richiesta l’autenticazione a due fattori.
- Abbonamenti o transazioni fisse
I pagamenti online ricorrenti richiederanno l’obbligo di SCA esclusivamente per la prima transazione.
- Transazioni di ordine telefonico o postale
Tutti gli ordini emessi tramite posta o telefono (cosiddette transazioni MO.TO.) sono esenti dagli obblighi SCA in quanto vengono considerati pagamenti elettronici.
- Transazioni extra SEE
Tutti i pagamenti con acquirente o esercente al di fuori dei confini europei non sono soggetti alle procedure SCA.
L’introduzione della PSD2, e quindi della SCA, ha portato ad un aggiornamento del protocollo 3DS alla versione 2.0 per garantire transazioni online sicure e per rendere l’esperienza dell’utente molto più semplice.
La nuova normativa Europea PSD2 porta con sé molti altri cambiamenti oltre a 3DS 2.0 e SCA relativi ai pagamenti online: per scoprire tutte le novità apportate dalla PSD2 puoi consultare l’articolo “PSD2: guida alla nuova normativa europea sui pagamenti digitali”.