Pagare in Internet in tutta sicurezza

I titolari di carte non dovranno più ricordarsi alcuna password e potranno confermare i pagamenti in tutta semplicità da un’app mobile. Con 3-D Secure 2 l’autenticazione dei clienti è completamente integrata nel processo di vendita. La responsabilità delle transazioni fraudolente viene trasferita interamente all’emittente della carta.

Il fulcro di 3-D Secure 2 è un processo di autenticazione basato sul rischio che utilizza ulteriori dati delle transazioni, sulla cui base gli esercenti e gli emittenti delle carte verificano se il pagamento è stato avviato dal titolare della carta e se quindi autorizzare o interrompere la procedura di pagamento. Sulla verifica influiscono anche altri fattori dell’autenticazione forte del cliente, quali le abitudini di pagamento o l’impronta digitale. Con il cosiddetto “Frictionless Flow” vengono identificate le transazioni a basso rischio. In tali casi, nei quali non è necessaria una vera e propria autenticazione del cliente, il processo di check-out per il titolare della carta avviene senza interruzioni.

• Procedura di pagamento senza intoppi (Frictionless Flow)
• Incremento della vostra conversion rate
• Riduzione delle interruzioni di pagamento grazie all’autenticazione basata sul rischio
• Totale integrazione in web shop e app
• Meccanismi intelligenti di riconoscimento delle frodi per ridurre le truffe con le carte di credito

Assicuratevi con i vostri solution provider che lo standard di sicurezza 3-D Secure 2 sia stato implementato correttamente:

• Per l’integrazione tecnica del nuovo standard di sicurezza vi preghiamo di rivolgervi al vostro Payment Service Provider.
• Assicuratevi con il vostro webshop provider riguardo all’integrazione attraverso il Payment Service Provider (potrebbe essere necessario aggiornare l’interfaccia tra il vostro Payment Service Provider e il vostro webshop oppure apportare altre modifiche).
• Per le autenticazioni user-friendly basate sul rischio, con 3-D Secure 2 verranno utilizzati 10 volte più dati del titolare della carta o del webshop. Ciò consente di avere maggiori punti di controllo e un tasso di frodi ridotto. Tra questi dati rientrano anche i dati personali, come il nome del titolare della carta, il numero di telefono, l’indirizzo e-mail, l’indirizzo IP, l’indirizzo di fatturazione e di consegna. Vi consigliamo pertanto di ampliare la vostra informativa sulla privacy conformemente al Regolamento generale sulla protezione dei dati (RGPD).
• Nel vostro webshop sostituite i loghi e i nomi salvati di Mastercard SecureCode con Mastercard Identity Check e Verified by Visa con Visa Secure.
• Siete clienti di Worldline e utilizzate Saferpay per il vostro webshop? Consultate la nostra pagina FAQ per sapere se occorre fare qualcosa.

• Non usate ancora 3-D Secure? In questo caso non siete conformi alla direttiva PSD 2. Vi preghiamo a questo riguardo di contattare i nostri specialisti affinché possano consigliarvi i passi necessari per l’applicazione di 3-D Secure 2.

La Direttiva sui servizi di pagamento (PSD2) in versione riveduta è stata definita dall’Autorità Bancaria Europea (ABE) con l’obiettivo di regolamentare i nuovi operatori di mercato e aumentare la sicurezza nelle operazioni di pagamento. Parte integrante di questa direttiva sono le norme tecniche di regolamentazione (RTS-SCA), che dal 14 settembre 2019 richiedono la Strong Customer Authentication (SCA).

All’avvicinarsi della scadenza inizialmente prevista del 14 settembre 2019, la maggioranza dei Paesi europei si è resa conto che gran parte delle proprie banche e società di e-Commerce nazionali non sarebbe stata in grado di rispettare tale data, che era già stata prorogata una volta.

Fu calcolato che i negozi online europei avrebbero perso in media il 20% delle entrate non rispettando la scadenza e l’Autorità Bancaria Europea (ABE), responsabile dell’implementazione delle norme tecniche di regolamentazione, decise infine di concedere un’ulteriore proroga.

Il nuovo termine definitivo, annunciato in una presa di posizione dell’ABE, è il 31 dicembre 2020, e le Autorità Nazionali Competenti (ANC) in tutta Europa hanno già comunicato la proroga ai soggetti nazionali interessati nei propri rispettivi Paesi, cioè a banche, PSP e negozi online.

Tuttavia, per evitare che la proroga del termine possa essere un incentivo per alcuni soggetti a non adottare misure fino all’approssimarsidella nuova data, l’ABE, tramite le autorità nazionali, ha imposto ai soggetti interessati come condizione della proroga, piani concreti di implementazione della SCA. In altre parole, l’ABE si è assicurata che i soggetti non si trovino nuovamente nella stessa situazione all’avvicinarsi del termine fissato per la scadenza dell’attuazione.

Infine, è importante sottolineare che gli esercenti e i relativi PSP dovranno essere tecnicamente pronti entro la fine del primo semestre 2020, in modo da avere tempo a sufficienza per testare l’intera catena di processo con i propri acquirer, Circuiti internazionali e issuer. È probabile che vi saranno diverse interpretazioni dei nuovi regolamenti, che la messa a punto possa richiedere del tempo e che debba essere conclusa entro l’inizio delle prossime attività di vendita natalizie.

A partire dal 1° gennaio 2021, Worldline non gestirà più il processing di transazioni non-conformi alla PSD2.

No, sono esclusi i seguenti pagamenti: Non sono soggette al regolamento RTS-SCA le transazioni per vendite a distanza MOTO (Mail Order Telephone Order), i pagamenti avviati dall’esercente in assenza del cliente e le transazioni tra titolari di carta o tra esercenti al di fuori dello Spazio Economico Europeo.

L’obiettivo dell’autenticazione forte del cliente attraverso 3-D Secure 2 è quello di ridurre le frodi legate ai pagamenti eseguiti in remoto e, al tempo stesso, migliorare fortemente la fruibilità per i titolari di carta, in particolare fornendo all’emittente (banca o titolare della carta) maggiori informazioni riguardo al contesto della transazione di modo che egli possa decidere se procedere o no all’autenticazione forte del titolare della carta.

1. Se state già usando 3-D Secure 1.0 per tutte le vostre transazioni, il passaggio a 3-D Secure 2 consentirà di completare alcune transazioni in maniera fluida (“frictionless”, cioè senza ulteriori interazioni da parte del cliente). Ciò andrà a incrementare il vostro tasso di conversione tenendovi altresì al sicuro dalle frodi.
2. Se non state usando 3-D Secure 1.0 (solo transazioni “SSL”) o lo usate solo parzialmente (3-D Secure dinamico), l’adozione di 3-D Secure 1.0 o 3-D Secure 2 è comunque obbligatoria per soddisfare i requisiti SCA. Senza di essa, molte transazioni non protette da 3-D Secure saranno rifiutate dagli emittenti. 3-D Secure 2 vi procurerà un migliore tasso di conversione rispetto a 3-D Secure 1.0.
   

I principali elementi aggiuntivi di 3-D Secure 2 sono:

• Un’esperienza d’acquisto più semplice e integrata per i clienti, in particolare con le applicazioni mobili.
• Nuovi metodi di autenticazione del titolare della carta.
• Gestione delle deroghe e delle procedure “frictionless”.

Per Frictionless Flow si intende un'operazione di pagamento senza richiesta di ulteriore autenticazione.
In base al contesto e alle informazioni fornite nella richiesta di pagamento, l’emittente della carta effettua un’analisi del rischio e può decidere di non autenticare la transazione. Se l’iniziativa di adottare il metodo “frictionless” è presa dall’emittente, l’esercente trarrà vantaggio dal trasferimento della responsabilità. Se, al contrario, è l’esercente a effettuare una propria analisi del rischio e a richiedere all’emittente la procedura “frictionless”, non si avvarrà del trasferimento della responsabilità.

Lo standard RTS stabilisce 2 tipi di deroga per pagamenti al banco:

• Transazioni contactless di valore limitato

La deroga per transazione contactless può essere richiesta

➔ Se il valore della transazione non supera EUR 50.
➔ Se dall’ultima transazione con autenticazione forte da parte del titolare della carta l’ammontare massimo delle transazioni contactless, indipendentemente dall’esercente, o il numero di transazioni contactless non ha superato un massimo (criteri di velocità) stabilito dalla RTS-SCA (massimo di EUR 150 o 5 transazioni, a discrezione dell’emittente il quale ha la facoltà di abbassare questi limiti).

• Transazioni su terminali incustoditi per parcheggi o trasporti

• Transazioni ricorrenti

La deroga all’autenticazione forte del cliente si applica a una serie di transazioni in remoto dello stesso valore e in favore dello stesso beneficiario. L’autenticazione forte del cliente è tuttavia richiesta per la prima di tali transazioni (contratto) o per ogni modifica delle condizioni della serie.

• Transazioni di valore limitato

Può essere richiesta la deroga dall’autenticazione forte del cliente per pagamenti in remoto di valore limitato:

➔ Se il valore della transazione non supera EUR 30.
➔ Se dall’ultima transazione con autenticazione forte del titolare della carta l’ammontare massimo delle transazioni in remoto di valore limitato, indipendentemente dall’esercente, o il numero di transazioni in remoto di valore limitato non ha superato un tetto massimo (criteri di velocità) stabilito dalla RTS-SCA (massimo di EUR 100 o 5 transazioni, a discrezione dell’emittente il quale ha facoltà di abbassare questi limiti).

• Analisi del rischio transazionale

La deroga all’autenticazione forte del cliente per una transazione in remoto definita “analisi del rischio” può essere richiesta dall’acquirer (per conto dell’esercente) e dall’emittente se sono soddisfatte le due condizioni seguenti:

➔ La transazione è considerata sicura (ad esempio, la postazione di lavoro dell’utente non è infettata da malware, non vi sono anomalie negli esborsi o nell’ubicazione del soggetto pagante, nella cronologia delle sue transazioni ecc.).
➔ Il tasso di frode (per quanto riguarda le transazioni in remoto) del soggetto pagante (per acquirer bancario ed emittente bancario, ma non per l’esercente o il suo PSP) si attesta al di sotto di un tetto prestabilito:

➩ 0,13% se l’importo della transazione è inferiore a EUR 100.
➩ 0,06% se l’importo della transazione è inferiore a EUR 250.
➩ 0,01% se l’importo della transazione è inferiore a EUR 500.
➩ La deroga non si applica alle transazioni superiori a EUR 500.

Le deroghe non sono una routine; anche se le condizioni per ottenerle vengono soddisfatte, la decisione finale compete all’emittente (la banca del titolare della carta) che ha la facoltà di concederle o negarle. L’emittente invierà un rifiuto del pagamento, a seguito del quale avrà luogo una nuova presentazione del pagamento con richiesta di autenticazione forte da parte del titolare della carta.

L’attuazione dello standard 3-D Secure 2, che richiede modifiche lungo tutta la catena dei pagamenti elettronici, avrà luogo gradualmente a seconda delle varie parti interessate coinvolte nei pagamenti (modulo di pagamento, banche d’affari, reti, banche emittenti). Vi consigliamo di contattare il prima possibile il gateway del vostro provider PSP per sapere se è già in grado di supportare l’attuazione dello standard 3-D Secure 2.

La fine di 3-D Secure 1.0 è prevista per dicembre 2020 per Visa e Mastercard.

In qualità di acquirer, Worldline non bloccherà i pagamenti successivi di transazioni la cui prima transazione è avvenuta prima del 31 dicembre e continuerà ad accettare i successivi pagamenti ricorrenti. Per i successivi pagamenti effettuati dopo il 31 dicembre, Worldline consiglia di usare la SCA nella prima transazione e di impiegarla come riferimento per i pagamenti successivi al fine di ottenere la stessa percentuale di approvazione.

Il regolatore nazionale controlla gli acquirer locali e le attività degli emittenti. La cosa più importante per l’esercente è però l’ubicazione dell’acquirer, poiché essa stabilisce se ha potuto essere effettuata una fase della transazione. Inoltre, gli esercenti con attività all’estero devono tenersi al corrente delle normative dei Paesi in cui esercitano la propria attività. Alcuni emittenti europei saranno obbligati ad adottare la SCA entro il 14 settembre. Ciò significa che tali emittenti dovranno probabilmente rifiutare transazioni con carta effettuate senza 3-D Secure.