Guide e report

Strong Customer Authentication: cos'è e come si relaziona alla PSD2

Scopri come viene inquadrata la Strong Customer Authentication (SCA) nella PSD2 e come preparare la tua azienda.

28 agosto, 2018
 ·  6 minuti
PSD2: comprendere la Strong Customer Authentication

Ultima modifica: Maggio 2020

Finora, in questa serie di articoli abbiamo esaminato i principali cambiamenti che la tua azienda può aspettarsi dalla seconda direttiva sui servizi di pagamento (PSD2)il suo impatto sui marketplace business models. In questo articolo, però, parleremo della necessità per le aziende di mettere a disposizione la Strong Customer Authentication (SCA) per i pagamenti e-commerce.​

Che cos'è la SCA, come prepararsi e quali sono i relativi casi di esenzione? Di seguito scoprirai come viene inquadrata la Strong Customer Authentication (SCA) nella PSD2 e come preparare la tua azienda.

Che cos'è la SCA (Strong Customer Authentication)?

La SCA è un nuovo requisito europeo creato per rendere più sicuri i pagamenti online. Quando un cliente europeo effettua un pagamento, al momento della transazione saranno richiesti livelli di autenticazione aggiuntivi.​

In passato, i clienti potevano semplicemente inserire il loro numero di carta e un codice di verifica CVC, ma con i regolamenti PSD2, all'atto del pagamento saranno richieste ulteriori informazioni. Tuttavia, sussistono alcune eccezioni, che tratteremo più avanti.

Attualmente, gli schemi delle carte utilizzano uno strumento di autenticazione chiamato 3D Secure 1.0 per verificare le transazioni in ambito e-commerce. È probabile che ti sia capitato di effettuare un pagamento online e che ti abbiano reindirizzato ad una nuova pagina per inserire un codice. In questo consiste il 3D Secure 1.0, il cui compito è assicurarsi che tu sia chi dici di essere. Ma ora ne è stata introdotta una nuova versione, il 3DSecure 2, ​, che semplificherà la raccolta di informazioni per la SCA al momento della transazione.

Come viene inquadrata la SCA nella PSD2

La SCA è molto più di una semplice password. L'autenticazione si basa su qualcosa che sai, che hai o che ti contraddistingue. Diamo un'occhiata a cosa significa:

Ora, per verificare l'identità degli utenti verranno utilizzati più punti dati dinamici. Così, invece di fare affidamento su “qualcosa che sanno” (la solita password sfuggente), i clienti possono combinare “qualcosa che hanno”, come il loro smartwatch, con “qualcosa che li contraddistingue” , come un'impronta digitale. Spesso questo approccio viene denominato “autenticazione a due fattori”.

Esempio:

Prima del 3DS 1.0 e dei requisiti della PSD2, le banche emittenti generalmente avevano solo la possibilità di verificare l'identità degli utenti tramite un'unica password statica che andava tenuta a mente. Ma alcune password è facile dimenticarle. Con la SCA e il 3DS 2.0, per verificare l'identità degli utenti verranno utilizzati data point più dinamici. Vengono richiesti sempre più data point di autenticazione, ma una più ampia scelta a disposizione dei clienti può significare esperienze di autenticazione migliori e meno abbandoni.

Casi di esenzione dalla SCA

L'intento della PSD2 è di rendere la SCA un requisito per tutte le transazioni online. Vi sono tuttavia alcune eccezioni a questa regola e, per ogni transazione, l'acquirente può chiedere di ricorrere al caso di esenzione più appropriato.

I casi di esenzione offriranno ai consumatori esperienze di acquisto semplici con livelli di sicurezza aggiuntivi per i pagamenti più consistenti e meno frequenti.

Ecco i casi di esenzione più rilevanti:

Transazioni a basso valore e basso rischio

Le transazioni inferiori a 30 euro saranno esenti dalla SCA. Tuttavia, la banca emittente terrà traccia dell'importo dei pagamenti effettuati. Se il tentativo di pagamento tramite carta senza strong authentication è superiore a 100 euro o se vengono effettuate 5 transazioni consecutive, l'applicazione della SCA diventa automaticamente obbligatoria.

Anche le transazioni a basso rischio sono soggette a esenzione. Un pagamento può essere considerato o meno a rischio a seconda dei livelli di frode medi fatti registrare dall'emittente della carta e dall'acquirente che elabora la transazione.

Abbonamento o transazioni ricorrenti

Gli bbonamenti o le transazioni ricorrentiad importo fisso saranno esenti a partire dalla seconda transazione. Solo la transazione iniziale richiederà la SCA. Se l'importo viene modificato, l'autenticazione3D Securesarà obbligatoria.

Questo scenario rappresenta una sfida per le attività incentrate su addebiti ad “importi variabili”, dove i valori cambiano col passare del tempo. Ad esempio, alcuni prodotti hanno un costo variabile in base all'utilizzo che se ne fa in un determinato periodo. Per fortuna, questi tipi di transazione sono considerati MIT (“merchant initiated transactions” o “transazioni avviate dal commerciante”) e sono esenti dai requisiti della PSD2 e della SCA.

Per la maggior parte dei pagamenti in abbonamento non sarà necessaria la SCA visto che questi pagamenti vengono perlopiù avviati dal commerciante e non dal titolare della carta e che i pagamenti ricorrenti con lo stesso importo sono esenti.

Commercianti autorizzati

I clienti possono inserire le aziende in un elenco di “Beneficiari fidati” autorizzati gestito dalla banca. I commercianti autorizzati saranno esenti dall'autenticazione 3D Secure. Ciò consente ai clienti che fanno acquisti regolari da una determinata azienda di non dover mai ricorrere alla SCA da quel momento in avanti.

Transazioni MOTO

Gli ordini telefonici o postali (Mail Order and Telephone Orders o MOTO) saranno esenti dalla SCA in tutti i casi. Le transazioni MOTO non sono considerate pagamenti “elettronici”, quindi non rientrano nell'ambito di applicazione del regolamento.

Transazioni interregionali

Anche i pagamenti dove l'​issuer o l'​acquirerdella carta non ha sede in Europa sono considerati esenti. Ciò implica che, dopo la modifica del regolamento, accettare pagamenti in Europa da clienti non europei non sarà un problema.​

Transazioni B2B

I pagamenti effettuati tra due società sono esenti dalla SCA quando ilmetodo di pagamentoutilizzato è uno strumento di pagamento dedicato ai pagamenti B2B.

L'elenco dei casi di esenzione e degli scenari non considerati è lungo e dipende in grande misura dall'interpretazione che viene data a livello bancario, normativo e di schema.

La buona notizia per i nostri clienti è che il nostro servizio Dynamic 3D Secure aiuterà le aziende a navigare in questo mare di difficoltà e ad approfittare automaticamente dei casi di esenzione, quando possibile.

Significa che i tuoi clienti dovranno autenticare le transazioni solo quando sarà assolutamente necessario.

Date da ricordare

Prepararsi alla PSD2 con l'autenticazione 3D Secure 2.0

L'autenticazione 3D Secure 1.0 non fornisce la migliore esperienza possibile per il cliente, soprattutto su dispositivi mobili. Quindi, nonostante costituisca un livello di sicurezza aggiuntivo, potrebbe costarti cara in termini di conversioni.

Per far fronte ai nuovi requisiti della PSD2 e migliorare l'autenticazione 3DS 1.0, EMVco, un'organizzazione composta da rappresentanti dei principali schemi di carte e leader del settore dei pagamenti, ha creato il protocollo 3D Secure 2.0. Il nuovo obiettivo è rendere l'autenticazione più dinamica e sicura.

3DS 2.0 rimuove la scomodità del reindirizzamento e permette ai clienti di autenticarsi in autonomia con un tocco del dito o addirittura con un sorriso. 3DS 2.0 utilizza SDK e API certificati per condividere dati di autenticazione approfonditi con le banche e rendere trasparente l'integrazione dei flussi di autenticazione su siti web e app, il tutto nel rispetto dei requisiti della SCA stabiliti dalla PSD2.

Mentre la SCA metterà senza dubbio le aziende di fronte a diverse sfide, la nostra nuova soluzione per il 3DSecure 2 attutirà il colpo. Speriamo che apprendendo come viene inquadrata la SCA nella PSD2 e quali sono i casi di esenzione disponibili, sarai in grado di affrontare i cambiamenti normativi in modo fiducioso e con la consapevolezza che noi ti copriremo le spalle.​

Se hai altre domande,contattaci.




Iscriviti alla nostra newsletter!

Compila il form e rimani aggiornato

Confermo di aver letto l'informativa sulla privacy di Adyen e acconsento all'utilizzo dei miei dati in conformità con essa.