3D Secure: VISA e Mastercard saranno più sicure
Viaggi in aereo, prenotazione di alberghi, ma anche vestiti: sono molti i clienti che comprano online con le loro carte di credito. Poiché vengono trasmesse informazioni sensibili, devono essere prese particolari cautele per la sicurezza del consumatore. Nell’ambito della PSD2 l’UE ha reso ancora più stretti i requisiti per i sistemi di pagamento su Internet, e gli istituti delle carte di credito hanno reagito. Con la nuova versione del processo 3D Secure, VISA e Mastercard sono conformi alle norme UE e migliorano la protezione dei clienti.
Che cos’è 3D Secure: codice, password, TAN?
Già nel 2000, l’istituto di carte di credito VISA ha sviluppato una procedura per rendere più sicuro l’uso delle carte di credito su Internet. L’azienda stessa utilizza la tecnologia con il nome “Verified by VISA”. Allo stesso tempo, anche altri fornitori di carte di credito hanno implementato il meccanismo di sicurezza. Ad esempio, 3D Secure si chiama “SecureCode” (ora “Identity Check”) per Mastercard, “SafeKey” per American Express e “J/Secure” per JCB.
In precedenza, il pagamento con carta di credito su Internet era molto semplice: si inserivano i dati della carta di credito negli appositi campi, si confermava il possesso della carta con il Card Validation Code (CVC) che si trova sul retro di ogni carta di credito, e si addebitava sulla carta con un clic del mouse. Chiunque sia in possesso della carta di credito può comunque acquistare prodotti, anche di prezzi elevati, da Internet. Era ovvio che questo metodo non era particolarmente sicuro.
Con la continua espansione del settore e-commerce e il numero crescente di persone che pagano online con le loro carte di credito, aumenta anche l’interesse dei malintenzionati verso le informazioni sulle carte. Soprattutto attraverso il phishing e il social engineering, i malintenzionati ottengono spesso una grande quantità di dati. Per contenere questo fenomeno, è stato sviluppato 3D Secure.
Oltre alle informazioni contenute nella carta (e che ne confermano il possesso), questa procedura richiede l’indicazione di informazioni aggiuntive, come una password che solo il legittimo titolare della carta può conoscere. Si tratta quindi di un’autenticazione a due fattori: infatti sono necessari due diversi tipi di informazioni perché venga addebitato l’importo sulla carta di credito.
Per farlo, il consumatore viene reindirizzato al sito della compagnia della carta di credito e vi inserisce l’ulteriore funzione di sicurezza. Il secondo fattore viene comunicato dall’utente solo alla banca o alla compagnia della carta di credito. Il gestore dello shop online riceve solo la conferma che l’utilizzo della carta è legittimo. Ma anche questo metodo non si è rivelato molto sicuro. Entro il 2016 l’importo delle frodi nell’area SEPA secondo la Banca Centrale Europea è salito a 1,32 miliardi di euro.
La password statiche non sono una buona scelta per la sicurezza: una volta cadute nelle mani di terzi, la protezione viene meno. I metodi dinamici, che variano a ogni processo, sono quindi più adatti. Un esempio sono gli SMS con un codice sicuro generato secondo procedure criptiche, codice valido per un solo pagamento.
Sia i clienti che i rivenditori online non erano per niente soddisfatti della prima versione di 3D Secure. Il sito web per l’inserimento del fattore di sicurezza aggiuntivo non era bello dal punto di vista estetico, l’applicazione e l’utilizzo della password richiesta non erano chiari e il processo non ha potuto essere integrato in modo soddisfacente nelle applicazioni mobili. I clienti rimanevano sempre infastiditi, annullando i processi di ordinazione, rovinando le conversioni e quindi danneggiando i commercianti online.
La seconda versione di 3D Secure, conosciuta anche come 3DS2, risolve questo problema e migliora la sicurezza. Le nuove caratteristiche sono inoltre conformi alle nuove direttive UE sui servizi di pagamento. Inoltre gli istituti di carte di credito stanno reagendo agli sviluppi tecnici con la nuova versione. Oggi i dispositivi moderni (ad esempio gli smartphone) offrono in particolare l’autenticazione tramite dati biometrici: impronta digitale o analisi delle caratteristiche del volto.
3D Secure è stato progettato in modo tale che i commercianti online possano integrare la procedura nel processo di pagamento. Questo si traduce in un’esperienza di acquisto più piacevole per il cliente. Inoltre, dovrebbe essere un sistema intelligente. Il metodo di autenticazione si adatta quindi al rischio. Ciò significa che a minori importi si applicano requisiti di sicurezza minori rispetto a quelli per grandi importi. Inoltre, 3DS2 può essere utilizzato anche per i pagamenti mobili e funziona con le app delle banche.
Vantaggi e svantaggi di 3D Secure
Sia per i commercianti che per i consumatori, il processo 3D Secure porta con sé vantaggi e svantaggi.
| Vantaggi | Svantaggi |
|---|---|
| ✓ Maggiore sicurezza per i clienti | ✗ Più complicato per i clienti |
| ✓ Gli istituti di emissione della carta di credito si fanno carico dei costi in caso di truffa malgrado l’applicazione di 3D Secure | ✗ I commercianti perdono conversioni |
| ✓ Il procedimento è gratuito sia per i consumatori che per i commercianti | ✗ Non si può mai garantire una sicurezza al 100% |
Cosa devono fare i clienti?
Per i consumatori, il processo 3D Secure dovrebbe offrire una migliore esperienza di pagamento. Piuttosto che provare il processo obsoleto o abbandonare del tutto il controllo di sicurezza, gli utenti possono ora beneficiare di un processo sicuro e moderno. I clienti devono effettuare i seguenti passaggi:
- Registrarsi: per poter utilizzare 3D Secure, bisogna registrarsi alla propria banca. Responsabile è la banca che ha emesso la carta di credito.
- Procedere all’installazione: si può presupporre che le banche in futuro utilizzeranno app per inviare il Secure Code 3D o richiedere dati biometrici.
- Avere il necessario a disposizione: per il pagamento bisogna avere a portata di mano sia la carta di credito che lo smartphone.
Anche con 3D Secure gli utenti devono fare attenzione su Internet quando pagano con la carta di credito. I dati sensibili si devono inserire soltanto se si è sicuri di trovarsi sul sito web corretto. Un certificato SSL valido è un segno che il sito web è affidabile.
Implicazioni per il commercio online
La Payment Services Directive 2 dell’Unione Europea stabilisce che dal 14 settembre 2019 i pagamenti online debbano soddisfare speciali standard di sicurezza. 3D Secure soddisfa i nuovi requisiti. Per poter utilizzare la nuova procedura, i commercianti online devono contattare il proprio Payment Service Provider (PSP). Il PSP dovrebbe offrire una soluzione tecnica che i commercianti devono solo implementare nel loro negozio online.
- Contattare il PSP: innanzitutto i commercianti online devono contattare i propri fornitori di servizi di pagamento. Molti fornitori hanno già pubblicato informazioni commerciali sui loro siti web.
- Implementare 3DS2: poiché il nuovo processo 3D Secure non avviene più su un altro sito web, ma direttamente su quello del negozio, la tecnologia deve essere integrata nel negozio online.
In termini di PSD2 e di Strong Customer Authentication (SCA) in esso ancorati, non tutti i pagamenti devono essere verificati riguardo agli elevati standard offerti da 3D Secure. Ad esempio, i pagamenti inferiori a 30 euro non richiedono un elevato livello di sicurezza. Ma attenzione: queste e altre valutazioni del rischio non sono a discrezione dell’esercente, ma sono effettuate dalla banca.
Anche al di là dei requisiti legali, per i rivenditori vale la pena offrire 3D Secure nei loro negozi web, perché il nuovo sistema è molto più semplice da usare, si svolge interamente sul sito web del rivenditore e aumenta la fiducia dei consumatori nel commercio elettronico. Ciò a sua volta porta a maggiori conversioni e quindi a maggiori vendite.