A partire da settembre 2019, esistono nuovi requisiti per l’autenticazione dei pagamenti online nell’Unione europea (UE) e negli altri stati dello Spazio economico europeo (SEE). Questi fanno parte della seconda direttiva sui servizi di pagamento, conosciuta anche ufficialmente come PSD2 (Payment Services Directive 2).
Una componente fondamentale della seconda, importante direttiva UE per le transazioni di pagamento è l’autenticazione forte del cliente, in inglese Strong Customer Authentication, o SCA in breve (spesso chiamata anche PSD2 SCA). Questo articolo esamina più da vicino i requisiti di questa “autenticazione forte del cliente”, che comprende tutta una serie di requisiti legali con lo scopo di rendere più sicuri i pagamenti su Internet.
Cos’è quindi la SCA e cosa comporta? Quali pagamenti sono interessati dal regolamento? Quali sono le esenzioni e come si può ottimizzare il processo di pagamento? Affronteremo queste domande nei paragrafi seguenti.
Cos’è quindi la SCA e cosa comporta? In poche parole, la Strong Customer Authentication fa parte di una nuova direttiva UE che mira a rendere i pagamenti online più sicuri riducendo al minimo le possibilità di frode. La sua innovazione chiave è un passo aggiuntivo di autenticazione che precede il pagamento effettivo.
Secondo la direttiva PSD2, i pagamenti online possono essere autenticati solo dopo l’avvenuto completamento di due dei seguenti tre passaggi:
L’Autorità bancaria europea (EBA) ha pubblicato una lista dettagliata di tutti gli elementi conformi alle tre fasi di autenticazione in questo documento .docx.
La Strong Customer Authentication non è quindi altro che una cosiddetta autenticazione a due fattori che assicura doppiamente che l’utente sia davvero chi dice di essere.
Il principio è da tempo imprescindibile in molti settori online, ma finora questo livello di sicurezza aggiuntivo non è stato vincolante per le transazioni online, che solitamente permettevano ai clienti di portare a termine un processo di acquisto semplicemente inserendo i loro dati di pagamento. Anche se alcune aziende hanno già da tempo introdotto un’autenticazione aggiuntiva, questo passaggio è stato reso obbligatorio per tutti solo con la direttiva PSD2 SCA.
La seconda direttiva UE sui pagamenti è stata introdotta il 14 settembre 2019 e la scadenza per la piena attuazione di tutti i requisiti è stata fissata genericamente al 2021. Ma la storia della SCA risale ad ancora prima.
La direttiva UE si basa su tre aree chiave della legislazione del 2007. A quel tempo, come ancora oggi, per l’Unione Europea i punti principali da perseguire erano i seguenti:
Questi aspetti sono stati implementati nella prima edizione della direttiva sui servizi di pagamento (PSD). Dalla sua introduzione, tuttavia, le tecnologie nell’ambito delle operazioni di pagamento hanno continuato a fare grandi progressi: il numero di servizi di pagamento online e di fornitori di terze parti (in inglese Third Party Providers, spesso abbreviato in TPP), è cresciuto significativamente. Questo ha da un lato comportato la nascita di nuove modalità di pagamento semplici e veloci per gli acquirenti, dall’altro ha fornito ai venditori un facile accesso alle informazioni sui conti dei clienti.
Questa facilità di accesso ai conti dei consumatori ha però a sua volta portato a un aumento dei rischi per la sicurezza. La reazione a questo problema è arrivata rapidamente, sotto forma di leggi chiare che regolano il modo in cui i TPP e i fornitori di servizi di pagamento possono accedere ai conti dei clienti.
La Strong Customer Authentication è quindi il prossimo passo per ridurre le frodi nelle transazioni online. Come obbligo a livello europeo, la tecnologia deve essere utilizzata per ogni transazione finanziaria. La legge entra in vigore quando il fornitore di servizi di pagamento del venditore o l’istituto bancario dell’ordinante hanno sede nello Spazio economico europeo (SEE). Le transazioni possono quindi essere soggette all’autenticazione forte del cliente anche nel caso in cui l’azienda che opera online abbia sede al di fuori dell’Europa, a condizione, ad esempio, che il pagamento sia effettuato tramite un istituto bancario appartenente allo Spazio economico europeo.
Si tratta quindi di una legge europea che riguarda anche i fornitori situati al di fuori del SEE e per questo motivo i nuovi requisiti per l’autenticazione dei pagamenti online sono così complessi nella loro attuazione. I fornitori di servizi di pagamento hanno infatti già chiesto più volte di posticipare l’implementazione definitiva della SCA e non è nemmeno ancora stata fissata una scadenza concreta e vincolante.
3D Secure è il protocollo di autenticazione più utilizzato per i pagamenti online, supportato dalla maggior parte delle carte di debito e di credito europee. Immediatamente prima che il processo di pagamento sia completato, al titolare della carta viene chiesto di fornire ulteriori elementi a conferma della sua identità, come ad esempio l’inserimento di un codice TAN inviato al proprio smartphone o della propria impronta digitale tramite l’app di online banking.
Grazie all’utilizzo della nuova versione del sistema 3D Secure 2, la Strong Customer Authentication può di fatto essere considerata il metodo migliore per l’autenticazione dei pagamenti online con carta di credito. I miglioramenti della nuova versione riguardano soprattutto l’esperienza dell’utente. Questo sistema consente di effettuare i pagamenti online in modo facile e veloce, nonostante i passaggi aggiuntivi richiesti dal processo di autenticazione.
Coloro che già utilizzano Apple Pay o Google Pay per i propri pagamenti hanno già familiarità con le opzioni di pagamento online con autenticazione integrata. Entrambi i fornitori hanno infatti già implementato passaggi biometrici e protetti da password, pur riuscendo a garantire agli utenti un processo di pagamento fluido e senza intoppi: un ottimo esempio di una corretta implementazione della tecnologia che sta dietro alla Strong Customer Authentication.
La direttiva PSD2 SCA si applica quindi ogni volta che un cliente trasferisce denaro o accede al suo conto all’interno dello Spazio economico europeo. L’autenticazione forte del cliente è quindi obbligatoria ogni volta che:
Come per ogni legge, la direttiva PSD2 prevede potenziali esenzioni dall’implementazione della SCA, come nei pagamenti in abbonamento. In questo caso, l’autenticazione forte deve essere richiesta solo nel momento in cui si dà il consenso alla sottoscrizione dell’abbonamento, ma non più durante il suo corso. Altre potenziali eccezioni riguardano i pagamenti a basso rischio, in cui una forte autenticazione del cliente non è necessaria o si rivelerebbe più fastidiosa che vantaggiosa.
Non tutte le banche sono in grado di integrare facilmente ulteriori passi di autenticazione nei loro processi. Anche in questo caso potrebbero essere previste delle esenzioni, qualora questi fornitori siano comunque in grado di garantire la sicurezza e la minimizzazione dei rischi in modo diverso e verificabile.
Sono previste anche delle soglie minime per gli importi: ad esempio, le transazioni fino a 30 euro sono considerate pagamenti di “basso valore”, che possono in linea di principio essere esenti dalla PSD2 SCA. Tuttavia, per evitare l’accumulo di frodi di piccola entità, sono già previste regole chiare anche per questo tipo di importi:
Le esenzioni si rivelano particolarmente vantaggiose soprattutto per le piccole imprese che operano online. Bisogna comunque tenere presente che è la banca del cliente ad approvare o meno queste eccezioni. Per evitare di perdere clienti, per l’azienda venditrice è comunque consigliabile offrire diverse opzioni di pagamento conformi alla PSD2 SCA.
L’acquisto di beni si sposta sempre più verso il mondo online e anche il settore dei fornitori di servizi ha da tempo scoperto il World Wide Web come canale di vendita. Tuttavia i siti e-commerce si trovano a dover fare i conti con la diffidenza che gli utenti mostrano nei confronti dei pagamenti online. Parlando spesso di furto di dati e di tentativi di frode i media hanno sensibilizzato i...
Fino a pochi anni fa i metodi di pagamento online offerti, erano ancora piuttosto semplici per tutti. Le modalità di pagamento più comuni del commercio elettronico non erano sempre presenti su tutti gli e-commerce, ma oggi altri prestatori di servizi online stanno prendendo piede. Ma quali di questi non dovrebbero assolutamente mancare sul vostro sito?
Google vorrebbe rivoluzionare i pagamenti online e offline. Grazie al nuovo servizio Google Pay, che sostituisce Google Wallet, è possibile consentire pagamenti semplici e veloci da persona a persona, memorizzando allo stesso tempo un gran numero di conti correnti e carte di credito. Con l’app per i dispositivi mobili di Google Pay i contanti potrebbero diventare superflui in futuro con...
Il mobile payment sta avanzando in tutto il mondo, i servizi di mobile payment prendono piede ovunque. Tuttavia, non tutti sono pronti a utilizzare queste tecnologie e una delle ragioni per questo è la mancanza di conoscenze in merito. Vi offriamo una panoramica sulle applicazioni di mobile payment, le loro funzioni e la loro sicurezza.
Quando si tratta di pagamenti su Internet, i clienti cercano soluzioni veloci ma che rispettino i requisiti sul trattamento dei dati: del resto si tratta di informazioni sensibili. Con la Payment Services Directive 2 (PSD2) l’Unione Europea rilascia una nuova versione della direttiva dei servizi di pagamento che regola i pagamenti online e consente la concorrenza tra diversi fornitori.
Offri ai tuoi clienti servizi professionali e affidabili con l'hosting di IONOS.
Scopri i pacchetti
Dominio omaggio per un anno