Adyen 3D Secure: come funziona l’autenticazione 3DS2
3D Secure è il livello di autenticazione che si interpone tra un pagamento con carta e la sua approvazione. Adyen 3DS è una delle implementazioni più diffuse di questo standard, integrata nella piattaforma di pagamento di Adyen e utilizzata per gestire miliardi di transazioni ogni anno in Europa, Nord America e Asia.
Il modo in cui Adyen gestisce il 3D Secure è fondamentale per qualsiasi sviluppatore che integri i pagamenti con carta e per qualsiasi commerciante che cerchi di bilanciare la prevenzione delle frodi con la conversione al checkout. I due aspetti sono in diretta contrapposizione: una maggiore autenticazione significa meno frodi, ma anche più attrito, e l'attrito si traduce in vendite. I dati regionali a riguardo, in particolare quelli provenienti da Stati Uniti e Brasile, sono più allarmanti di quanto la maggior parte dei commercianti si aspetti.
Che cos'è Adyen 3D Secure?
Quando qualcuno effettua un pagamento online con una carta Visa, Visa può richiedere all'acquirente di dimostrare la propria identità. Il meccanismo utilizzato a tale scopo è il 3D Secure, un protocollo di autenticazione sviluppato dai circuiti di pagamento (Visa lo chiama Verified by Visa, Mastercard SecureCode) specificamente per le transazioni senza presenza fisica della carta. Adyen 3DS è il modo in cui Adyen implementa questo protocollo sulla propria piattaforma di pagamento.
Esistono due versioni. La prima generazione, 3DS1, reindirizzava l'acquirente alla pagina di autenticazione dell'emittente della carta, interrompendo completamente il flusso di pagamento. Il tasso di conversione calava. I commercianti la detestavano. La maggior parte ha abbandonato 3DS1 ovunque possibile.
3D Secure 2 lo ha sostituito con un approccio più intelligente. Invece di reindirizzare, raccoglie silenziosamente in background i dati del dispositivo e del browser (risoluzione dello schermo, fuso orario, indirizzo IP, cronologia della sessione) e li invia tutti alla banca emittente. Il motore di valutazione del rischio della banca riceve oltre 150 punti dati da analizzare. Con una tale quantità di informazioni, spesso può semplicemente approvare la transazione in modo silenzioso, senza che l'acquirente si accorga minimamente che 3D Secure è stato eseguito.
I commercianti dell'UE e dello Spazio economico europeo non hanno molta scelta in questo caso. Le norme sulla forte autenticazione del cliente (Strong Customer Authentication, 3D Secure 2) della PSD2 hanno reso obbligatorio il 3D Secure 2 per i pagamenti con carta superiori a 30 euro. Qualsiasi metodo di pagamento che preveda una transazione con carta rientra nell'ambito di applicazione. Al di fuori dell'UE, il 3D Secure 2 è fortemente raccomandato per la protezione dalla responsabilità in caso di frode che offre, ma non è legalmente obbligatorio.
Come funziona l'autenticazione Adyen 3DS2
Il flusso 3DS2 si articola in tre fasi: raccolta dati, autenticazione e autorizzazione. Se tutto procede senza intoppi, si completa in pochi secondi.
- L'acquirente avvia il pagamento : inserisce i dati della carta nella pagina di pagamento del commerciante.
- Adyen raccoglie dati del dispositivo : un piccolo componente JavaScript (l'impronta digitale 3DS2) viene eseguito in background, raccogliendo segnali dal browser e dal dispositivo: risoluzione dello schermo, fuso orario, lingua, tipo di dispositivo, indirizzo IP
- Adyen invia una richiesta di autenticazione : l'impronta digitale del dispositivo e i dati della transazione vengono impacchettati e inviati all'emittente della carta tramite il circuito di pagamento.
- L'emittente valuta la richiesta : il motore di valutazione del rischio dell'emittente analizza gli oltre 150 punti dati confrontandoli con la cronologia dei comportamenti del titolare della carta e con i segnali di frode.
- L'emittente decide: autenticazione senza attriti o con verifica — se il rischio è basso, l'emittente autentica silenziosamente (autenticazione senza attriti); se sono presenti segnali di rischio, l'emittente richiede una verifica
- Il flusso di verifica si avvia se attivato : l'acquirente completa un'ulteriore verifica: password monouso, dati biometrici o conferma tramite app bancaria.
- Risultato dell'autenticazione ricevuto : Adyen riceve il risultato dell'autenticazione (autenticato, non autenticato o tentativo riuscito).
- Adyen invia l'autorizzazione : con il risultato dell'autenticazione allegato, il pagamento passa alla fase di autorizzazione tramite il circuito delle carte.
- Si applica il trasferimento di responsabilità : se l'autenticazione è andata a buon fine, la responsabilità per gli storni di addebito relativi a frodi si trasferisce dal commerciante alla banca emittente.
La differenza fondamentale tra 3DS1 e 3D Secure 2 risiede nel passaggio 2. In 3DS1, l'emittente disponeva di pochissimi dati, pertanto le contestazioni erano frequenti. In 3D Secure 2, l'impronta digitale del dispositivo, più completa, consente agli emittenti di approvare silenziosamente un numero di transazioni di gran lunga superiore, indipendentemente dal metodo di pagamento utilizzato dall'acquirente, purché si tratti di una carta.
Flusso senza attrito vs. flusso di sfida in Adyen
L'esito della transazione senza attriti e quello della verifica sono determinati dall'emittente, non da Adyen o dal commerciante. Detto questo, la qualità della raccolta dati di Adyen influisce direttamente sulla frequenza con cui gli emittenti possono optare per la transazione senza attriti: dati di fingerprinting del dispositivo più accurati significano che un minor numero di emittenti deve ricorrere alla verifica.
| Fattore | Flusso senza attrito | Flusso della sfida |
|---|---|---|
| esperienza del cliente | Invisibile: nessun passaggio aggiuntivo | Richiede OTP, dati biometrici o conferma tramite app. |
| Impatto della conversione | Minimo — come non avere un 3DS | Calo significativo (varia a seconda del mercato) |
| Chi decide | Motore di valutazione del rischio della banca emittente | Motore di valutazione del rischio della banca emittente |
| Grilletto | Segnali di rischio bassi, dati sufficienti | Segnali di rischio elevati o dati incompleti |
| Trasferimento di responsabilità | Sì, l'emittente si assume il rischio di frode. | Sì, l'emittente si assume il rischio di frode. |
| Quota tipica | Dal 40% al 93% delle transazioni (a seconda del mercato) | 7%–60% (a seconda del mercato) |
In Giappone si nota il vantaggio di un'implementazione senza intoppi: circa il 60% delle transazioni 3DS si conclude senza problemi e il tasso di conversione complessivo si mantiene al 93%. In Brasile la situazione è opposta: i diffusi flussi di contestazione hanno causato un calo del 55% del tasso di conversione. Negli Stati Uniti, l'impatto medio dei flussi di contestazione sul tasso di conversione è del 43%, secondo una ricerca di Stripe sui modelli di adozione del 3DS.
La protezione dalle frodi è costante indipendentemente dal flusso che viene completato. Sia l'autenticazione senza attrito che l'autenticazione a richiesta attivano il trasferimento di responsabilità. Un chargeback per frode dopo un'autenticazione 3DS andata a buon fine è un problema finanziario dell'emittente, non del commerciante.
Regole di sicurezza 3D dinamiche di Adyen
La maggior parte delle implementazioni di 3DS applica l'autenticazione in modo universale: a ogni transazione, sempre. Il motore di regole Dynamic 3D Secure di Adyen consente ai commercianti di essere più precisi nell'applicazione dell'autenticazione.
Dynamic 3DS consente ai commercianti di configurare un instradamento basato su regole che applica 3DS in modo selettivo, in base a segnali di rischio, esenzioni e caratteristiche della transazione. L'obiettivo è massimizzare l'autenticazione per le transazioni a rischio, utilizzando al contempo le esenzioni per ridurre gli attriti su quelle a basso rischio.
Principali tipologie di regole disponibili nella configurazione Dynamic 3DS di Adyen:
- Regole di esenzione : instradare le transazioni a basso rischio attraverso le esenzioni SCA (analisi del rischio della transazione, esenzioni per importi inferiori a 30 €, elenchi di commercianti affidabili) per evitare completamente il 3DS laddove legalmente consentito.
- Gestione del rifiuto soft : reindirizza automaticamente le transazioni che gli emittenti rifiutano senza 3DS, attivando l'autenticazione 3DS al secondo tentativo.
- Regole di velocità : applica 3DS in base alla frequenza delle transazioni effettuate da una determinata carta o dispositivo entro un intervallo di tempo
- Soglie di importo : attivano 3DS al di sopra di un valore di transazione specificato, escludendo gli acquisti di importo inferiore.
- Regole basate sul paese : applicano una logica di autenticazione diversa a seconda del paese dell'acquirente, tenendo conto dei requisiti regionali di autenticazione forte del cliente (SCA) e del comportamento dell'emittente.
- Regole relative al tipo di carta : instradare le carte aziendali o premium tramite 3DS, consentendo al contempo l'utilizzo delle carte di debito standard dei consumatori attraverso flussi di esenzione.
I commercianti che configurano Dynamic 3DS in modo intelligente possono ridurre significativamente l'esposizione al flusso di autenticazione rispetto a un'applicazione 3DS universale, mantenendo al contempo una protezione completa contro le frodi nei segmenti ad alto rischio.
Metodi di integrazione Adyen 3DS
Il modo in cui i commercianti integrano 3DS tramite Adyen dipende dal metodo di integrazione dei pagamenti che utilizzano. Adyen supporta tre approcci principali:
- Sessioni (consigliato) — L'integrazione predefinita di Adyen gestisce 3DS in modo nativo senza necessità di configurazioni aggiuntive. Il flusso Sessioni raccoglie automaticamente le impronte digitali del dispositivo e gestisce in modo trasparente il routing senza intoppi/con verifica. Il percorso più semplice per la maggior parte dei commercianti.
- Drop-in : il componente UI ospitato da Adyen si integra nella pagina di checkout del commerciante e gestisce i flussi 3DS, inclusi i popup di verifica e la gestione dei risultati. Richiede meno configurazione rispetto a un'integrazione API completa e offre maggiori possibilità di personalizzazione rispetto alle Sessioni.
- Integrazione API : controllo completo sul flusso 3DS. Il codice del commerciante gestisce la raccolta delle impronte digitali, le richieste di autenticazione, l'analisi dei risultati e l'invio dell'autorizzazione. Necessario per checkout altamente personalizzati o app mobili native che necessitano di 3DS2 nativo all'interno dell'interfaccia dell'app.
Per la maggior parte dei commercianti online, Sessioni o Drop-in offrono il miglior equilibrio tra sforzo di integrazione e conformità 3DS. L'integrazione tramite API native è in genere utilizzata dai commercianti aziendali con team dedicati di ingegneri specializzati nei pagamenti.
Un dettaglio specifico di Adyen: l'integrazione nativa con 3DS2 nelle app per dispositivi mobili richiede gli SDK iOS e Android di Adyen, che includono i componenti per il riconoscimento delle impronte digitali e l'interfaccia utente per la verifica dell'identità. Le integrazioni web tramite Sessioni o Drop-in gestiscono questo aspetto automaticamente.
Impatto della conversione 3D Secure: dati regionali
Il titolo "3DS danneggia le conversioni" è parzialmente vero, ma l'impatto effettivo dipende quasi interamente da fattori specifici del mercato: quanto i clienti hanno familiarità con i flussi di autenticazione bancaria e quanto è fluida l'esperienza utente del mobile banking.
| Mercato | Tasso di spesa | Impatto della conversione | Note |
|---|---|---|---|
| Giappone | ~40% di sfida | Caduta minima | L'autenticazione tramite app bancaria è familiare; elevata fluidità di utilizzo. |
| Regno Unito | ~25% di sfida | Basso-moderato | L'app bancaria (biometrica) è standard, offre un'esperienza veloce |
| Francia | ~50% di sfida | Moderare | I tassi di sfida sono raddoppiati, ma gli utenti hanno familiarità con l'OTP |
| NOI | ~45% di sfida | -43% sulle transazioni contestate | Il 3DS è ancora una novità; gli utenti non hanno familiarità con il flusso OTP bancario |
| Brasile | ~60% di sfida in più | -55% | Elevati tassi di sfida; flussi di autenticazione bancaria incoerenti |
| media globale | — | Mercato da 1,72 miliardi di dollari (2026) | Si prevede che raggiungerà i 4,66 miliardi di dollari entro il 2034. |
I dati sulla riduzione delle frodi sono più chiari: l'autenticazione 3DS riduce le contestazioni per frode fino all'80% e, secondo le stime europee, previene perdite annuali per frode pari a circa 900 milioni di euro. Si tratta di risparmi per gli esercenti. I chargeback, invece, sono costosi oltre al valore della transazione: comportano costi operativi aggiuntivi, penalità dovute alla valutazione del rischio e, in alcuni casi, rischi per il rapporto con i processori di pagamento.
Il paradosso della conversione si risolve separando due fattori: l'applicazione del sistema 3DS e la fluidità del processo di verifica. I mercati con buone app di mobile banking e clienti esperti gestiscono bene le difficoltà legate alla verifica. Nei mercati in cui i clienti utilizzano codici OTP via SMS o le app bancarie sono incoerenti, si registra una perdita significativa di transazioni.
3DS e pagamenti in criptovalute
Il 3D Secure si applica esclusivamente ai pagamenti con carta. Le transazioni in criptovaluta non transitano attraverso i circuiti delle carte di credito, pertanto non è necessario attivare alcun flusso 3D Secure.
Questo vale in entrambi i sensi. I gateway di pagamento in criptovalute non possono fare affidamento sul trasferimento di responsabilità 3DS: non esiste una banca emittente a cui trasferire il rischio di frode. La sicurezza dipende da altri meccanismi: monitoraggio delle transazioni, verifica dei portafogli, valutazione del rischio in tempo reale a livello del gateway.
L'altro lato della medaglia: niente complicazioni legate al 3DS. Nessun fingerprinting del dispositivo in background, nessuna verifica da parte dell'emittente, nessun codice OTP da attendere. Il pagamento è semplice come scansionare l'indirizzo del portafoglio o confermare tramite l'app del portafoglio. Per i commercianti che hanno visto i sistemi di verifica danneggiare le conversioni negli Stati Uniti o in Brasile, questa semplicità vale davvero dei soldi.
Per i commercianti che desiderano offrire le criptovalute come opzione di pagamento insieme alle carte tradizionali, Plisio fornisce un gateway di pagamento in criptovalute che gestisce l'accettazione di criptovalute senza aggiungere la complessità della conformità 3DS alla piattaforma del commerciante.
