SCA e 3DS2 spiegati: l’autenticazione dei pagamenti secondo PSD2
Vendere online ai clienti europei significa, che lo si voglia o no, dover gestire la SCA e il 3D Secure 2. L'autenticazione forte del cliente (SCA) è un requisito legale imprescindibile ai sensi della PSD2, e il 3D Secure 2 è il metodo utilizzato dalla maggior parte dei commercianti per adempierlo. Questa guida illustra cosa significa SCA e 3D Secure 2 nella pratica, quali sono i casi limite e quali sono i costi derivanti da un'implementazione errata.
Cos'è la SCA? Definizione di autenticazione forte del cliente.
L'autenticazione forte del cliente è un requisito di verifica previsto dalla PSD2, la Direttiva 2 sui servizi di pagamento dell'UE. Si applica quando un cliente avvia un pagamento elettronico e sia la banca emittente della sua carta che la banca acquirente del commerciante si trovano nello Spazio economico europeo.
La regola in sé riguarda i fattori. L'autenticazione sicura deve utilizzare almeno due dei tre fattori, e questi devono provenire da categorie diverse:
- Conoscenza : qualcosa che il titolare della carta conosce: una password, un PIN o una domanda di sicurezza.
- Possesso : qualcosa che il titolare della carta possiede: un telefono cellulare, un token hardware o una smart card.
- Inerenza : qualcosa che il titolare della carta è: impronta digitale, riconoscimento facciale, identificazione vocale
I fattori devono essere indipendenti l'uno dall'altro: la compromissione di uno non deve compromettere gli altri. Devono inoltre essere collegati dinamicamente all'importo specifico della transazione e al beneficiario. Una password statica che funziona per ogni acquisto non è sufficiente.
Ambito di applicazione: la SCA (Strong Customer Authentication) si applica agli acquisti online con carta di credito avviati dal cliente. Non si applica alle transazioni avviate dal commerciante (addebiti ricorrenti dopo l'autorizzazione iniziale), agli ordini per corrispondenza o telefonici, né a qualsiasi transazione in cui il commerciante o la banca del titolare della carta si trovino al di fuori dello Spazio economico europeo (SEE). Quest'ultima categoria è definita "one-leg-out" ed è rilevante per i commercianti con una clientela mista a livello globale.
Cos'è 3DS2 e qual è il suo legame con la SCA?
Il nome si scompone in questo modo: 3D sta per tre domini: la banca emittente che ha rilasciato la carta al titolare, la banca acquirente che elabora i pagamenti del commerciante e il circuito di carte che si trova tra di loro. La versione 2 lo distingue dal protocollo originale, lanciato da Visa nel 1999 con il nome di "Verified by Visa". EMVCo, di proprietà congiunta di Visa, Mastercard, Amex e altri circuiti, ha sviluppato e ora gestisce lo standard 3D Secure 2.
Qual è il collegamento con la SCA? La PSD2 richiede che i pagamenti con carta siano autenticati con due fattori. Il 3D Secure 2 è il meccanismo che gli esercenti utilizzano per eseguire effettivamente tale autenticazione per le transazioni senza presenza fisica della carta. Tecnicamente, anche i flussi di open banking e i reindirizzamenti delle app bancarie possono soddisfare i requisiti della SCA, ma nella pratica, il 3D Secure 2 gestisce la stragrande maggioranza dei pagamenti online con carta.
Visa e Mastercard hanno interrotto il supporto per il protocollo 3DS1 per le transazioni europee nell'ottobre 2022. Dopo tale data, l'instradamento dei pagamenti con carta tramite 3DS1 non era solo obsoleto, ma non era più conforme agli standard del circuito. Ciò che un tempo era facoltativo è diventato obbligatorio e l'aggiornamento al 3D Secure 2, raccomandato dai processori di pagamento per anni, è diventato l'unica strada percorribile.
Storia del 3D Secure: da 3DS1 a 3DS2
3DS1 è stato lanciato all'inizio degli anni 2000. Il meccanismo di autenticazione consisteva in una finestra popup di reindirizzamento, solitamente ospitata dalla banca emittente della carta. I titolari di carta visualizzavano una nuova finestra del browser, inserivano una password statica che spesso avevano dimenticato e, a quel punto, potevano procedere o abbandonare la procedura. L'abbandono in questa fase rappresentava un problema concreto per gli esercenti di ogni settore.
| Caratteristica | 3DS1 | 3DS2 |
|---|---|---|
| Interfaccia utente di autenticazione | Reindirizza popup / nuova finestra | iframe incorporato o SDK nativo |
| Dati inviati all'emittente | ~15 punti dati | Oltre 100 punti dati (dispositivo, comportamento, cronologia) |
| Supporto mobile | Scarso — nessun SDK nativo | SDK nativo completo per iOS e Android |
| Flusso senza attrito | Non disponibile | Sì, la maggior parte delle transazioni |
| Metodo di costo | Password statica | OTP, notifica push, biometrico |
| Trasferimento di responsabilità | SÌ | Sì (copertura estesa) |
| Stato dell'UE | Obsoleto da ottobre 2022 | Obbligatorio |
3DS2 è stato progettato per risolvere i problemi causati dalla conversione di 3DS1. Inviando oltre 100 segnali di rischio all'emittente all'inizio del flusso, il protocollo fornisce alle banche dati sufficienti per approvare la maggior parte delle transazioni senza chiedere al cliente di fare nulla. Quando si verifica un problema, si tratta di un codice SMS o di un dato biometrico, non di una password che il titolare della carta ha impostato tre anni fa.
Come funziona l'autenticazione 3DS2: passo dopo passo
Ogni transazione 3DS2 viene instradata attraverso uno dei due percorsi. La banca emittente sceglie quale in base ai dati di rischio che riceve. Nella maggior parte dei casi, i clienti non si accorgono nemmeno che è avvenuta l'autenticazione.
Flusso senza attriti (70-90% delle transazioni):
- Il cliente inserisce i dati della carta al momento del pagamento.
- Il gateway di pagamento del commerciante o il server 3DS raccoglie oltre 100 punti dati: impronta digitale del dispositivo, geolocalizzazione IP, caratteristiche del browser, cronologia delle transazioni, segnali comportamentali
- Questi dati vengono inviati tramite una richiesta di autenticazione (AReq) al server di directory del circuito di carte, quindi inoltrati al server di controllo degli accessi (ACS) della banca emittente.
- L'ACS esegue una valutazione automatizzata del rischio, in genere in meno di un secondo
- Se la transazione viene classificata a basso rischio, l'ACS rilascia un'approvazione senza intoppi e senza che sia richiesta alcuna azione da parte del cliente.
- La transazione si perfeziona con il trasferimento della responsabilità alla banca emittente.
Flusso di contestazione (10-30% delle transazioni):
- Le fasi da 1 a 3 sono identiche: raccolta dati e invio della richiesta AReq.
- L'ACS segnala la transazione come ad alto rischio: nuovo dispositivo, importo insolito, nuovo indirizzo di consegna o tasso di frode elevato per quella categoria di commerciante.
- Al cliente viene richiesto un secondo fattore: codice monouso via SMS, notifica push dall'app della sua banca o dati biometrici.
- Il cliente completa la sfida
- La transazione viene approvata con trasferimento della responsabilità all'emittente.
Ciò che distingue 3DS2 dal suo predecessore è la fluidità del processo. La maggior parte dei clienti completa una transazione autenticata senza dover fare nulla di aggiuntivo. Quando si presenta una richiesta di verifica, il metodo è familiare: la stessa notifica push utilizzata per autorizzare un bonifico bancario.
Esenzioni SCA e quando si applicano
Non tutte le transazioni richiedono l'autenticazione forte del cliente (SCA). La PSD2 definisce delle esenzioni che consentono l'elaborazione dei pagamenti senza autenticazione a due fattori. Richiedere un'esenzione non equivale a ottenerla. È la banca emittente a decidere se accoglierla. Il rifiuto implica un rifiuto temporaneo e il commerciante deve inviare nuovamente la transazione con l'SCA attivata.
| Tipo di esenzione | Condizione | Limite |
|---|---|---|
| transazione di basso valore | Transazione inferiore a €30 | Massimo 5 transazioni consecutive o 100 € cumulativi dall'ultima SCA |
| Analisi del rischio di transazione (TRA) | Tasso di frode dell'acquirente o dell'emittente inferiore alla soglia | €100 con tasso di frode ≤0,13% / €250 con tasso ≤0,06% / €500 con tasso ≤0,01% |
| Transazioni ricorrenti (importo fisso) | Stesso importo, stesso beneficiario dopo l'SCA iniziale | Nessun limite |
| Transazione avviata dal commerciante | Fatturazione dell'abbonamento, rate | L'autenticazione forte del cliente (SCA) è richiesta solo per la prima transazione. |
| Beneficiario di fiducia | Il titolare della carta ha inserito l'esercente nella lista bianca della propria banca. | Specifico per l'esercente, controllato dal titolare della carta |
| Pagamenti aziendali sicuri | Sistemi di pagamento B2B dedicati | Solo sistemi approvati dalle autorità di regolamentazione |
La responsabilità ricade su chi ha richiesto l'esenzione. Se l'acquirente richiede un'esenzione TRA e l'emittente la accetta, l'acquirente (e di conseguenza, l'esercente) è responsabile per frode in caso di problemi. Se l'emittente ha applicato l'esenzione in modo indipendente, la responsabilità ricade su di lui. Gli esercenti che gestiscono un volume significativo di transazioni con esenzione TRA dovrebbero tenere traccia del percorso seguito per ciascuna transazione.
In che modo SCA e 3DS2 influenzano i commercianti
La necessità di implementare correttamente sca 3ds2 va ben oltre la conformità normativa:
- Trasferimento di responsabilità : l'autenticazione 3DS2 completata trasferisce la responsabilità per gli storni di addebito per frode dal commerciante alla banca emittente. In assenza di autenticazione, il commerciante si assume direttamente la responsabilità delle frodi con carta. Nell'UE, le frodi con carte sono 17 volte superiori nelle regioni in cui l'autenticazione forte del cliente (SCA) non è richiesta.
- Tassi di autorizzazione : il 3DS2 spesso migliora i tassi di autorizzazione rispetto ai pagamenti non autenticati. Gli emittenti approvano con maggiore sicurezza quando dispongono di 100 punti dati anziché di un numero di carta e un CVV.
- Conversione al checkout : il flusso di verifica aggiunge un passaggio, ma il 3DS2 senza attrito non aggiunge praticamente alcun attrito. Un 3DS2 ben implementato in genere produce un impatto sulla conversione pari o positivo rispetto al 3DS1.
- Qualità dei dati : la qualità del payload AReq determina la percentuale di transazioni che si concludono senza intoppi. I commercianti che inviano solo i campi obbligatori ottengono tassi di verifica più elevati rispetto a quelli che compilano i campi facoltativi, come l'impronta digitale del dispositivo, il numero storico delle transazioni e l'anzianità dell'indirizzo di spedizione.
- Geografia : le normative SCA variano tra gli Stati membri dello Spazio economico europeo (SEE), il Regno Unito (con la sua specifica tempistica SCA post-Brexit) e altri mercati. Un sistema di checkout globale deve segmentare correttamente queste informazioni a livello di richiesta.
Lista di controllo per la conformità SCA per i commercianti online
Per configurare correttamente sca 3ds2 non basta abilitare 3DS2 sul gateway. Anche il lavoro continuo è importante:
- Verifica che la tua PSP o il tuo gateway supportino 3DS2. La maggior parte dei principali processori (Stripe, Adyen, Worldpay, Braintree) lo gestiscono automaticamente. I processori regionali o più vecchi potrebbero ancora funzionare con 3DS1 o avere implementazioni parziali.
- Verifica i dati AReq inviati. Collabora con il tuo fornitore di servizi di pagamento per assicurarti di inviare tutti gli oltre 100 campi dati opzionali, e non solo quelli obbligatori. Ogni campo aggiuntivo aumenta la sicurezza dell'emittente in termini di approvazione senza intoppi.
- Mappa le tue tipologie di transazione. Identifica quali pagamenti sono avviati dal commerciante (abbonamenti dopo la configurazione), ordini per posta/telefonici o pagamenti a una sola fase. Contrassegnali correttamente: non passano attraverso 3DS2 e non devono essere instradati lì.
- Testa l'esperienza utente del flusso della sfida. Quando viene attivata una sfida a più livelli, l'esperienza deve essere chiara e ottimizzata per dispositivi mobili. Una schermata OTP confusionaria riduce le conversioni. Esegui test su diversi dispositivi e browser prima del lancio.
- Monitorare i tassi di frode senza attrito rispetto ai tassi di frode con contestazione. Un calo del tasso di frode senza attrito segnala un problema: dati degradati, un emittente che modifica il proprio modello di rischio o un tasso di frode per categoria di commerciante che supera una soglia TRA.
- Monitora l'esito delle tue richieste di esenzione. Scopri quali esenzioni stai richiedendo, quali vengono accettate e quali vengono respinte senza motivazione. I rifiuti senza motivazione per le esenzioni di basso valore spesso indicano che è stato raggiunto il limite cumulativo di 100 € senza possibilità di rinegoziazione.
- Seguite la cronologia della PSD3. La proposta PSD3 della Commissione europea è in fase di elaborazione legislativa; l'implementazione da parte degli Stati membri è prevista tra il 2026 e il 2027. Essa estende l'autenticazione forte del cliente (SCA) anziché sostituirla: i requisiti di autenticazione diventano più granulari, non più semplici.
Un aspetto che molti commercianti non comprendono di Sca 3ds2 è che l'intero framework è concepito per le transazioni di pagamento elettronico regolamentate dalla PSD2, ovvero per le transazioni in valuta fiat che transitano attraverso banche e circuiti di carte. I pagamenti in criptovaluta sono completamente esclusi da tale ambito.
Quando un cliente paga con Bitcoin, Ethereum o una stablecoin, la transazione non coinvolge un circuito di carte di credito o una banca. Nessun emittente gestisce un ACS (Automatic Contract System). Non ci sono AReq (Autorizzazioni di Responsabilità Speciale), server di directory o flussi di verifica da gestire. Le regole SCA non si applicano perché il tipo di pagamento non rientra nel perimetro normativo.
Per i commercianti, questo si traduce in qualcosa di concreto. Un pagamento in criptovalute non prevede alcuna fase di autenticazione 3DS2, nessuna richiesta di OTP e nessun flusso di verifica. Il cliente paga dal proprio portafoglio; i fondi vengono accreditati. Non esistono nemmeno i chargeback: le transazioni in criptovalute sono irreversibili, il che elimina completamente i meccanismi di responsabilità per frode.
Per i commercianti che desiderano aggiungere un'opzione di pagamento completamente al di fuori del framework di autenticazione della carta, Plisio supporta oltre 20 criptovalute senza costi aggiuntivi dovuti all'autenticazione forte del cliente (SCA), senza rischi di chargeback e senza dipendenza dal modello di rischio della banca emittente.
Cosa significano SCA e 3DS2 per la tua infrastruttura di pagamento
L'autenticazione forte del cliente (SCA) non sta diventando più semplice. La PSD3 estenderà ulteriormente i requisiti di autenticazione e il Regno Unito gestirà un proprio sistema di applicazione dell'SCA dopo la Brexit. La questione pratica per i commercianti non è se implementarla o meno, quanto sia effettivamente efficace l'implementazione dell'SCA 3ds2.
Se implementato correttamente, il framework funziona per tutti i soggetti coinvolti. I commercianti ottengono protezione dalla responsabilità in caso di storni di addebito per frode. Gli emittenti ricevono segnali più completi grazie al payload di dati ampliato di 3D Secure 2 e approvano più transazioni con sicurezza. I clienti ottengono un'autenticazione sicura che di solito non interrompe affatto il processo di pagamento. I commercianti che si trovano in difficoltà sono quelli che hanno abilitato 3DS2 come requisito minimo del gateway e non hanno più rivisto i tassi di successo delle transazioni senza attriti, la qualità del payload AReq o i tassi di successo delle esenzioni.
