I protocolli di sicurezza 3D Secure (3DS) per la protezione degli acquisti online sono un sistema di protezione dei pagamenti ideato e sviluppato dai principali circuiti internazionali come Visa e Mastercard per aumentare il livello di sicurezza delle transazioni online con carta di credito e debito.
I protocolli vengono applicati tramite l’attivazione di Verified by Visa e Mastercard Identity Check (evoluzione recente di Mastercard Securecode, 2020) sulle carte di pagamento che per concludere pagamenti online richiedono un’autenticazione da parte dell’acquirente, riducendo al minimo il rischio di uso dello strumento da parte di terzi.
Funzionamento ed evoluzione dei protocolli
Grazie all'introduzione dei protocolli 3D Secure, che risale all'inizio degli anni duemila¹, l’ecosistema Ecommerce ha visto incrementare il livello di sicurezza dei pagamenti online e, come diretta conseguenza, è andata via via aumentando anche la fiducia dei consumatori nei confronti di un mondo che era ancora appannaggio di pochi first mover.
I servizi di sicurezza hanno introdotto il concetto di autenticazione nel processo: per concludere un pagamento non era più sufficiente inserire solo i dati di carta – tipicamente nome e cognome, PAN, data di scadenza e CVV – ma era diventato necessario digitare una password che l’acquirente aveva scelto in fase di attivazione del servizio oppure un codice temporaneo ricevuto tramite sms o generato da un dispositivo consegnato dalla banca.
Nel corso degli anni le evoluzioni sono state minime e per lo più legate alle soluzione di autenticazione con una convergenza sull'sms, soprattutto grazie all'aumento costante dell’adozione di telefoni cellulari. Nel 2018 però la normativa Europea PSD2 in materia di pagamenti ha introdotto il concetto di Strong Customer Authentication e importanti novità sui protocolli 3DS, con l’obiettivo di rendere ancora più sicuri i pagamenti online anche attraverso un processo di autenticazione più strutturato.
Con il nuovo protocollo username e password non sono più sufficienti dal punto di vista della sicurezza, ma è necessario autenticarsi con almeno due tra queste tipologie di elementi:
Informazioni che conosce solo il cliente (KNOWLEDGE)
PIN
Password
Domande di sicurezza
Qualcosa posseduto solo dal cliente (POSSESSION)
Carta
Telefono
Token
Device indossabile
Qualcosa che contraddistingue il cliente (INHERENCE)
Impronta digitale
Riconoscimento facciale
Riconoscimento della voce o scansione dell'iride
La novità più rilevante è l’introduzione di elementi biometrici per l’identificazione del buyer, tecnologia ormai molto diffusa sulla maggior parte di smartphone in commercio e che ha migliorato sia la sicurezza dell’accesso al dispositivo sia quella di molte azioni disponibili, come ad esempio gli acquisti negli app store.
L’introduzione dell’autenticazione dei 3DS ha ridotto drasticamente il rischio di uso fraudolento delle carte da parte di terzi, inserendo un elemento conosciuto solo dal titolare della carta. La nuova normativa Europea, con la seconda versione dei protocolli la cui attuazione è avvenuta all'inizio del 2021, ha diminuito ulteriormente i rischi di frode rendendo obbligatori i protocolli la cui gestione da parte dei merchant, sino ad oggi, è stata di fatto facoltativa.
Attivazione dei sistemi 3D Secure per l’esercente
L’attivazione dei servizi 3DS dei circuiti sulle carte di credito e debito è in capo agli issuer, sono loro infatti che attivano la funzionalità sulle carte degli acquirenti, mentre per il merchant l’interlocutore di riferimento è l’acquirer che, prima dell’avvento della PSD2, poteva accordare all'esercente la disattivazione dei protocolli che aumentano la sicurezza ma possono ridurre il conversion rate.
L’esercente infatti ha sempre avuto la possibilità di richiedere all'acquirer la disabilitazione dei protocolli, di fatto accettando di far pagare i propri clienti senza l’inserimento del codice di autenticazione, a scapito della sicurezza ma a favore di una probabilità maggiore che il pagamento andasse a buon fine, considerato che senza inserire il codice di autenticazione il cliente ha uno step in meno da superare. I nuovi protocolli 3DS2 hanno spostato invece sull'issuer (che ha emesso la carta di pagamento) la decisione di applicare o meno l’autenticazione a due o più fattori su ogni transazione, dunque acquirer e merchant diventano soggetti “passivi” nell'applicazione dell’autenticazione, parte integrante del customer journey in fase di pagamento.
I nuovi protocolli richiedono in particolare l’inserimento nelle richieste di pagamento di un maggior numero di informazioni legate alla transazione e all'acquirente, che permettono all'issuer un’analisi del rischio di frode più puntuale e, di conseguenza, una minore probabilità che venga richiesta l’autenticazione alle transazioni inserite effettivamente dal titolare dello strumento di pagamento.
Sebbene esistano eccezioni ed esenzioni all'applicazione della Strong Customer Authentication, la gestione dei nuovi protocolli 3DS2 diventa essenziale per il merchant che non risulterebbe compliant alla normativa e si vedrebbe rifiutare le richieste di pagamento in caso di mancata implementazione.
Come gestire i nuovi protocolli di sicurezza
I protocolli 2.0 offrono l’opportunità al merchant di inserire dei campi aggiuntivi opzionali per fornire un set di dati aggiuntivo all'issuer e contribuire a ridurre la probabilità che venga applicata la SCA alle transazioni. Per fare questo può essere necessario rivedere il customer journey del sito, integrando campi strumentali alla raccolta del dato, e dunque può aumentare la complessità di integrazione.
Per fare ulteriore chiarezza su PSD2 e protocolli, questa infografica approfondisce le novità introdotte dalla normativa e il funzionamento della Strong Customer Authentication, inoltre contiene una tabella comparativa che mette a confronto i vecchi e nuovi 3DS per la protezione degli acquisti online, per fornire un quadro dei cambiamenti sostanziali.
Per la gestione ottimale delle nuove regole di autenticazione sul gateway Axerve Ecommerce Solutions è possibile accedere alla sezione della documentazione dedicata alla gestione dei protocolli 3DS2 e approfondire quali interventi sono necessari per essere in grado di gestire l’imminente introduzione.
.png?ixlib=gatsbyFP&auto=compress%2Cformat&fit=max&w=240&h=240)
