SCA e 3DS 2.1: più protezione per il consumatore

La SCA (Strong Customer Authetication) è il primo cambiamento introdotto dalla nuova normativa europea PSD2 (Payment Services Directive 2) per rendere i pagamenti più sicuri. Il recepimento della PSD2 è ufficialmente entrato in vigore il 13 gennaio 2018. Il 14 settembre 2019 sono entrati in vigore i regolamenti tecnici di attuazione comprese le regole sull'autenticazione per i pagamenti online con carta. La Banca Centrale Europea ha concesso una proroga del termine per gli adeguamenti, relativa ai soli pagamenti con carta. Protezioni base come username e password non saranno più sufficienti dal punto di vista della sicurezza, ma sarà necessario autenticarsi con almeno due tra questi elementi:

Informazioni che conosce solo il cliente (KNOWLEDGE)

• PIN
• Password
• Domande di sicurezza

Qualcosa posseduto solo dal cliente (POSSESSION)

• Carta
• Telefono
• Token
• Device indossabile

Qualcosa che contraddistingue il cliente (INHERENCE)

• Impronta digitale
• Riconoscimento facciale
• Impronta vocale (riconoscimento della voce)
• Scansione dell'iride

Con l’autenticazione a due fattori è possibile, quindi, utilizzare anche le più recenti protezioni biometriche, già usatissime sugli smartphone, come il controllo dell’impronta digitale o della retina.

Ci possono essere eccezioni all'applicazione della Strong Customer Authentication? Sì, sono state previste queste eccezioni:

1. One-leg transactions. La SCA si applica alle cosiddette transazioni two-legs, ossia ai pagamenti in cui il prestatore di servizio di pagamento e l’issuer sono entrambi residenti nello Spazio Economico Europeo SEE. Sono previste eccezioni per le transazioni one-leg, cioè i pagamenti in qualsiasi valuta in cui uno dei due soggetti sopra citati abbia sede al di fuori del SEE.
2. Mail Order Telephone Order (M.O.T.O.). Tutte le transazioni anche dette card not present, cioè i pagamenti effettuati senza la presenza del titolare della carta (ad es. pagamenti fatti tramite call center o richiesti via email dal cliente all'esercente).
3. Merchant Initiated Transactions (M.I.T.). Sono pagamenti inseriti dall'esercente, previa autorizzazione dell’acquirente, senza che l’ordine di pagamento del cliente sia contestuale. Questi pagamenti possono avvenire solo per un gruppo ristretto di casi (ad es. bollette e bollettini, abbonamenti telefonici, servizi digitali, ricariche di digital wallet).
4. Card on file. In questo caso l’autenticazione è avvenuta in precedenza per il tramite di un terzo soggetto. I casi più comuni sono i pagamenti effettuati grazie a digital wallet come Apple Pay o Google Pay.

Esistono esenzioni alla SCA? Certo, ecco le transazioni che non hanno l’obbligo di usare la SCA o per le quali è possibile richiedere l’esenzione:

1. Transazioni di modesto valore. Transazioni sotto i 30 euro, che sommate non superano 100 euro o cinque transazioni singole consecutive esenti dall'ultima volta che è stata effettuata la SCA
2. Transazioni considerate a basso rischio di importo compreso tra 30 euro e 500 euro (low Risk Based Analysis o RBA). L’esenzione è possibile nel caso in cui l’issuer emittente della carta che sta effettuando il pagamento o l’acquirer che sta gestendo la transazione abbia, tra le varie condizioni, un tasso di frodi pari o inferiore a determinati tassi di frode di riferimento normativamente stabiliti (1, 6 o 13bps a seconda della soglia di esenzione)
3. Pagamenti ricorrenti (Recurring Payments). Nel caso di abbonamenti o transazioni ricorrenti con valore e beneficiario fissi, la SCA sarà richiesta solo per la prima transazione (e non per i successivi rinnovi automatici). Se, ad un certo punto, il costo dell’abbonamento o della transazione ricorrente subisse una variazione, verrebbe nuovamente richiesto il 3DS. 
4. Whitelisting o beneficiari di fiducia. I clienti potranno decidere secondo le modalità con cui l’issuer metterà a disposizione questa funzionalità, di aggiungere un'azienda nella lista di “Beneficiari di fiducia”. Se la funzionalità sarà messa a disposizione dei Clienti, la SCA sarà richiesta per la creazione e/o la modifica della lista di beneficiari di fiducia o al primo pagamento verso l’azienda nel quale sarà possibile indicare di inserire l’azienda in whitelist. Per i pagamenti successivi non verrà richiesta nuovamente l’autenticazione salvo i casi in cui l’issuer non ritenesse opportuno farlo per tutelare tutte le parti in causa.

Ecco arrivare il 3DS 2.1

Un miglioramento alla protezione del consumatore arriva proprio dal passaggio al 3DS 2.1. L’attuale 3DS ha molti limiti, partendo proprio dal fatto che fa uso di una schermata pop-up con un URL diverso. Se ti sono subito venuti in mente i siti di phishing sei sulla strada giusta. Effettivamente il rischio è maggiore se si utilizza una schermata di questo tipo, poiché è esteticamente molto simile a quelle fasulle create per frodi online. Ci sono anche problematiche di tipo gestionale, per esempio la memorizzazione di una password fissa (ne esistono anche di variabili) per l’attuale 3DS, che può complicare l’esperienza dell’utente se possiede più carte. A questo si aggiunge il fatto che non vi è attualmente l’obbligo di implementare il 3DS come misura di sicurezza, e questo aumenta i rischi per il consumatore.

Tutto questo è cambiato con l’introduzione del 3DS 2.1, che ottempera all'obbligo di adottare un’autenticazione forte del cliente entro il 31 dicembre 2020, data di scadenza della proroga concessa da EBA (European Banking Authority). La nuova versione del protocollo di sicurezza, una volta adottato da tutto il sistema, potrà garantire un tasso di approvazione più alto e la riduzione degli abbandoni del carrello, grazie ad un’esperienza senza frizioni per l’acquirente; anche per questo sarà importante per tutti gli esercenti essere in grado di gestire i nuovi protocolli, auspicabilmente con largo anticipo rispetto al termine ultimo di fine anno. 

La sua adozione ha anche il vantaggio di spostare la responsabilità della transazione dal merchant all'issuer (liability shift) per tutte le transazioni veicolate tramite il protocollo, dunque sarà la società emittente la carta di pagamento a dover rispondere di un'eventuale frode.

In definitiva, il 3DS 2.1 garantisce il rispetto degli standard SCA, riducendo il numero di frodi e migliorando l’esperienza del consumatore sui siti web e sulle app. Se vuoi scoprire tutte le novità della PSD2 e il suo impatto sui sistemi di pagamento, puoi dare un’occhiata al nostro articolo correlato: Cos'è la PSD2: un passo avanti verso l'open banking.