Categorie
Tutti i post
E-commerce
Annunci
Pagamenti
Tecnologia
Prodotto
Categories
Home
>
Checkout.com Blog
>
L’evoluzione del protocollo 3D-Secure: da 3DS a 3DS2.2

L’evoluzione del protocollo 3D-Secure: da 3DS a 3DS2.2

Aug 24, 2022
Scarica PDF
Checkout.com

Come trasformare i requisiti normativi e dei circuiti di carte in materia di autenticazione forte del cliente in Europa in uno strumento per l’ottimizzare delle conversioni.

Il nuovo regolamento in materia di autenticazione forte del cliente, in inglese Strong Customer Authentication (SCA), è entrato in vigore nella maggior parte dei paesi europei nel 2021. Parte del suo mandato riguardava l’uso del protocollo 3DS per l’autenticazione dei pagamenti. Dall’introduzione della prima versione di questa tecnologia si sono avuti continui miglioramenti che hanno iniziato a tener conto sia delle preoccupazioni per la sicurezza, sia di quelle relative ai possibili attriti per i clienti.

A ottobre del 2022 i principali circuiti di carte hanno reso noto che agli emittenti e agli acquirer verrà chiesto di aderire allo standard avanzato per la sicurezza dei pagamenti online (EMV 3DS 2.2) in Europa. Le aziende che vogliono portarsi avanti col lavoro dovrebbero iniziare a prendere in considerazione sin d’ora come tutto ciò potrà influire sulle proprie strategie SCA.

In che modo il nuovo standard consentirà alle aziende di garantire un maggior numero di vendite andate a buon fine, con meno rifiuti e pagamenti contestati? In questo articolo spieghiamo che cosa c’è a monte della SCA e perché la nuova versione avanzata dello standard - 3DS 2.2 - è in grado di cambiare le regole del gioco.

Che cos’è l’autenticazione forte del cliente?

L’autenticazione è il processo che consente di confermare se le persone sono proprio quello che dicono di essere. Esistono diversi modi per farlo nelle transazioni bancarie o di acquisto da remoto.

Normalmente, i fattori di autenticazione si basano su:

  • Qualcosa che il cliente conosce (ad esempio, un PIN o una password)
  • Qualcosa che il cliente possiede (ad esempio, un token o un dispositivo)
  • Qualcosa che è parte del cliente (ad esempio, le impronte digitali o il riconoscimento vocale)

Per aumentare la sicurezza dei pagamenti a distanza, la direttiva europea sui servizi di pagamento (PSD2) prevede l’autenticazione a due o più fattori per la cosiddetta autenticazione “forte” del cliente, più comunemente nota con l'acronimo SCA.

Dal 31 dicembre 2020 tutte le transazioni elaborate nell’Area Economica Europea (AEE) sono state assoggettate alla normativa SCA tranne poche eccezioni, di seguito indicate. Il Regno Unito ha stabilito come data d’introduzione della normativa SCA il 14 marzo 2022, con le banche del paese che iniziano progressivamente a rifiutare le transazioni non a norma.

I cambiamenti degli stili di vita e delle abitudini di acquisto e quelli tecnologici stanno spingendo sempre di più le vendite a distanza. Di conseguenza lo standard 3DS, la cui introduzione risale alla fine degli anni Novanta, ha dovuto necessariamente evolversi per restare al passo coi tempi. Lo standard 3DS 2.1 è stato esteso ai pagamenti tramite cellulare e ai metodi di autenticazione alternativi, consentendo l'acquisizione di un numero di dati dieci volte maggiore per un’analisi più precisa dei rischi.

La tecnologia si è ulteriormente evoluta con la versione EMV 3DS 2.2, che attualmente consente un’esperienza utente più omogenea, decisioni più consapevoli basate sul rischio e la gestione delle eccezioni.

In che cosa consiste lo standard EMV 3DS 2.2?

EMV 3DS 2.2 è la nuova versione avanzata del vecchio standard 3DS, gestito da EMVCo, l’ente tecnico globale per le transazioni di pagamento sicure.

Collegando l’emittente, l’acquirer e il programma della carta (i tre domini del protocollo 3 Domain Secure), lo standard 3DS offre ai consumatori la possibilità di autenticarsi direttamente presso l’emittente della carta quando effettuano acquisti online. Questo ulteriore livello di sicurezza contribuisce a evitare l’uso non autorizzato delle carte, oltre a proteggere le aziende dell’e-commerce dall'esposizione a determinati tipi di transazioni contestate.

Quali sono le principali differenze della versione 3DS 2.2 rispetto alle versioni precedenti?

In primo luogo, la nuova specifica è ottimizzata per molte più tipologie di dispositivi: cellulari, PC, consolle e persino TV digitali, oltre che per i pagamenti tramite app. È dunque arrivato il momento di dire addio alle fastidiose finestre pop-up, soprattutto sui piccoli schermi dei cellulari, e di dare il benvenuto a un flusso di checkout con meno attriti.

In secondo luogo, adesso è possibile per gli esercenti inviare più di 100 tipi di dati agli emittenti delle carte per una valutazione dei rischi più intelligente. Un bel passo in avanti rispetto agli otto data point che venivano normalmente scambiati nell’àmbito dell’autenticazione 3DS 1.0. In questo modo viene migliorata l’autenticazione basata sul rischio, il che significa che il checkout è esente da attriti per la maggior parte delle transazioni a basso rischio provenienti da clienti affidabili.

CKO spiega: Hard decline vs. soft decline
Gli hard decline si verificano quando l'emittente della carta del cliente rifiuta il pagamento. Ad esempio, quando la carta è scaduta o ne è stato denunciato il furto. Gli hard decline sono permanenti, per cui non è possibile ripetere il pagamento.
L’80-90% dei rifiuti è da imputare ai soft decline, che di solito si verificano quando l’emittente vuole autenticare il titolare della carta prima di autorizzare il pagamento.


Quali transazioni richiedono l’autenticazione forte del cliente?

Tutte le transazioni elettroniche richiedono la SCA, a meno che non esulino dal campo di applicabilità della normativa o non siano esenti.

I principali casi di non applicabilità per le transazioni remote sono:

  • Transazioni effettuate dall’esercente (MIT): Si tratta di un ventaglio di transazioni che comprendono, tra l’altro, i pagamenti ricorrenti, i pagamenti rateali, i pagamenti anticipati, le credenziali registrate, gli addebiti posticipati e le riautorizzazioni. La SCA può essere richiesta per queste situazioni, soprattutto per transazioni effettuate attraverso un canale remoto. Tuttavia, una volta che queste modalità sono state attivate, gli esercenti possono effettuare i pagamenti successivi senza dover applicare i requisiti SCA.
  • Ordini fatti per posta o per telefono: I pagamenti relativi a ordini fatti per posta o per telefono non rientrano nel campo di applicabilità della SCA.
  • Transazioni “one leg out”: Quando l’emittente della carta o l'acquirer sono fuori dall’Area Economica Europea (AEE). Ad esempio, quando una carta emessa in Giappone viene utilizzata sul sito web di un esercente tedesco. L'autenticazione deve essere effettuata nel miglior modo possibile, ma gli emittenti non devono rifiutare le richieste di autorizzazione delle transazioni “one leg out“ se non rientrano nel campo di applicabilità.
  • Transazioni anonime: Ad esempio, carte regalo prepagate emesse senza il nome di un titolare identificabile.

Le quattro esenzioni principali dai requisiti SCA per chi vende online sono:

  • Analisi dei rischi della transazione (Transaction Risk Analysis, TRA): L'esenzione dipende dal valore della transazione e dal tasso di frode dell’acquirer.
  • Transazioni di scarso valore: Pagamenti a distanza d’importo inferiore a 30 euro fino al massimo di 5 transazioni o d’importo complessivo di 100 euro.
  • Beneficiari affidabili: Quando sono i clienti che inseriscono gli esercenti nell’elenco dei “beneficiari affidabili” gestito dell'emittente, le cosiddette “liste bianche”. L’esenzione è utile se i clienti acquistano frequentemente da un determinato esercente. I titolari di carta possono inserire in elenco gli esercenti tramite il flusso di autenticazione una volta risolta una contestazione o tramite un’app bancaria, se previsto dall’emittente.
  • Pagamenti aziendali sicuri: Sono quelli effettuati tramite sistemi e processi aziendali sicuri, come i sistemi di gestione centralizzata delle trasferte, carte alberghiere e carte virtuali.

Per riassumere: La SCA non è richiesta per le transazioni che non rientrano nell’ambito di applicabilità, né per quelle esenti. Tuttavia queste transazioni devono essere contrassegnate correttamente nel messaggio di autorizzazione per ridurre la possibilità che vadano incontro a soft decline da parte degli emittenti.

Lo standard 3DS 2.2 supporta questo flusso esente da attriti, per cui le aziende che accettano i pagamenti online sono avvisate di lavorare con i loro acquirer per mettere a punto una strategia d'esenzione adatta per le loro situazioni specifiche.

Devono inoltre tenere presente che spetta agli emittenti l’ultima parola se applicare o meno la SCA. Vi sono cose che soltanto loro possono sapere o fare, ad esempio capire quali sono le abitudini di spesa tipiche del cliente, o quali sono gli esercenti inseriti nell’elenco dei beneficiari affidabili.

Se gli emittenti nutrono sospetti in relazione a una transazione possono sempre chiedere un’autenticazione step-up o contestarla tramite il protocollo 3DS, anche se è stata contrassegnata come fuori dell’àmbito di applicabilità o esente dalla SCA.

Come possono le aziende online girare a loro vantaggio la normativa SCA?

Possono fare in modo che la normativa SCA si traduca in un vantaggio competitivo:

  • Identificando quando è possibile chiedere le esenzioni
  • stabilendo quali transazioni non rientrano nel campo di applicabilità della SCA, per le quali l’autenticazione non è necessaria e
  • tenendosi aggiornati con gli ultimi sviluppi del protocollo 3DS.

Analogamente devono valutare gli effetti della SCA sui percorsi e sui processi dei clienti, per aumentare al massimo il ricorso alle esenzioni ai fini di un flusso di checkout senza attriti. Se non sei certo se un determinato caso abbia diritto alle esenzioni rivolgiti ai nostri esperti dei pagamenti.

Infine, definisci una strategia antifrode che rispecchi il tuo business model. È probabile che nel corso degli anni la tua azienda abbia già effettuato importanti investimenti in strumenti di rilevamento delle frodi e di gestione del rischio. Lo standard 3DS 2.2 consente di sfruttare tali investimenti.

Occorre trovare il giusto equilibrio fra ridurre al minimo le frodi e i costi operativi, ottimizzare l'esperienza del cliente e aumentare al massimo i ricavi. Nessuno dice che sia facile. Ma la bella notizia è che non esiste solo un modo corretto per bilanciare questi fattori o ideare una strategia d'esenzione.

Ogni azienda può adattare e adeguare il proprio approccio in modo da poterne avere un vantaggio competitivo, a seconda della situazione specifica.

ABOUT THE AUTHOR
Checkout.com

Articoli più recenti

Perché i tassi di accettazione sono importanti per la tua azienda
Blog
Feb 21, 2024

Perché i tassi di accettazione sono importanti per la tua azienda

Leggi l'articolo
Alla ricerca dei punti percentuali: in che modo le performance guidano il commercio digitale
Blog
Feb 21, 2024

Alla ricerca dei punti percentuali: in che modo le performance guidano il commercio digitale

Leggi l'articolo
Lost in transaction
Blog
Nov 20, 2023

Lost in transaction

Leggi l'articolo
Come scegliere il tuo partner per i pagamenti
Blog
Nov 20, 2023

Come scegliere il tuo partner per i pagamenti

Leggi l'articolo
Cos'è una frode amichevole?
Blog
Nov 3, 2023

Cos'è una frode amichevole?

Leggi l'articolo
Tutto sui pagamenti SEPA
Blog
Nov 3, 2023

Tutto sui pagamenti SEPA

Leggi l'articolo
Network Token: Perché ne ha bisogno la tua strategia 2024 per i pagamenti
Blog
Oct 3, 2023

Network Token: Perché ne ha bisogno la tua strategia 2024 per i pagamenti

Leggi l'articolo
Pagamenti ad alte prestazioni: l'opportunità nascosta da un miliardo di dollari
Blog
Sep 13, 2023

Pagamenti ad alte prestazioni: l'opportunità nascosta da un miliardo di dollari

Leggi l'articolo
Alla scoperta dei network token
Blog
Aug 24, 2023

Alla scoperta dei network token

Leggi l'articolo
Conoscere le frodi di identità per difendere meglio la tua azienda
Blog
Aug 16, 2023

Conoscere le frodi di identità per difendere meglio la tua azienda

Leggi l'articolo
Tutto sulla verifica KYC
Blog
Aug 16, 2023

Tutto sulla verifica KYC

Leggi l'articolo
Cos'è una frode chargeback?
Blog
Aug 1, 2023

Cos'è una frode chargeback?

Leggi l'articolo
Return to home

Approfitta oggi stesso delle potenzialità dei tuoi pagamenti

Informazioni di contatto