PSD2 e autenticazione forte del cliente: il vostro sito è pronto?

La Direttiva PSD2 le innovazioni per l’ecommerce

La Direttiva sui Servizi di Pagamento n. 2366/2015 (la c.d. “PSD2”) è un provvedimento normativo che riguarda esclusivamente i servizi di pagamento elettronico all’interno dello Spazio Economico Europeo (SEE). 

Ambito di applicazione

La PSD2, che entrerà in vigore in Italia il 14 settembre 2019, si applica in particolare quando il consumatore accede al proprio account di pagamento online ed effettua un pagamento elettronico.

Scopo prevalente

La Direttiva ha, tra i suoi scopi, quello di rafforzare la protezione dalle frodi per gli acquisti online.In particolare, gli acquirenti vengono tutelati da un uso improprio delle loro carte di pagamento e i venditori da addebiti fraudolenti.

La Direttiva introduce infatti il concetto di “autenticazione forte”, il cui scopo è di incrementare il livello di sicurezza dei pagamenti elettronici e di assicurare al tempo stesso la protezione del consumatore. 

Autenticazione forte del cliente

L’autenticazione forte del cliente consiste in un processo di autenticazione che si realizza in presenza di almeno due dei seguenti tre fattori:

1. Conoscenza. Qualcosa che solo il consumatore conosce (ad esempio, una password o un PIN). Segnaliamo che il numero di carta di credito con CVV e data di scadenza, nonché un ID utente non sono considerati come elementi che soddisfano il requisito della "conoscenza".

2.  Identità. Qualcosa riferito alla identità stessa del cliente (es.: una caratteristica biometria come il riconoscimento vocale o del volto).

3.  Possesso. Qualcosa che solo il cliente possiede (es.: un cellulare).

Autenticazione forte ed unico dispositivo per l’esecuzione dell’operazione

E’ possibile far utilizzare al cliente un singolo dispositivo, ad esempio un cellulare, il quale potrà quindi essere utilizzato contemporaneamente per l'autenticazione del titolare della carta di credito che per il completamento dell’ordine di acquisto. 

Eccezioni previste dalla PSD2, di seguito le più frequenti in ambito ecommerce

In alcuni casil’autenticazione forte del cliente può non essere richiesta. Ecco le eccezioni che possono interessare il vostro business online.

1. Transazioni ricorrenti. Il caso del cliente che effettua in favore del vostro ecommerce“transazioni ricorrenti” (vale a dire operazioni di pagamento che prevedono sempre un determinato importo e beneficiario) 

2. Transazioni di basso valore. In tal senso intendendosi una delle seguenti ipotesi:

- Valore della transazione inferiore a Euro30,00;

- L'ammontare cumulativo degli acquisti precedenti l'ultima autenticazione forte del cliente è inferiore ad Euro100,00;

- Sono state effettuate fino ad un massimo di cinque transazioni con valore inferiore ad Euro30,00, oppure con un valore complessivo di massimo a Euro 100,00.

3. Analisi del rischio della transazione. Tale esenzione consente di non applicare l’autenticazione forte per le transazioni che presentano un basso livello di rischio di frode. Le condizioni di applicazione di tale esenzione sono dettagliate negli standard fissati dall’EBA (l’Autorità Bancaria Europea) e riguardano le transazioni fino ad un valore massimo di Euro 500,00. L’applicazionedi questa esenzione non può essere demandata al sito di ecommercebensì al c.d. “Acquirer” (il prestatore del servizio dipagamento che ha firmato con voi un contratto di convenzionamento affinchè possiate accettare i pagamenti con carta di credito o di debito effettuati sul vostro ecommerce).Sarà pertanto l'Acquirer a valutare se applicare l’esenzione e ad esserne quindi responsabile. 

Come affrontare la PSD2 se si possiede un ecommerce

L’autenticazione forte del cliente potrebbe impattare sul modo in cui i consumatori siautenticheranno al vostro ecommerce e, conseguentemente, sulla loro esperienza di navigazione. 

Le modalità di gestione dell’autenticazione forte e l’applicazione di eccezioni per offrire ai clienti un’esperienza di pagamento sicura costituirà uno dei fattori chiave di successo per il vostro ecommerce. 

Suggerimenti operativi per affrontare le nuove sfide poste dalla PSD2

1. Informarsi sulle diverse soluzioni di pagamento che verranno rese disponibiliin futuro dai diversi istituti di pagamento. In questo modo sarete sicuri di trovare la soluzione giusta per il vostro sito.

2. Utilizzare istituti di pagamento che implementano gestiscono interfacce di autenticazione che utilizzano protocolli di sicurezza chiamati “EMV 3DS” e “3DS 1.0” e rigettare fornitori che non supportano questi protocolli.

3. Descrivere nelle condizioni generali di vendita del vostro sito a quali condizioni può applicarsi l’autenticazione forte del cliente, in conformità alla PSD2. Disporre di un’informativa privacy conforme a quanto previsto in materia dal Regolamento generale sulla protezione dei dati (GDPR).

4. Chiedere ai vostri provider di adeguare il vostro sito al fine di allinearloai protocolli previsti dall’EMV 3DS per l’utilizzo delle carte di credito. Inoltre, dovrete apportare modifiche al sito adeguandolo ai protocolli EMV 3DS.