Pagamenti PSD2
Le principali novità della PSD2
La PSD2 ha lo scopo di proteggere i pagamenti online. Lo fa attraverso dei sistemi innovativi che tutelano sia il consumatore che effettua l’acquisto, sia l’e-commerce che permette la disposizione di pagamento. Vediamo le principali novità della PSD2.
Autentificazione forte o "Strong Customer Authentication" (SCA)
Con questo termine si intende un processo di autenticazione “forte” del cliente. La SCA si applica per l’accesso al conto online o la presentazione di una disposizione di pagamento elettronico, ovvero, per qualsiasi tipo di azione che possa comportare all’utente rischi di frodi o abusi nei pagamenti online.
È la novità più importante per i siti di e-commerce: se prima della piena applicazione della PSD2 l’utente poteva effettuare un pagamento online semplicemente inserendo username e password, con la PSD2 questo non è più sufficiente. È necessario, infatti, implementare un secondo sistema di sicurezza.
In questo contesto, l'autenticazione forte o SCA si basa almeno su due fattori delle seguenti categorie:
- Conoscenza: qualcosa che solamente l’utente conosce (es. password, PIN o la risposta a una domanda particolare).
- Possesso: qualcosa che solamente l’utente possiede (es. numero di cellulare, indirizzo e-mail, token).
- Inerenza: qualcosa che l’utente è (es.: impronte digitali o riconoscimento facciale)
Le eccezioni all'autenticazione forte o SCA
I siti di e-commerce non devono implementare sempre l'autenticazione forte: la PSD2, infatti, prevede numerose eccezioni. È molto importante conoscerle per migliorare la user experience dell’utente ed evitare “controlli” in fase di pagamento non necessari.
Ecco le eccezioni più comuni all'autenticazione forte PSD2 in ambito ecommerce:
- Transazioni inferiori a 30 euro, a condizione che nell’arco di 24 ore i pagamenti non abbiano superato 100 euro o non si siano effettuate cinque transazioni.
- Transazioni a basso rischio di importo complessivo tra 30 e 500 euro. Nel caso in cui i servizi di pagamento indicano tassi di frodi entro determinati parametri.
- Abbonamenti o pagamenti regolari. L'autenticazione forte viene applicata solo in occasione del primo pagamento.
- Beneficiari “credibili”. Il titolare della carta potrà indicare uno o più ecommerce come “affidabili”. L'autenticazione forte viene quindi richiesta solo in occasione del primo pagamento.
- Pagamenti fuori dall’Europa. Se il cliente non risiede in Europa, l'autenticazione forte non si applica.
Questo significa che per i pagamenti sopra indicati non vi sono misure di sicurezza? Niente affatto. Significa solo che per questi pagamenti sarà sufficiente usare anche solo un fattore di sicurezza.
Il 3DS verrà sostituito dal 3DS 2.1
Il 3DS è un protocollo che, introducendo un meccanismo di autenticazione a due fattori quando si effettua un pagamento online, incrementa la sicurezza dell’acquirente.
Tuttavia, un sostanziale miglioramento della protezione degli acquirenti arriva dal passaggio al protocollo 3DS 2.1: infatti, attualmente il protocollo 3DS ha molti limiti, tra cui l’utilizzo di una schermata pop-up avente un URL diverso e l’obbligo dell’utente di memorizzare una password.
Con l’introduzione del protocollo 3DS 2.1, le problematiche del precedente protocollo verranno risolte. La 3DS 2.1 garantirà all’utente una migliore user experience in quanto l’utente potrà utilizzare dati biometrici, e questo gli permetterà di non doversi più ricordare alcuna password oltre che garantirgli una maggiore sicurezza.
Considerazioni finali
Lo scopo della PSD2 è quello di tutelare i consumatori europei: l’UE persegue l’obiettivo di facilitare la libera circolazione tra i paesi europei, e tra i mezzi applicati per il perseguimento di questo obiettivo è necessario aggiungere la direttiva PSD2, la quale, grazie ad una previsione di protocolli di pagamento online sicuri e volti a migliorare l‘esperienza di acquisto per l’acquirente, ha appunto questo scopo. Il consumatore, grazie alla maggiore sicurezza e uniformità tra i paesi europei, sarà maggiormente incentivato ad effettuare transazioni online anche in siti ecommerce di un altro paese europeo.
I maggiori adempimenti per conformarsi a questa direttiva sono stati effettuati dalle banche e dagli istituti di pagamento. I titolari di un ecommerce dovranno solamente assicurarsi che il loro sito sia a norma e che disponga di un processo di autenticazione forte del cliente.
In conclusione, queste modifiche normative sono a vantaggio dei consumatori europei e volte a tutelarli dalle frodi nelle quali possono incorrere effettuando pagamenti online. Una maggiore sicurezza del consumatore porterà indubbiamente innumerevoli vantaggi agli stessi siti ecommerce.