Autenticazione SCA

Cosa devono sapere le aziende che operano su Internet riguardo alla regolamentazione europea

  1. Introduzione
  2. Che cosè lautenticazione SCA?
    1. Quando è necessaria lautenticazione forte del cliente?
    2. Come autenticare un pagamento
    3. Esenzioni allautenticazione forte del cliente
    4. Che succede se unesenzione non va a buon fine?
    5. Ecco come Stripe ti aiuta a rispettare i requisiti dellautenticazione forte del cliente

In questa guida, analizzeremo più da vicino l'autenticazione forte del cliente (SCA, Strong Customer Authentication) e le tipologie di pagamenti interessati. Tratteremo inoltre delle esenzioni utilizzabili per le transazioni a basso rischio per offrire un'esperienza di pagamento senza complessità.

Abbiamo pubblicato una guida per aiutarti a capire quando aggiungere un passaggio di autenticazione all'esperienza del cliente. Visita il nostro sito per ulteriori informazioni sui prodotti Stripe compatibili con la SCA.

Che cos'è l'autenticazione SCA?

L'autenticazione forte del cliente, anche detta autenticazione SCA (Strong Customer Authentication), è un requisito normativo europeo finalizzato a ridurre le frodi e a rendere più sicuri i pagamenti online e i pagamenti contactless offline. Per accettare i pagamenti e soddisfare i requisiti della SCA, devi creare un'autenticazione aggiuntiva nel flusso di pagamento. La SCA richiede che l'autenticazione utilizzi almeno due dei seguenti tre elementi.

Per consultare i requisiti SCA originali, è possibile accedere agli standard tecnici normativi. Le banche dovranno iniziare a rifiutare i pagamenti che richiedono la SCA e non rispettano questi criteri.

Quando è necessaria l'autenticazione forte del cliente?

L'autenticazione SCA si applica ai pagamenti online e ai pagamenti contactless offline disposti dai clienti in Europa. Come risultato, la maggioranza dei pagamenti con carta e tutti i bonifici bancari richiedono la SCA. Gli addebiti diretti ricorrenti, tuttavia, sono considerati pagamenti disposti dagli esercenti e pertanto non richiedono l'autenticazione SCA.

Per i pagamenti con carta online, questi requisiti si applicano alle transazioni in cui sia l'attività che la banca del titolare della carta si trovano nello Spazio economico europeo (SEE).

Come autenticare un pagamento

Al momento, la modalità più frequente per autenticare un pagamento online con carta è il 3D Secure, uno standard di autenticazione supportato dalla stragrande maggioranza delle carte europee. L'applicazione del 3D Secure generalmente aggiunge una fase di autenticazione aggiuntiva, successiva al pagamento, in cui la banca del titolare della carta chiede a quest’ultimo di fornire informazioni aggiuntive per completare il pagamento (ad esempio, un codice una tantum inviato al telefono o l'autenticazione dell'impronta digitale tramite l'app di mobile banking).

Il 3D Secure 2 è il metodo principale per autenticare i pagamenti con carta online e per rispettare i requisiti SCA. Questa versione introduce un'esperienza cliente avanzata che contribuirà a ridurre alcune delle complessità dell'autenticazione nel flusso di pagamento.

Le transazioni offline con carta di solito soddisfano i requisiti di autenticazione tramite inserimento del PIN.

Le altre modalità di pagamento basate su carta, quali Apple Pay o Google Pay supportano già i flussi di pagamento con un livello di autenticazione integrato (biometrico o tramite inserimento della password). Si tratta di un metodo ideale affinché le aziende offrano un'esperienza di pagamento fluida rispondendo al contempo ai requisiti.

Prevediamo inoltre che molte modalità di pagamento europee comunemente utilizzate, come iDEAL, Bancontact o Multibanco, rispondano al regolamento SCA senza modifiche sostanziali all'esperienza utente.

Esenzioni all'autenticazione forte del cliente

In base al regolamento, tipologie specifiche di pagamenti a basso rischio potrebbero non dover completare l'autenticazione SCA. I fornitori di servizi di pagamento come Stripe possono richiedere tali esenzioni quando elaborano il pagamento. La banca del titolare della carta riceverà la richiesta, valuterà il livello di rischio della transazione e deciderà quindi se approvare l'esenzione o se l'autenticazione è comunque necessaria.

Integrando l'autenticazione nel flusso di pagamento si aggiunge un'altra fase che potrebbe complicare la procedura e aumentare il tasso di abbandono dei clienti. Mediante le esenzioni attivate per i pagamenti a basso rischio è possibile ridurre il numero di autenticazioni per un cliente e quindi la complessità. Abbiamo progettato i nostri prodotti di pagamento compatibili con la SCA per permetterti di sfruttare le esenzioni ove possibile e di proteggere la conversione.

Ecco i principali tipi di esenzioni per le aziende su Internet:

Transazioni a basso rischio

Un fornitore di servizi di pagamento (come Stripe) può effettuare un'analisi del rischio in tempo reale per determinare se applicare la SCA a una transazione. Questo è possibile solo se i tassi di frode complessivi del fornitore di servizi di pagamento o della banca per i pagamenti con carta non superano le seguenti soglie:

  • 0,13% per l'esenzione delle transazioni di importo inferiore a 100 €
  • 0,06% per l'esenzione delle transazioni di importo inferiore a 250 €
  • 0,01% per l'esenzione delle transazioni di importo inferiore a 500 €

Tali soglie verranno convertite negli importi locali equivalenti, se pertinente.

Nei casi in cui solo il tasso di frode del fornitore di servizi di pagamento sia inferiore alla soglia, ma quello della banca del titolare della carta sia superiore, si prevede che la banca rifiuti l'esenzione e imponga l'autenticazione.

Questa è una delle esenzioni più utili per le aziende e una delle più supportate dalle banche. L'ampia verifica in tempo reale di Stripe Radar ci permette di supportare questa esenzione per i nostri utenti.

Pagamenti inferiori a 30 €

Questa rappresenta un'altra esenzione utilizzabile per i pagamenti di importo ridotto. Le transazioni inferiori a 30 € sono considerate "a basso valore" e potrebbero godere dell'esenzione dell'autenticazione SCA. Le banche comunque devono richiedere l'autenticazione se l'esenzione è già stata utilizzata cinque volte dall'ultima autenticazione andata a buon fine per il titolare della carta o se la somma dei pagamenti precedentemente derogati supera i 100 €. La banca del titolare della carta deve tenere traccia del numero di volte in cui è stata utilizzata l'esenzione e decidere se l'autenticazione è necessaria.

A causa delle rigorose limitazioni di questa esenzione, ci aspettiamo che l'esenzione più rilevante per la maggior parte dei pagamenti sia quella delle transazioni a basso rischio. Tuttavia, supportiamo questa esenzione per i nostri utenti.

Abbonamenti con importo fisso

L'esenzione è applicabile se il cliente effettua una serie di pagamenti ricorrenti dello stesso importo alla stessa azienda. L'autenticazione SCA è necessaria per il primo pagamento del cliente, mentre i successivi potrebbero essere esentati dall'autenticazione forte del cliente.

Questa esenzione è molto utile per le aziende che offrono abbonamenti e ampiamente supportata dalle banche europee. Attiveremo questa esenzione per gli utenti Stripe. Se stai usando Stripe Billing per creare gli abbonamenti, applicheremo automaticamente questa esenzione, se pertinente, e ti aiuteremo a gestire le richieste di autenticazione nel caso in cui la banca del cliente rifiuti l'esenzione.

Transazioni disposte dall'esercente (inclusi gli abbonamenti variabili)

I pagamenti effettuati tramite carte salvate quando il cliente non è presente durante il flusso di pagamento (chiamati anche pagamenti esterni alla sessione) potrebbero essere considerati transazioni disposte dall'esercente. Tali pagamenti tecnicamente non rientrano nell'ambito di applicazione dell'autenticazione SCA. In pratica, effettuare un pagamento come transazione disposta dall'esercente è simile a richiedere un'esenzione. E, come per qualsiasi altra esenzione, decide la banca se applicare o meno l'autenticazione.

Per utilizzare le transazioni disposte dall'esercente, devi autenticare la carta al momento del salvataggio o del primo pagamento. Infine, dovrai ricevere un'autorizzazione dal cliente (un mandato) per eseguire addebiti successivi sulla carta.

È un importante caso d'uso per i modelli di business che si basano su pagamenti ritardati, addebitano abbonamenti con importo variabile o addebitano servizi aggiuntivi. È supportato dalla maggior parte delle banche europee e accettato se la transazione è considerata a basso rischio dalla banca.

L'API di Stripe consente di autenticare una carta al momento del salvataggio per utilizzarla in seguito e considerare i pagamenti successivi come "transazioni disposte dall'esercente".

Beneficiari affidabili

Quando completi l'autenticazione per un pagamento, i clienti hanno la possibilità di aggiungere all'elenco consentito un'azienda affidabile per evitare di autenticare i pagamenti futuri. Tali aziende vengono quindi incluse nell'elenco dei beneficiari affidabili gestito dalla banca del cliente o dal fornitore di servizi di pagamento.

Sebbene l'aggiunta all'elenco dei consentiti semplifichi acquisti ripetuti o abbonamenti per i clienti, l'adozione di questa funzionalità tra gli istituti bancari è stata molto ridotta. Supporteremo questa deroga per i nostri utenti laddove disponibile.

Vendite telefoniche

I dettagli delle carte raccolti al telefono non rientrano nell'ambito della SCA e non richiedono l'autenticazione. Questa tipologia di pagamento spesso rientra nella categoria "ordini per posta e per telefono" ("Mail Order and Telephone Orders", in breve "MOTO"). Similmente ai pagamenti con esenzione, per le transazioni MOTO è necessario richiedere la deroga, ma sarà sempre la banca del titolare della carta a stabilire se accettare o rifiutare la transazione.

È un importante caso d'uso per qualsiasi azienda che accetta pagamenti telefonici ed è ampiamente supportato dalle banche. I pagamenti creati tramite la Dashboard Stripe vengono considerati automaticamente come pagamenti MOTO.

Se la tua azienda è conforme agli standard PCI e hai sviluppato un sistema proprietario per accettare ordini telefonici, le nostre API per i pagamenti ti consentono di considerare un pagamento come MOTO. Contattaci per abilitare questa funzionalità nel tuo account Stripe e accedere alla documentazione tecnica.

Pagamenti aziendali

L'esenzione potrebbe riguardare i pagamenti effettuati con carte cosiddette lodged (ad esempio, quando una carta aziendale utilizzata per gestire le spese di viaggio di un dipendente è gestita direttamente da un operatore di viaggi online) o i pagamenti aziendali completati tramite numeri di carte virtuali (utilizzate anche queste nel settore dei viaggi).

Ci aspettiamo che questa esenzione abbia un limitato utilizzo pratico al di fuori del settore dei viaggi a causa del suo ambito molto ristretto. L'esenzione stessa può essere richiesta solo dalla banca del titolare della carta, in quanto né l'azienda, né i fornitori di servizi di pagamento (come Stripe) sono in grado di rilevare se una carta appartiene a queste categorie.

Che succede se un'esenzione non va a buon fine?

Se da un lato le esenzioni hanno una significativa utilità, è importante ricordare che è la banca del titolare della carta a decidere se accettare una deroga. Le banche possono restituire nuovi codici di rifiuto per i pagamenti non andati a buon fine per mancata autenticazione. Tali pagamenti devono quindi essere nuovamente inviati al cliente con una richiesta di Strong Customer Authentication. I prodotti compatibili con la SCA di Stripe attivano automaticamente questa autenticazione aggiuntiva quando è richiesta dalle banche.

Se la tua azienda è interessata dalla SCA, ti consigliamo di prepararti a utilizzare un procedimento di riserva qualora un'esenzione venga rifiutata e il cliente debba effettuare l'autenticazione. Questo è particolarmente importante se effettui addebiti ai clienti quando questi non partecipano attivamente al flusso di pagamento (ad esempio nel caso di procedure esterne alla sessione) e il cliente deve tornare al tuo sito web o nell'app per completare l'autenticazione. Per ulteriori informazioni, consulta la nostra guida sulla progettazione dei flussi di pagamento per la SCA.

Ecco come Stripe ti aiuta a rispettare i requisiti dell'autenticazione forte del cliente

Le modifiche introdotte da questo regolamento avranno una forte influenza sul commercio su Internet in Europa. Le aziende interessate che non si preparano potrebbero registrare tassi di conversione significativamente più bassi via via che l'applicazione dell'autenticazione SCA si diffonde in tutte le banche europee.

Oltre a supportare modalità di autenticazione come il 3D Secure 2, riteniamo che la corretta gestione delle esenzioni rappresenti un pilastro chiave per creare un'esperienza di pagamento di eccellenza in grado di ridurre al minimo le complessità. I nostri prodotti di pagamento si adattano alle diverse normative di enti, banche e circuiti delle carte e applicano le esenzioni disponibili ai pagamenti a basso rischio così che venga attivato il 3D Secure quando necessario. E, via via che le regole cambiano, riusciremo a gestire e ad aggiornare la logica SCA in tempo reale, tenendo presenti le tempistiche di applicazione previste per ciascun paese.

Abbiamo implementato una API di pagamento di base che impiega la logica SCA di Stripe al fine di applicare l'esenzione giusta e di attivare il 3D Secure ove necessario. Stripe Checkout e Stripe Billing sono stati concepiti in aggiunta a questa API e possono applicare il 3D Secure in modo dinamico ove necessario.

Ulteriori informazioni sui prodotti Stripe compatibili con la SCA. Se hai domande o feedback, contattaci.

Tutto pronto per iniziare? Contattaci o crea un account.

Crea un account e inizia ad accettare pagamenti senza la necessità di stipulare contratti o di comunicare le tue coordinate bancarie. In alternativa, contattaci per progettare un pacchetto personalizzato per la tua azienda.