3D Secure 2

Uno standard di autenticazione che riduce le frodi e favorisce maggiore sicurezza

Foto profilo di Olivier Godement
Olivier Godement

Olivier lavora in Stripe e ha il compito di aiutare le aziende a prepararsi per l'autenticazione forte del cliente (SCA).

  1. Introduzione
  2. Riepilogo
  3. Breve panoramica del 3D Secure 1
  4. Quali sono le differenze con il 3D Secure 2
    1. Autenticazione priva di complessità
    2. Migliore esperienza d'uso
  5. 3D Secure 2 e autenticazione forte del cliente
  6. In che modo Stripe supporta il 3D Secure 2?

L'obiettivo dello standard 3D Secure, meglio conosciuto con i suoi nomi commerciali come Visa Secure, Mastercard Identity Check o America Express SafeKey, è contrastare le frodi e di garantire maggiore sicurezza nei pagamenti online.

Rispetto alla prima versione, il 3D Secure 2 (3DS2) introduce la cosiddetta autenticazione senza complessità e migliora l'esperienza d'acquisto. Rappresenta il metodo più utilizzato per adeguarsi ai requisiti dell'autenticazione forte del cliente (SCA) in Europa e il meccanismo chiave per consentire alle aziende di richiedere le esenzioni SCA.

Stripe supporta il 3D Secure 2 nelle nuove API per pagamenti, negli SDK per dispositivi mobili e in Stripe Checkout.

Breve panoramica del 3D Secure 1

Nonostante le misure di sicurezza aggiuntive, come il sistema di verifica degli indirizzi (AVS, Address Verification System) o la verifica del codice CVC utilizzati in alcuni mercati, i pagamenti con carte di credito e di debito rappresentano comunque un elevato rischio di frode (ecco perché i clienti hanno la possibilità di contestare i pagamenti fraudolenti effettuati con la loro carta).

Per risolvere questo problema, i circuiti delle carte hanno implementato la prima versione del 3D Secure nel 2001. Se acquisti regolarmente beni e servizi online, conoscerai sicuramente il flusso di autenticazione 3D Secure: inserisci i dati della carta per confermare un pagamento, quindi viene effettuato il reindirizzamento a un'altra pagina dove la banca ti chiede un codice o una password per approvare l'acquisto. Poiché la pagina di autenticazione è in co-branding con il circuito della carta, la maggior parte dei clienti ha più familiarità con i nomi commerciali del 3D Secure, come Visa Secure, Mastercard Identity Check o American Express SafeKey.

Per le aziende, i vantaggi del 3D Secure sono chiari: richiedere ulteriori informazioni consente di implementare un livello aggiuntivo di protezione contro le frodi e di accettare solo i pagamenti con carta provenienti da clienti legittimi. Come incentivo aggiuntivo, l'autenticazione di un pagamento tramite 3D Secure trasferisce la responsabilità per gli storni dovuti a frode dalla tua azienda alla banca del tuo cliente. Questa protezione aggiuntiva spiega perché il 3D Secure viene spesso applicato agli acquisti con somme ingenti, quali i biglietti aerei.

Purtroppo, l'utilizzo del 3D Secure 1 comporta anche alcuni svantaggi: la fase aggiuntiva richiesta per completare il pagamento aggiunge complessità al flusso di pagamento e può comportare l'abbandono del carrello da parte dei consumatori. Inoltre, diverse banche impongono ai propri titolari di carte di creare e ricordare una password statica per completare la verifica 3D Secure. Tali password sono facili da dimenticare, cosa che può comportare l'aumento dei tassi di abbandono del carrello.

Quali sono le differenze con il 3D Secure 2

EMVCo, un'azienda composta dai sei principali circuiti di carte, ha implementato una versione più recente del 3D Secure, il 3D Secure 2 (noto anche come EMV 3-D Secure, 3D Secure 2.0 o 3DS2), che mira a risolvere molte delle problematiche legate al 3D Secure 1 introducendo un'autenticazione meno complessa e un'esperienza utente migliorata.

Autenticazione priva di complessità

Con il 3D Secure 2, le aziende e i relativi fornitori di servizi di pagamento possono inviare alla banca del titolare della carta un maggior numero di dati per transazione, quali ad esempio dati specifici per il pagamento come l'indirizzo di spedizione, oltre a dati contestuali come ad esempio l'ID del dispositivo o la cronologia delle transazioni precedenti del cliente.

La banca del titolare della carta può utilizzare tali informazioni per valutare il livello di rischio della transazione e selezionare una risposta appropriata:

  • Se i dati sono sufficienti perché la banca possa fidarsi del fatto che il titolare della carta stia completando l'acquisto, la transazione completa un flusso senza complessità e l'autenticazione viene completata senza alcun inserimento da parte del titolare della carta.

  • Se la banca decide che sono necessarie ulteriori prove, occorrerà completare un flusso di verifica e al cliente verrà chiesto di fornire informazioni aggiuntive per autenticare il pagamento.

Sebbene il 3D Secure 1 supportasse già una modalità con limitazioni di autenticazione basata sui rischi, la possibilità di condividere altri dati tramite il 3D Secure 2 mira ad aumentare il numero di transazioni che possono essere autenticate senza ulteriori inserimenti da parte del cliente.

Esempio di flusso di autenticazione di un pagamento con 3D Secure 2 e supporto del fallback per 3D Secure 1

Anche se una transazione segue un flusso "senza attriti", l'esercente usufruirà comunque della traslazione di responsabilità, come per le transazioni soggette al normale processo di autorizzazione.

Migliore esperienza d'uso

A differenza del protocollo 3D Secure 1, il 3D Secure 2 è stato progettato dopo l'avvento degli smartphone e consente agli istituti bancari di offrire più facilmente esperienze di autenticazione innovative tramite le loro app di mobile banking. A volte questa procedura viene chiamata "autenticazione fuori banda". Anziché immettere una password o ricevere un SMS, il titolare della carta può autenticare un pagamento tramite l'app della banca utilizzando semplicemente l'impronta digitale o persino il riconoscimento facciale. Ci aspettiamo che molte banche adottino queste modalità di autenticazione più semplici con 3D Secure 2.

Il secondo miglioramento dell'esperienza d'uso è che 3D Secure 2 è in grado di incorporare il flusso di autenticazione direttamente nelle procedure di completamento della transazione, sia da web che da dispositivo mobile, senza bisogno di reindirizzamenti. Se un cliente si autentica sul tuo sito o sulla tua pagina web, la richiesta di autenticazione con 3D Secure viene visualizzata per impostazione predefinita sulla pagina di completamento della transazione (flusso nel browser).

3D Secure 2 browser flow

Se stai implementando un'app, gli SDK per dispositivi mobili concepiti per il 3D Secure 2 ti consentono di creare un flusso di autenticazione interno all'app e di evitare completamente i reindirizzamenti del browser.

3D Secure 1: flusso di autenticazione su dispositivo mobile con reindirizzamento su browser

3D Secure 2: flusso di autenticazione su dispositivo mobile nell'app

3D Secure 2 e autenticazione forte del cliente

L'applicazione dell'autenticazione forte del cliente (SCA, Strong Customer Authentication) rende il 3D Secure 2 molto importante se ti rivolgi a consumatori europei. Poiché la normativa prevede di rinforzare l'autenticazione per i pagamenti europei, l'esperienza utente migliorata del 3D Secure 2 può ridurre l'impatto negativo sulla conversione.

Il protocollo 3D Secure 2 da solo consente anche ai fornitori di servizi di pagamento come Stripe di richiedere esenzioni alla SCA e di ignorare l'autenticazione per i pagamenti a basso rischio. I pagamenti che richiedono la SCA dovranno superare la verifica, mentre le transazioni per cui è prevista l'esenzione della SCA potranno seguire il flusso senza complessità. Tuttavia, vale la pena notare che se il fornitore di servizi di pagamento richiede un'esenzione per i pagamenti che richiedono la SCA e la transazione completa il flusso senza complessità, il pagamento non beneficerà della traslazione di responsabilità.

In che modo Stripe supporta il 3D Secure 2?

Stripe supporta il flusso nel browser del 3D Secure 2 tramite le API di pagamento e Checkout, per permetterti di applicare in modo dinamico il 3D Secure ai pagamenti ad alto rischio, al fine di tenere alla larga le frodi dalla tua attività. Applicheremo il 3D Secure 2 quando supportato dalla banca del titolare della carta o il 3D Secure 1 quando non è ancora disponibile la nuova versione dell'autenticazione.

Se stai implementando un'applicazione per dispositivi mobili, con i nostri SDK per iOS e Android potrai creare un flusso di autenticazione integrato per offrire un'esperienza di autenticazione nativa ed evitare di reindirizzare il consumatore all'esterno dell'applicazione. Anche se la banca del titolare della carta non supporta ancora il 3D Secure 2, i nostri SDK per dispositivi mobili mostreranno in modo dinamico il 3D Secure 1 in una vista web integrata nella tua applicazione.

Ricevi ulteriori informazioni sulle API per pagamenti, sugli SDK per dispositivi mobili e su Stripe Checkout per iniziare a usare 3D Secure 2.

Tutto pronto per iniziare? Contattaci o crea un account.

Crea un account e inizia ad accettare pagamenti senza la necessità di stipulare contratti o di comunicare le tue coordinate bancarie. In alternativa, contattaci per progettare un pacchetto personalizzato per la tua azienda.