In questa guida, analizzeremo più da vicino i requisiti di autenticazione forte del cliente (SCA, Strong Customer Authentication) introdotti dalla direttiva PSD2 (Payments Services Directive 2) e le tipologie di pagamenti interessati. Verranno inoltre presentate le esenzioni disponibili che possono essere richieste per conto delle attività per offrire un'esperienza di pagamento senza complicazioni.
Abbiamo anche pubblicato una guida per aiutarti a capire quando aggiungere l'autenticazione nel percorso del cliente e una guida su come prepararsi all'imminente entrata in vigore della direttiva PSD3 (Payments Services Directive 3). Visita il nostro sito per ulteriori informazioni sui prodotti Stripe compatibili con la SCA.
Che cos'è l'autenticazione SCA?
L'autenticazione forte del cliente, anche detta autenticazione SCA (Strong Customer Authentication), è un requisito normativo europeo finalizzato a ridurre le frodi e a rendere più sicuri i pagamenti online e i pagamenti contactless offline. Per accettare i pagamenti e soddisfare i requisiti della SCA, devi creare un'autenticazione aggiuntiva nel flusso di pagamento. La SCA richiede che l'autenticazione utilizzi almeno due dei seguenti tre elementi.
Per consultare i requisiti SCA originali, è possibile accedere agli standard tecnici normativi. Le banche dovranno iniziare a rifiutare i pagamenti che richiedono la SCA e non rispettano questi criteri.
Quando è necessaria l'autenticazione forte del cliente?
L'autenticazione SCA si applica ai pagamenti online e ai pagamenti contactless offline disposti dai clienti nel Regno Unito e in Europa. Tutti i pagamenti elettronici (pagamenti con carta e bonifici bancari) richiedono l'autenticazione SCA, a meno che non si possa applicare un'esenzione o che la transazione non sia considerata fuori dal campo di applicazione della SCA, come nel caso delle transazioni avviate dall'esercente (ad esempio, l'addebito diretto).
Per i pagamenti con carta online, questi requisiti si applicano alle transazioni in cui sia l'attività che la banca del titolare della carta si trovano nello Spazio economico europeo (SEE).
Come autenticare un pagamento con carta
Al momento, la modalità più comune per autenticare un pagamento online con carta è il 3D Secure, uno standard di autenticazione supportato dalla stragrande maggioranza delle carte europee. L'applicazione del 3D Secure prevede in genere una fase di autenticazione aggiuntiva, successiva al pagamento, in cui la banca del titolare della carta chiede a quest'ultimo di fornire informazioni aggiuntive per completare il pagamento (ad esempio, un codice una tantum inviato al telefono o l'autenticazione dell'impronta digitale tramite l'app di mobile banking).
3D Secure 2 è il metodo principale per autenticare i pagamenti con carta online e per rispettare i requisiti SCA.
Le transazioni offline con carta di solito soddisfano i requisiti di autenticazione tramite inserimento del PIN. Le altre modalità di pagamento basate su carta, quali Apple Pay o Google Pay supportano già i flussi di pagamento con un livello di autenticazione integrato (biometrico o tramite inserimento della password). Si tratta di un metodo ideale affinché le attività offrano un'esperienza di pagamento fluida rispondendo al contempo ai requisiti.
Come funziona la responsabilità per le contestazioni per frode nel contesto di 3DS
Uno dei vantaggi dell'applicazione della SCA nel contesto dell'autenticazione a più fattori è che le attività possono ottenere una protezione dalla responsabilità in caso di contestazioni per frode.
Esenzioni all'autenticazione forte del cliente
Non tutti i pagamenti rientrano nell'ambito dell'autenticazione a più fattori ai sensi della SCA. Alcuni possono beneficiare di un'esenzione prevista dal regolamento oppure sono fuori dal campo di applicazione della SCA. Nei casi in cui l'esenzione è richiesta e accettata dalla banca del titolare della carta, la responsabilità delle contestazioni per frode resta a carico dell'attività.
I fornitori di servizi di pagamento come Stripe possono richiedere esenzioni quando elaborano il pagamento. La banca del titolare della carta riceverà la richiesta, valuterà il livello di rischio della transazione e deciderà quindi se approvare l'esenzione o se l'autenticazione è comunque necessaria. Con l'attivazione delle esenzioni per i pagamenti a basso rischio è possibile ridurre il numero di autenticazioni per un cliente e quindi la complessità e i tassi di abbandono.
Stripe si avvale del machine learning per determinare l'esenzione ottimale in ogni caso, per aiutarti a fornire ai tuoi clienti un'esperienza di checkout il più semplice possibile. Abbiamo progettato i nostri prodotti di pagamento compatibili con la SCA per aiutarti a sfruttare le esenzioni ove possibile per proteggere la conversione.
Le esenzioni più rilevanti per le attività che accettano pagamenti online sono:
Transazioni a basso rischio
Un fornitore di servizi di pagamento (come Stripe) può effettuare un'analisi del rischio in tempo reale, nota come TRA (Transaction Risk Analysis), per determinare se applicare l'autenticazione SCA a una transazione. Questa esenzione potrebbe essere applicabile solo se i tassi di frode complessivi del fornitore di servizi di pagamento per i pagamenti con carta non superano le seguenti soglie:
- 0,13% per applicare l'esenzione a transazioni di importo inferiore a 100 €/85 £
- 0,06% per applicare l'esenzione a transazioni di importo inferiore a 250 €/220 £
- 0,01% per applicare l'esenzione a transazioni di importo inferiore a 500 €/440 £
Tali soglie verranno convertite negli importi locali equivalenti, se pertinente.
Questa è una delle esenzioni più utili per le aziende e una delle più supportate dalle banche. L'ampia verifica in tempo reale di Stripe Radar ci permette di supportare questa esenzione per i nostri utenti.
Pagamenti inferiori a 30 €/25 £
Anche i pagamenti di importo ridotto possono essere esentati. Le transazioni inferiori a 30 € o 25 £ sono considerate "a basso valore" e potrebbero godere dell'esenzione dell'autenticazione SCA. Le banche comunque devono richiedere l'autenticazione se l'esenzione è già stata utilizzata cinque volte dall'ultima autenticazione andata a buon fine per il titolare della carta o se la somma dei pagamenti precedentemente derogati supera i 100 €/85 £. La banca del titolare della carta deve tenere traccia del numero di volte in cui è stata utilizzata l'esenzione e decidere se l'autenticazione è necessaria.
A causa delle rigide limitazioni, questa esenzione potrebbe non essere rilevante per molti pagamenti. Tuttavia, supportiamo questa esenzione per i nostri utenti.
Transazioni ricorrenti
L'esenzione è applicabile se il cliente effettua una serie di pagamenti ricorrenti dello stesso importo alla stessa attività. L'autenticazione SCA è necessaria per il primo pagamento del cliente, mentre i successivi potrebbero essere esentati dall'autenticazione forte del cliente.
Questa esenzione è molto utile per le attività che offrono abbonamenti ed è ampiamente supportata dalle banche europee. Se stai usando Stripe Billing per creare gli abbonamenti, applicheremo automaticamente questa esenzione, se pertinente, e ti aiuteremo a gestire le richieste di autenticazione nel caso in cui la banca del cliente rifiuti l'esenzione.
Transazioni avviate dall'esercente (inclusi gli abbonamenti variabili)
I pagamenti effettuati tramite carte salvate quando il cliente non è presente durante il flusso di pagamento (chiamati anche pagamenti esterni alla sessione) potrebbero essere considerati transazioni avviate dall'esercente. Tali pagamenti tecnicamente non rientrano nell'ambito di applicazione dell'autenticazione SCA. In pratica, effettuare un pagamento come transazione avviata dall'esercente è simile a richiedere un'esenzione. E, come per qualsiasi altra esenzione, decide la banca se applicare o meno l'autenticazione.
Per utilizzare le transazioni avviate dall'esercente, devi autenticare la carta al momento del primo salvataggio o del primo pagamento. Infine, dovrai ricevere un'autorizzazione dal cliente (un mandato) per eseguire addebiti successivi sulla carta.
È un importante caso d'uso per i modelli di business che si basano su pagamenti ritardati, addebitano abbonamenti con importo variabile o addebitano servizi aggiuntivi. È supportato dalla maggior parte delle banche europee e accettato se la transazione è considerata a basso rischio dalla banca.
L'API di Stripe consente di autenticare una carta al momento del salvataggio per utilizzarla in seguito e considerare i pagamenti successivi come "transazioni avviate dall'esercente". È importante che le attività utilizzino le API di Stripe più recenti per garantire la conformità alla SCA.
Vendite telefoniche
I dati delle carte raccolti al telefono non rientrano nell'ambito della SCA e non richiedono l'autenticazione. Questa tipologia di pagamento spesso rientra nella categoria "ordini postali e telefonici" ("Mail Order and Telephone Orders", in breve "MOTO"). Similmente ai pagamenti con esenzione, per le transazioni MOTO è necessario richiedere la deroga, ma sarà sempre la banca del titolare della carta a stabilire se accettare o rifiutare la transazione.
Si tratta di un caso d'uso importante per tutte le attività che accettano pagamenti telefonici ed è ampiamente supportato dalle banche. I pagamenti creati tramite la Dashboard Stripe possono essere considerati automaticamente pagamenti MOTO per questo caso d'uso.
Se la tua attività è conforme agli standard PCI e hai sviluppato un sistema proprietario per accettare ordini telefonici, le nostre API per i pagamenti ti consentono di considerare un pagamento come MOTO. Contattaci per abilitare questa funzionalità nel tuo account Stripe e accedere alla documentazione tecnica.
Pagamenti aziendali
L'esenzione potrebbe riguardare i pagamenti effettuati con carte cosiddette lodged (ad esempio, quando una carta aziendale utilizzata per gestire le spese di viaggio di un dipendente è gestita direttamente da un operatore di viaggi online) o i pagamenti aziendali completati tramite numeri di carte virtuali (utilizzate anche queste nel settore dei viaggi).
Questa esenzione ha un utilizzo pratico limitato al di fuori del settore dei viaggi a causa dell'ambito di applicazione molto ristretto. L'esenzione stessa può essere richiesta solo dalla banca del titolare della carta, in quanto né l'azienda né i fornitori di servizi di pagamento (come Stripe) sono in grado di rilevare se una carta appartiene a queste categorie.
Beneficiari affidabili
Quando completi l'autenticazione per un pagamento, i clienti hanno la possibilità di aggiungere all'elenco dei consentiti un'attività che considerano affidabile per evitare di autenticare i pagamenti futuri. Tali aziende vengono quindi incluse nell'elenco dei beneficiari affidabili gestito dalla banca del cliente o dal fornitore di servizi di pagamento.
Sebbene l'aggiunta all'elenco dei consentiti semplifichi acquisti ripetuti o abbonamenti per i clienti, l'adozione di questa funzionalità tra gli istituti bancari è stata molto ridotta.
Che succede se un'esenzione non va a buon fine?
Se da un lato le esenzioni hanno una significativa utilità, è importante ricordare che è la banca del titolare della carta a decidere se accettare una deroga. Le banche possono restituire codici di rifiuto specifici per i pagamenti che non sono andati a buon fine perché l'esenzione non è stata accettata e, di conseguenza, il pagamento non è stato autenticato. Tali pagamenti devono quindi essere nuovamente inviati al cliente con una richiesta di Strong Customer Authentication. I prodotti compatibili con l'autenticazione SCA di Stripe attivano automaticamente questa autenticazione aggiuntiva quando è richiesta dalle banche.
Se la tua attività è interessata dalla SCA, ti consigliamo di prepararti a utilizzare un procedimento di riserva qualora un'esenzione venga rifiutata e il cliente debba effettuare l'autenticazione. Questo è particolarmente importante se effettui addebiti ai clienti quando questi non partecipano attivamente al flusso di pagamento (ad esempio nel caso di procedure esterne alla sessione) e il cliente deve tornare al tuo sito web o nell'app per completare l'autenticazione. Per ulteriori informazioni, consulta la nostra guida sulla progettazione dei flussi di pagamento per la SCA.
Ecco come Stripe ti aiuta a rispettare i requisiti dell'autenticazione forte del cliente
Le modifiche introdotte da questo regolamento avranno un forte impatto sul commercio online in Europa. Le attività interessate che non aderiscono a questi requisiti potrebbero registrare un impatto sui tassi di conversione, via via che le norme SCA si diffondono in tutte le banche europee.
Oltre a supportare modalità di autenticazione come il 3D Secure 2, riteniamo che la corretta gestione delle esenzioni rappresenti un pilastro chiave per creare un'esperienza di pagamento ottimizzata in grado di contenere le frodi e ridurre anche al minimo le complicazioni per i clienti. I nostri prodotti di pagamento si adattano alle diverse normative di enti, banche e circuiti delle carte e applicano le esenzioni previste ai pagamenti a basso rischio così che venga attivato il 3D Secure solo quando necessario. Anche i nostri modelli avanzati di machine learning ti saranno utili per gli adattamenti alle modifiche delle norme SCA.
Modifiche imminenti
Le autorità di regolamentazione dell'UE e del Regno Unito stanno inoltre lavorando alla revisione delle norme che definiranno il futuro dell'autenticazione SCA in entrambe le aree. La Commissione europea ha da poco rivisto il quadro PSD2 attuale e ha formulato le proposte per la terza direttiva sui servizi di pagamento e la normativa per i servizi di pagamento. Stripe ha pubblicato questa guida che entra nel dettaglio di ciò che le attività possono aspettarsi con le nuove regole e stiamo monitorando da vicino i progressi per regole simili nel mercato del Regno Unito.
Scopri di più sui prodotti Stripe compatibili con SCA. Se hai domande o feedback, contattaci.