Autenticazione SCA

Cosa devono sapere le aziende in Internet circa la nuova regolamentazione europea

Ultimo aggiornamento: 18 ottobre 2019

Introduzione

Il 14 settembre 2019 sono stati introdotti in Europa i nuovi requisiti per l’autenticazione dei pagamenti online, facenti parte della [seconda direttiva sui servizi di pagamento (PSD2)(https://en.wikipedia.org/wiki/Payment_Services_Directive#Revised_Directive_on_Payment_Services_(PSD2)). Prevediamo che la piena applicazione di questi requisiti avverrà entro il 31 dicembre 2020.

In questa guida esamineremo più in dettaglio questi nuovi requisiti, noti come autenticazione SCA (Strong Customer Authentication) e i tipi di pagamenti su cui avranno impatto. Illustreremo inoltre le esenzioni che possono essere utilizzate per le transazioni a basso rischio allo scopo di offrire un’esperienza di pagamento più fluida.

Abbiamo pubblicato sia una pagina a parte con le informazioni più aggiornate sui tempi di applicazione della SCA che una guida per aiutarti a individuare il momento in cui aggiungere l’autenticazione nel percorso del tuo cliente. Per ulteriori informazioni sui prodotti conformi alla SCA di Stripe, visita il nostro sito.

Che cos’è l’autenticazione SCA?

L’autenticazione forte del cliente, anche detta autenticazione SCA (Strong Customer Authentication), è un nuovo requisito normativo europeo finalizzato a ridurre le frodi e a rendere più sicuri i pagamenti online. Per accettare i pagamenti e soddisfare i requisiti della SCA, devi creare un’autenticazione aggiuntiva nel tuo flusso di completamento delle transazioni. La SCA richiede che l’autenticazione utilizzi almeno due dei seguenti tre elementi.

Informazioni NOTE solo al cliente (ad esempio, password o PIN)
Oggetti POSSEDUTI solo dal cliente (ad esempio, telefono o token hardware)
Caratteristiche che POSSIEDE solo il cliente (ad esempio, riconoscimento delle impronte o del volto)

(Se desideri consultare i requisiti SCA originali, li trovi disponibili nelle Norme tecniche di regolamentazione o RTS.)

Le banche dovranno iniziare a rifiutare i pagamenti che richiedono l’autenticazione SCA e che non soddisfano questi criteri. Anche se il regolamento è entrato in vigore il 14 settembre 2019, prevediamo che le autorità di controllo richiederanno la piena applicazione dei requisiti entro il 31 dicembre 2020.

Quando è richiesta l’autenticazione SCA

L’autenticazione SCA (autenticazione forte del cliente) è obbligatoria per i pagamenti online "avviati dal cliente" all’interno dell’Europa. Di conseguenza, la maggior parte dei pagamenti con carta e tutti i bonifici bancari richiedono l’autenticazione SCA. Gli addebiti diretti ricorrenti, d’altro canto, sono considerati "avviati dall’esercente" e non richiedono un’autenticazione forte. Ad eccezione dei pagamenti contactless, anche i pagamenti con carta effettuati di persona non sono influenzati dal nuovo regolamento.

Per i pagamenti online con carta, questi requisiti si applicano alle transazioni in cui sia l’azienda che la banca del titolare della carta si trovano nello Spazio economico europeo (SEE). Ci aspettiamo che il regolamento SCA venga applicato anche nel Regno Unito, indipendentemente dall’esito della Brexit.

Come autenticare un pagamento

Attualmente, la modalità più comune per autenticare un pagamento online con carta dipende da 3D Secure, uno standard di autenticazione supportato dalla maggior parte delle carte europee. L’applicazione di 3D Secure in genere aggiunge un ulteriore passaggio dopo il completamento della transazione, in cui il titolare della carta viene invitato dalla propria banca a fornire ulteriori informazioni per completare un pagamento (ad esempio, un codice monouso inviato sul telefono o l’autenticazione delle impronte digitali tramite l’app di mobile banking).

3D Secure 2, la nuova versione del protocollo di autenticazione che uscirà nel 2019, rappresenterà il metodo principale per autenticare i pagamenti online con carta e soddisfare i nuovi requisiti SCA. Questa nuova versione introduce una migliore esperienza utente, che contribuirà a ridurre alcuni degli attriti che l’autenticazione aggiunge al flusso di pagamento.

Altri metodi di pagamento tramite carta, come Apple Pay o Google Pay già supportano flussi di pagamento con un livello di autenticazione integrato (biometrico o password). Per le aziende, queste soluzioni possono rappresentare un’ottima modalità per offrire un’esperienza di pagamento senza attriti e che al tempo stesso soddisfa i nuovi requisiti.

Inoltre, prevediamo che molti altri comuni metodi di pagamento europei, come ad esempio iDEAL, Bancontact o Multibanco, seguano le nuove regole della SCA senza modificare sostanzialmente l’esperienza utente.

Esenzioni all’autenticazione SCA

In base a questo nuovo regolamento, determinati tipi di pagamenti a basso rischio possono essere esentati dall’autenticazione SCA. I prestatori di servizi di pagamento come Stripe potranno richiedere tali esenzioni durante l’elaborazione del pagamento. La banca del titolare della carta riceverà quindi la relativa richiesta, valuterà il livello di rischio della transazione e infine deciderà se approvare o meno l’esenzione e se ritenere o meno necessaria l’autenticazione.

Integrare l’autenticazione nel flusso di completamento delle transazioni introduce un ulteriore passaggio che può determinare attrito e aumentare l’abbandono del cliente. L’utilizzo di esenzioni per pagamenti a basso rischio può ridurre il numero di autenticazioni necessarie per un cliente e ridurre questi problemi. Abbiamo progettato i nostri nuovi prodotti di pagamento conformi alla SCA per consentirti di usufruire delle esenzioni quando possibile, in modo da proteggere il tuo tasso di conversione.

Le esenzioni più rilevanti per le transazioni in Internet sono:

Transazioni a basso rischio

Un prestatore di servizi di pagamento (come Stripe) è autorizzato a effettuare un’analisi del rischio in tempo reale per determinare se applicare l’autenticazione SCA a una transazione. Questa possibilità vale solo se i tassi di frode globali per i pagamenti con carta del fornitore dei servizi di pagamento o della banca non superano le seguenti soglie:

  • 0,13% per esentare transazioni inferiori a 100 €
  • 0,06% per esentare transazioni inferiori a 250 €
  • 0,01% per esentare transazioni inferiori a 500 €

Queste soglie verranno convertite in importi equivalenti locali, laddove rilevante.

Nei casi in cui il solo tasso di frode del prestatore di servizi di pagamento sia inferiore alla soglia, ma quello della banca del titolare della carta sia al di sopra di essa, ci aspettiamo che la banca rifiuti l’esenzione e richieda l’autenticazione.

Pagamenti inferiori a € 30

Questa è un’altra esenzione che può essere utilizzata per pagamenti di importo ridotto. Le transazioni inferiori a 30 € sono considerate "a basso valore" e potrebbero essere esenti dall’autenticazione SCA. Le banche, tuttavia, devono richiedere l’autenticazione se l’esenzione è stata utilizzata cinque volte dall’ultima autenticazione riuscita del titolare della carta o se la somma dei pagamenti precedentemente esentati supera i 100 €. La banca del titolare della carta deve tenere traccia del numero di volte in cui questa esenzione è stata utilizzata e decidere se l’autenticazione sia necessaria.

Abbonamenti di importo fisso

Questa esenzione può essere applicata quando il cliente effettua una serie di pagamenti ricorrenti per lo stesso importo, alla stessa azienda. L’autenticazione SCA è richiesta per il primo pagamento del cliente, ma gli addebiti successivi possono esserne esenti.

Transazioni avviate dall’esercente (inclusi abbonamenti variabili)

I pagamenti effettuati con carte salvate quando il cliente non è più presente nel flusso di completamento della transazione (a volte detti "all’esterno della sessione") possono essere considerati transazioni avviate dall’esercente. Tali pagamenti sono tecnicamente esclusi dall’ambito di applicazione dell’autenticazione SCA. In pratica, contrassegnare un pagamento come "transazione avviata dall’esercente" è ritenuto simile alla richiesta di esenzione. E, come per qualsiasi altra esenzione, spetta in ogni caso alla banca decidere se l’autenticazione sia necessaria per la transazione.

Per utilizzare le transazioni avviate dall’esercente, è necessario autenticare la carta al momento del salvataggio o in occasione del primo pagamento. Infine, devi ottenere il consenso del cliente (anche detto "mandato") allo scopo di addebitare un importo sulla carta in un secondo momento.

Beneficiari attendibili

Quando completano l’autenticazione per un pagamento, i clienti possono avere la possibilità di inserire in una whitelist un’azienda di cui si fidano per evitare di dover autenticare futuri acquisti. Tali aziende verranno incluse in un elenco di "beneficiari attendibili" gestito dalla banca del cliente o dal prestatore di servizi di pagamento.

Vendite telefoniche

La raccolta di dettagli relativi alle carte tramite telefono non rientra nell’ambito della normativa SCA e non richiede l’autenticazione. Questo tipo di pagamento viene a volte indicato come "Ordine postale e ordini telefonici" (MOTO, Mail Order and Telephone Orders). Come per i pagamenti esenti, anche le transazioni MOTO devono essere contrassegnate come tali, con la banca del titolare della carta che prende la decisione finale sull’accettazione o sul rifiuto della transazione.

Pagamenti aziendali

Questa esenzione può riguardare pagamenti effettuati con carte "depositate" (ad esempio, se una carta aziendale utilizzata per la gestione delle spese di viaggio dei dipendenti è depositata direttamente presso un’agenzia di viaggi online), nonché i pagamenti aziendali effettuati utilizzando numeri di carte virtuali (anche questa soluzione è impiegata nel settore dei viaggi).

Cosa accade se un’esenzione ha esito negativo?

Benché le esenzioni siano molto utili, è importante ricordare che in ultima analisi è la banca del titolare della carta a decidere se accettare o meno un’esenzione. Le banche possono restituire nuovi codici di rifiuto per i pagamenti con esito negativo dovuti all’assenza di autenticazione. Questi pagamenti devono quindi essere nuovamente inviati al cliente con una richiesta di autenticazione SCA. I prodotti conformi alla SCA di Stripe attivano automaticamente questa autenticazione aggiuntiva, quando richiesto dalle banche.

Se la tua attività è interessata dall’autenticazione SCA, ti consigliamo di preparare una piano di riserva nel caso in cui l’esenzione venga rifiutata e il tuo cliente debba autenticarsi. Questo è particolarmente importante se effettui addebiti ai clienti quando non sono più attivamente presenti nel flusso di pagamento (quando sono all’esterno della sessione) e devono tornare a collegarsi al tuo sito Web o alla tua app per autenticarsi.

In che modo Stripe ti aiuta a prepararti all’autenticazione SCA

Le modifiche introdotte da questo nuovo regolamento sono destinate a incidere profondamente sul commercio su Internet in Europa. Anche se prevediamo che la piena applicazione avverrà entro il 31 dicembre 2020, le aziende interessate che non si preparano per questi nuovi requisiti potrebbero assistere a una significativa riduzione dei propri tassi di conversione man mano che le banche europee adotteranno la SCA.

Oltre a supportare nuovi metodi di autenticazione come 3D Secure 2, riteniamo che la gestione efficace delle esenzioni sia una componente fondamentale per realizzare un’esperienza di pagamento ottimale che sia in grado di ridurre al minimo l’attrito. I nostri nuovi prodotti per i pagamenti ottimizzano il rispetto delle diverse regolamentazioni relative a normative, banche e circuito carte e applicano le esenzioni pertinenti per i pagamenti a basso rischio allo scopo di attivare 3D Secure solo quando effettivamente richiesto. Man mano che queste regole cambieranno, saremo in grado di mantenere e aggiornare la logica SCA in tempo reale, tenendo in considerazione i tempi di applicazione di ciascun paese.

Abbiamo rilasciato una nuova API di base per i pagamenti che utilizza la logica SCA di Stripe allo scopo di applicare l’esenzione corretta e attivare 3D Secure quando necessario. Il nostro nuovo Checkout e Stripe Billing sono entrambi basati su questa API e sono in grado di applicare 3D Secure in modo dinamico quando richiesto.

Leggi ulteriori informazioni sui prodotti Stripe conformi alla SCA. In caso di domande o commenti, non esitare a contattarci.

Torna alle guide
You’re viewing our website for Singapore, but it looks like you’re in the United States. Switch to the United States site