Le perdite globali dovute alle frodi nei pagamenti online nel settore dell'e-commerce sono state stimate in circa 44 miliardi di dollari nel 2024. Ma chi sostiene il costo quando una transazione risulta fraudolenta? Dipende da come è stato elaborato il pagamento, da quali strumenti di sicurezza sono stati utilizzati e da quali regole sono state applicate dietro le quinte. Questo passaggio di responsabilità viene chiamato traslazione di responsabilità ed è un aspetto importante del sistema di pagamento. Purtroppo molte attività ci pensano solo quando è troppo tardi.

Di seguito spieghiamo esattamente come funziona la traslazione di responsabilità, quando si verifica e come utilizzarla a proprio vantaggio.

Di cosa tratta questo articolo?

• Cos'è una traslazione di responsabilità nel contesto dei pagamenti con carta?
  
• Quando avviene una traslazione di responsabilità e chi diventa responsabile?
  
• In che modo la traslazione di responsabilità influisce sulla strategia di prevenzione delle frodi?
  

Cos'è una traslazione di responsabilità nel contesto dei pagamenti con carta?

Una traslazione di responsabilità definisce chi è responsabile quando un pagamento viene identificato come fraudolento. Tale responsabilità può variare a seconda di chi nella catena di pagamento ha utilizzato i giusti strumenti di sicurezza. Dipende da quale parte non è riuscita a proteggere la transazione.

Se un'attività utilizza protocolli di sicurezza aggiornati, come lettori di chip EMV (Europay, Mastercard e Visa) e 3D Secure (3DS), e le frodi continuano a verificarsi, la responsabilità in genere passa all'emittente della carta. Se l'attività ignora queste protezioni, l'emittente non è più responsabile. L'attività (o la banca acquirente) diventa finanziariamente responsabile dello storno.

Questo cambio di responsabilità è intenzionale. I circuiti delle carte di credito lo utilizzano per promuovere l'adozione di una maggiore sicurezza. Il messaggio è chiaro: implementa un'autenticazione più efficace e non sarai tu a coprire le perdite dovute alle frodi.

Le regole dei circuiti delle carte di credito seguono una logica rigorosa per la valutazione della responsabilità:

• L'attività ha implementato il metodo di autenticazione disponibile?

• La transazione è stata elaborata tramite il canale corretto?

Se la riposta a entrambe le domande è positiva, l'attività è protetta. In caso contrario, è esposta.

Quando avviene una traslazione di responsabilità e chi diventa responsabile?

La traslazione di responsabilità non si applica a tutte le transazioni. Si verifica solo quando determinate tecnologie o protocolli vengono (o non vengono) utilizzati per rilevare e prevenire le frodi. Se tali condizioni sono soddisfatte, il rischio di frode si trasferisce dall'attività alla società emittente. In caso contrario, la responsabilità è dell'azienda.

Analizziamo più nel dettaglio quando e perché si verifica la traslazione di responsabilità per i diversi tipi di transazione.

Transazioni con carta con chip EMV

Se un cliente presenta una carta con chip EMV per il pagamento, ma l'attività non la elabora utilizzando un lettore di chip, l'attività diventa responsabile di qualsiasi frode legata a tale transazione. Ciò significa che:

• Se l'attività non utilizza un lettore EMV, ma la carta è dotata di un chip, l'attività (o la sua banca acquirente) si assume la responsabilità della perdita.

• Se l'attività utilizza un lettore EMV per la carta con chip, la società emittente è probabilmente responsabile.

Ciò non riguarda le contestazioni non correlate a frodi con carta, come i reclami relativi a "prodotti danneggiati". L'attività ne è ancora responsabile.

Transazioni online

La traslazione di responsabilità per i pagamenti online o mobili di solito dipende dall'uso dell'autenticazione 3DS e dall'esito di questa operazione.

• Se una transazione viene autenticata tramite 3DS, la responsabilità passa alla banca del titolare della carta.

• Se l'autenticazione 3DS non viene utilizzata, non funziona o non è disponibile, l'attività è responsabile.

Se il titolare della carta dichiara in seguito di non aver autorizzato l'addebito, la società emittente è responsabile solo se l'autenticazione è stata completata. Anche se la transazione non è stata autenticata perché la società non aderisce al 3DS o si verifica un errore, la responsabilità di solito non passa alla società emittente.

Transazioni contactless e con wallet

Molti wallet (ad es. Apple Pay, Google Pay) danno diritto alla traslazione di responsabilità grazie al loro sistema di tokenizzazione e autenticazione. Spesso, queste transazioni contengono una prova crittografica della verifica del titolare della carta tramite biometria o credenziali del dispositivo. In presenza di tale prova, la responsabilità passa generalmente alla società emittente.

Transazioni senza opzioni di autenticazione

Non tutti i canali, tra cui pagamenti per posta/ordine telefonico (MOTO), consentono l'autenticazione. In questi casi, la responsabilità è generalmente a carico dell'attività perché la transazione non può essere verificata in tempo reale.

In che modo la traslazione di responsabilità influisce sulla strategia di prevenzione delle frodi?

La traslazione di responsabilità è uno strumento decisionale. Definisce il modo in cui gestisci il rischio, quali misure di sicurezza adotti al momento del pagamento e come riesci a bilanciare la prevenzione delle frodi con l'esperienza del cliente.

Ti aiuta a decidere quando aggiungere l'autenticazione

3DS ti offre qualcosa che la maggior parte degli strumenti antifrode non è in grado di offrire: la protezione dalla responsabilità finanziaria. Ciò lo rende una valida alternativa, soprattutto per le transazioni che attivano segnali di rischio, come ordini di valore elevato, carte internazionali e clienti al primo acquisto.

Alcune attività utilizzano 3DS in modo selettivo. Ad esempio, utilizzano 3DS per le transazioni rischiose per sottrarsi alla responsabilità, ma saltano l'autenticazione con le transazioni a basso rischio per ridurre al minimo le difficoltà di pagamento e preservare i tassi di conversione. Non trattano ogni cliente come una minaccia, ma utilizzano la traslazione di responsabilità dove è più importante.

Tuttavia, in alcune aree geografiche, le normative impongono l'adozione dell'autenticazione 3DS per tutte le transazioni online.

Cambia il modo in cui interpreti i punteggi di rischio

Quando sai che una transazione beneficia della traslazione di responsabilità (perché l'autenticazione 3DS è andata a buon fine o è stato utilizzato il chip), potresti decidere di approvarla anche in presenza indicatori di frode. Viceversa, se una transazione non è idonea per la traslazione di responsabilità, potresti voler aumentare il livello di controllo. Ciò potrebbe significare richiedere ulteriori verifiche, sottoporla a revisione manuale o bloccarla del tutto.

Riformula il costo delle frodi

Una traslazione di responsabilità riuscita significa che la società emittente, e non la tua attività, assorbe la perdita. Di conseguenza si riduce l'esposizione finanziaria diretta, ma le frodi comportano comunque costi indiretti, quali:

• Perdita dell'inventario

• Gestione dell'escalation delle controversie

• Segnalazioni da part del circuito delle carte di credito per tassi di frode elevati

Sebbene la traslazione di responsabilità riduca l'impatto della frode, non elimina il danno. Ti conviene comunque prevenirlo quando puoi.

La strategia complessiva dipende dal modello di business, dal profilo di rischio e dall'area geografica. L'UE, ad esempio, richiede l'autenticazione forte del cliente (SCA) per tutti i pagamenti online e l'autenticazione 3DS aggiornata soddisfa questo requisito. Negli Stati Uniti e in altre aree geografiche, l'autenticazione 3DS è opzionale. Ciò ti offre maggiore flessibilità, ma anche più decisioni da prendere. Se operi a livello globale, probabilmente finirai per utilizzare una strategia ibrida: 3DS ovunque sia richiesto e un approccio basato sul rischio altrove.