Autenticazione SCA

Cosa devono sapere le aziende in Internet circa la nuova regolamentazione europea

Ultimo aggiornamento 4 maggio 2020

Introduzione

Il 14 settembre 2019, sono stati introdotti nuovi requisiti per l’autenticazione dei pagamenti online in Europa come parte della seconda Direttiva europea sui servizi di pagamento (Second Payment Services Directive, PSD2). Si prevede che tali requisiti vengano applicati nel corso del 2020 e del 2021.

In questa guida, analizzeremo nel dettaglio tali nuovi requisiti noti con il nome di Strong Customer Authentication (SCA) e i tipi di pagamenti interessati. Illustreremo inoltre le esenzioni applicabili alle transazioni a basso rischio per offrire un’esperienza di completamento della transazione priva di complessità.

Abbiamo pubblicato una pagina separata con le informazioni aggiornate sulle tempistiche di applicazione dell’autenticazione SCA, oltre a una guida per aiutarti a capire quando aggiungere la procedura di autenticazione alla tua esperienza d’uso. Consulta il nostro sito per ulteriori informazioni sui prodotti Stripe compatibili con la SCA.

Che cos’è l’autenticazione SCA?

L’autenticazione forte del cliente, anche detta autenticazione SCA (Strong Customer Authentication), è un nuovo requisito normativo europeo finalizzato a ridurre le frodi e a rendere più sicuri i pagamenti online. Per accettare i pagamenti e soddisfare i requisiti della SCA, devi creare un’autenticazione aggiuntiva nel tuo flusso di completamento delle transazioni. La SCA richiede che l’autenticazione utilizzi almeno due dei seguenti tre elementi.

Informazioni NOTE solo al cliente (ad esempio, password o PIN)
Oggetti POSSEDUTI solo dal cliente (ad esempio, telefono o token hardware)
Caratteristiche che POSSIEDE solo il cliente (ad esempio, riconoscimento delle impronte o del volto)

Per leggere i requisiti per la SCA originali, consulta i Regulatory Technical Standard o RTS, gli standard tecnici normativi.

Le banche dovranno iniziare a rifiutare i pagamenti che impongono la SCA e non rispondono a tale criterio. Anche se il regolamento è stato introdotto il 14 settembre 2019, ci aspettiamo che i requisiti verranno applicati dalle autorità di controllo nel corso del 2020 e del 2021.

Quando è obbligatoria la Strong Customer Authentication?

L’autenticazione SCA si applica ai pagamenti online "avviati dal cliente" sul territorio europeo. Come risultato, la maggior parte dei pagamenti con carta e tutti i bonifici bancari impongono l’autenticazione SCA. Per contro, gli addebiti diretti ricorrenti sono considerati come "avviati dall’esercente" e non richiedono questo tipo di autenticazione. Ad eccezione dei pagamenti contactless, i pagamenti con carta di persona non sono interessati da questa nuova normativa.

Per i pagamenti online tramite carta, tali requisiti si applicano alle transazioni in cui sia la banca dell’azienda sia l’istituto bancario del titolare della carta si trovano nello Spazio economico europeo (SEE). Ci si aspetta che il regolamento SCA sia applicato nel Regno Unito, a prescindere dalla Brexit.)

Come eseguire l’autenticazione di un pagamento

Al momento, il modo più utilizzato per autenticare un pagamento online tramite carta è il 3D Secure, uno standard di autenticazione supportato dalla grande maggioranza delle carte europee. L’applicazione dello standard 3D Secure generalmente comporta l’aggiunta di un ulteriore passaggio a seguito del completamento del pagamento in cui al titolare della carta viene chiesto dalla banca di fornire ulteriori informazioni per completare il pagamento (ad esempio, un codice univoco inviato sul telefono o l’autenticazione dell’impronta digitale tramite l’app per l’home banking da dispositivi mobili).

Lo standard 3D Secure 2, la nuova versione del protocollo di autenticazione presentata nel 2019, sarà il principale metodo per l’autenticazione dei pagamenti online tramite carta e per rispondere ai nuovi requisiti SCA. La nuova versione dello standard permette una migliore esperienza utente che riduce le complessità introdotte dall’autenticazione nel flusso di completamento della transazione.

Le altre modalità di pagamento basate su carta quali Apple Pay o Google Pay supportano già i flussi di pagamento con un livello di autenticazione integrato (lettura biometrica o password). Si tratta di una modalità ideale con cui le aziende possono mettere a disposizione dei clienti un’esperienza di completamento del pagamento priva di complessità, rispettando al contempo i nuovi requisiti.

È inoltre previsto che molte modalità di pagamento comuni in Europa, quali iDEAL, Bancontact o Multibanco, si conformino ai nuovi regolamenti per la SCA senza variazioni di rilievo per l’esperienza utente.

Esenzioni per la Strong Customer Authentication

In base al nuovo regolamento, tipologie specifiche di pagamenti a basso rischio potrebbero essere esenti dalla Strong Customer Authentication. I fornitori di pagamenti come Stripe potranno richiedere tali esenzioni durante l’elaborazione del pagamento. La banca del titolare della carta riceverà quindi la richiesta, valuterà il livello di rischio della transazione e deciderà se approvare l’esenzione o se è comunque necessaria l’autenticazione.

Implementando l’autenticazione nel tuo flusso di completamento della transazione aggiungerai un ulteriore passaggio che potrebbe aumentare le complessità e favorire l’abbandono del cliente. Applicando le esenzioni ai pagamenti a basso rischio puoi ridurre il numero di autenticazioni per un cliente e le relative complessità. Abbiamo progettato i nostri prodotti di pagamento conformi alla SCA per permetterti di sfruttare le esenzioni ove possibile e aiutarti a favorire la conversione.

Le più importanti esenzioni per le aziende online sono:

Transazioni a basso rischio

Un fornitore di pagamenti (come Stripe) può eseguire un’analisi dei rischi in tempo reale per determinare se applicare la SCA a una transazione. Questo sarà possibile solo se le percentuali globali di frode della banca del fornitore per i pagamenti con cara non superano le seguenti soglie:

  • 0,13% per le esenzioni delle transazioni inferiori a 100 €
  • 0,06% per le esenzioni delle transazioni inferiori a 250 €
  • 0.01% per le esenzioni delle transazioni inferiori a 500 €

Tali soglie saranno convertite negli importi equivalenti locali, ove applicabile.

Nei casi in cui la percentuale di frodi del fornitore di pagamenti sia inferiore alle soglie indicate, ma quella della banca del titolare della carta sia invece inferiore, in genere la banca rifiuta l’esenzione e richiede l’autenticazione.

Pagamenti inferiori a 30 €

Si tratta di un’altra esenzione utilizzabile per i pagamenti di importo ridotto. Le transazioni inferiori a 30 € sono considerate a ridotto valore e potrebbero godere dell’esenzione dall’autenticazione SCA. Le banche tuttavia devono richiedere l’autenticazione se l’esenzione è stata utilizzata cinque volte dall’ultima autenticazione andata a buon fine del il titolare della carta o se la somma dei pagamenti precedentemente esentati supera i 100 €. La banca del titolare della carta deve monitorare il numero di volte in cui l’esenzione è stata utilizzata e stabilire se è necessario eseguire l’autenticazione.

Abbonamenti con importo fisso

Questa esenzione si applica quando il cliente esegue una serie di pagamenti ricorrenti dello stesso importo alla stessa azienda. L’autenticazione SCA è richiesta per il primo pagamento del cliente, mentre gli addebiti successivi potrebbero essere esentati dalla SCA.

Transazioni avviate dall’esercente (inclusi gli abbonamenti variabili)

I pagamenti effettuati con le carte salvate quando il cliente non è presente al flusso di completamento della transazione (vale a dire che è esterno alla sessione) potrebbero essere idonei come transazioni avviate dall’esercente. Questi pagamenti tecnicamente sono estranei all’ambito dell’autenticazione SCA. Nella pratica, effettuare un pagamento come transazione avviata dall’esercente somiglia a richiedere un’esenzione. Come per ogni altra esenzione, è la banca a decidere se per la transazione è necessaria l’autenticazione.

Per utilizzare le transazioni avviate dall’esercente, devi eseguire l’autenticazione della carta al momento del salvataggio o del primo pagamento. Infine, devi ricevere l’autorizzazione del cliente (un mandato) per eseguire l’addebito sulla sua carta successivamente.

Beneficiari affidabili

Durante l’autenticazione di un pagamento, i clienti potrebbero avere la possibilità di indicare che l’azienda in questione è affidabile per evitare di autenticare gli acquisti futuri. L’azienda verrà quindi aggiunta all’elenco di beneficiari affidabili gestito dalla banca o dal fornitore dei pagamenti del cliente.

Vendite telefoniche

I dati della carta raccolti al telefono non rientrano nell’ambito di applicazione della SCA e non richiedono l’autenticazione. Questa tipologia di pagamenti viene talvolta definita MOTO (mail order/telephone order, ordine postale/ordine telefonico). Come con i pagamenti con esenzione, le transazioni MOTO vanno segnalate come tali e sarà la banca del titolare della carta a stabilire se accettarle o rifiutarle.

Pagamenti aziendali

Questa esenzione può riguardare i pagamenti effettuati con carte lodged (ad esempio le carte aziendali utilizzate per coprire le spese di trasferta dei dipendenti con un’agenzia di viaggi online) e i pagamenti aziendali effettuati utilizzando numeri di carte virtuali (anche questi utilizzati nel settore dei viaggi).

Che succede se un’esenzione non va a buon fine?

Anche se le esenzioni sono molto utili, è importante ricordare che è la banca del titolare della carta a stabilire se accettarle o meno. Le banche possono restituire nuovi codici di rifiuto per i pagamenti non andati a buon fine a causa dell’autenticazione mancante. Tali pagamenti vanno quindi reinviati al cliente con la richiesta dell’autenticazione SCA. I prodotti compatibili con la SCA di Stripe attivano questa autenticazione aggiuntiva ove richiesto dalle banche.

Se la tua azienda è interessata dall’autenticazione SCA, ti consigliamo di prepararti a una modalità alternativa qualora un’esenzione sia rifiutata e il tuo cliente debba eseguire l’autenticazione. Questo aspetto è particolarmente importante se addebiti l’importo ai clienti che non partecipano attivamente al flusso di completamento della transazione (vale a dire quando sono esterni alla sessione) e il cliente deve tornare sul tuo sito web o riaprire l’app per eseguire l’autenticazione. Per ulteriori informazioni, consulta la nostra guida su come progettare i flussi di pagamento per la SCA.

In che modo Stripe ti consente di conformarti ai requisiti della Strong Customer Authentication

Le modifiche introdotte da questo nuovo regolamento influiranno significativamente sul commercio in Internet in Europa. E, sebbene sia previsto che tali requisiti vengano applicati nel corso del 2020 e del 2021, le aziende interessate che non si prepareranno a rispondere ai nuovi requisiti potrebbero registrare una riduzione importante dei tassi di conversione via via che verrà applicata l’autenticazione SCA in tutte le banche europee.

Oltre a supportare nuovi metodi di autenticazione quali il 3D Secure 2, Stripe ritiene che un’opportuna gestione delle esenzioni sia un aspetto chiave per garantire un’esperienza di pagamento di alta qualità in grado di ridurre le complessità per gli utenti. I nostri nuovi prodotti di pagamento sono ottimizzati per la conformità a diversi regolamenti normativi, bancari e dei circuiti delle carte di credito e applicano le esenzioni pertinenti ai pagamenti a basso rischio, in modo da attivare lo standard 3D Secure solo quando necessario. Via via che i regolamenti cambiano, Stripe potrà gestire e aggiornare la logica SCA in tempo reale, tenendo conto delle tempistiche di applicazione di ciascun paese.

Stripe ha distribuito una nuova API di base per i pagamenti che impiega la logica SCA di Stripe al fine di applicare l’esenzione corretta e di attivare il 3D Secure ove necessario. Il nuovo Checkout e Stripe Billing sono stati progettati in base a questa API e possono applicare il 3D Secure ove necessario.

Scopri di più sui prodotti Stripe compatibili con la SCA. Se hai domande o feedback, scrivici.

Torna alle guide
You’re viewing our website for Italy, but it looks like you’re in the United States. Switch to the United States site