Dal 1 gennaio 2021 sono entrate in vigore le nuove misure che prevedono l’adeguamento da parte di tutti gli eCommerce online europei ad un nuovo sistema di sicurezza per i pagamenti: la Strong Customer Authentication (SCA), cioè l’autenticazione a due fattori.
Si tratta della verifica di almeno due elementi di diversa tipologia per accertare l’identità del consumatore quando effettua un pagamento.

L’obiettivo dichiarato di questa misura è quello di evitare frodi o violazioni di privacy e quindi incentivare i consumatori ad effettuare acquisti online.

Uno scopo assolutamente condivisibile. Eppure la direttiva non è esente da critiche.

Toby MacFarlane, responsabile frodi e approvazioni della società di consulenza Cmspi, in un’intervista rilasciata a novembre 2020 spiega che molte banche non sono ancora pronte per consentire alle carte di credito emesse di supportare il nuovo protocollo di sicurezza a 2 fattori di identificazione, anche per i comprensibili ritardi nell’operatività determinati dall’emergenza Covid-19.

Inoltre questi protocolli di autenticazione peggiorano l’esperienza di pagamento del cliente negli eCommerce alzando il tasso di abbandono delle transazioni.

Dato che le nuove regole per le vendite online dovevano entrare in vigore già a settembre 2019 e l’autorità bancaria europea (EBA) e la Banca d’Italia, proprio per consentire agli operatori di adeguarsi, hanno alla fine deciso di rinviare l’attuazione della direttiva al 1 gennaio 2021, adesso non si può più rimandare.

Conviene capire che cos’è questa SCA, come adeguarsi e trarne vantaggio.

Che cos’è la SCA?

Brevemente, possiamo dire che la Strong Customer Authentication è una procedura per la quale chi gestisce e riceve pagamenti online, prima di pre-autorizzare ogni transazione, deve richiedere all’utente un’informazione aggiuntiva rispetto a quelle richieste comunemente fino ad ora (come nome, numero, scadenza e codice di sicurezza della carta di credito).

Il nuovo sistema di autenticazione “forte” prevede il riconoscimento dell’identità dell’utente attraverso la verifica di due fattori diversi appartenenti a tre categorie che devono rimanere tra loro indipendenti:

1. Conoscenza: per l’identificazione occorre inserire qualcosa che solamente l’utente conosce. Può essere una password, un codice pin o la risposta ad una domanda.

2. Possesso: l’identificazione avviene attraverso qualcosa che solamente l’utente possiede. Ad esempio il numero di cellulare, un indirizzo email, un device indossabile o un token (in questo caso si tratta di un token virtuale presente solitamente all’interno dell’app di mobile banking della Banca o in una app apposita).

3. Inerenza: l’identificazione SCA ha bisogno di qualcosa che l’utente “è”. A questo scopo si ricorre ai parametri biometrici personali (ad esempio impronte digitali, impronta vocale o riconoscimento facciale).

I due fattori di autenticazione richiesti per la SCA devono essere indipendenti l’uno dall’altro e l’utente, per poter concludere l’ordine online sull’eCommerce, deve disporre di entrambi.

Questo significa che per usare la carta di credito l’autenticazione passerà ad esempio attraverso un oggetto fisico come uno smartphone combinato con un fattore come una password o l’impronta digitale.

Il sistema più usato dalle banche italiane è quello di inviare un codice tramite SMS al cliente quando quest’ultimo inserisce i dati della sua carta su un sito di eCommerce e di sfruttare l’app bancaria combinata con altri strumenti di tipo biometrico.

Chi si deve occupare dell’adeguamento alla nuova direttiva?

Possiamo identificare due attori:

  • gli esercenti o merchant online: gli eCommerce devono dotarsi, tramite il proprio provider di sistemi di pagamento, della giusta integrazione software per adeguare il proprio checkout alle nuove disposizioni;
  • prestatori dei servizi di pagamento (PSP): a loro sono richiesti compiti legati all’introduzione della SCA.  Aiutano i merchant a gestire la conformità con la direttiva PSD2, abilitando, quando necessario, le esenzioni alle procedure PSD2 e SCA (poi le vedremo) e occupandosi dell’implementazione del protocollo 3D secure 2.X. Tra i prestatori dei servizi di pagamento ci sono gli Issuer, emettitori di carte di pagamento, ai quali è richiesto di selezionare i fattori di autenticazione (oltre ai compiti già elencati) e gli Acquirer, gestori dei pagamenti per gli esercenti, che devono coinvolgere e supportare gli esercenti nell’adeguamento dei sistemi.

Un consiglio per gli eCommerce è quello di valutare di incorporare un gateway di pagamento bancario per avere la garanzia che tutte le transazioni nell’ambito della PSD2 passino attraverso la doppia autenticazione (SCA).

Un gateway di pagamento online è un canale di pagamento elettronico che autorizza l’elaborazione di pagamenti diretti o tramite carta di credito per la struttura ricettiva e si occupa della criptazione dei dati sensibili. In questo modo permette transazioni sicure fra venditore e cliente. Alcuni tra i principali gateway di pagamento sono: NexiPaypalStripeAuthorize.net, 2Checkout.

Quale sarà l’impatto della SCA sulle vendite online?

E’ normale pensare che il debutto di questa normativa rischi di complicare le procedure di acquisto provocando effetti negativi sulle vendite online. Si tratta dell’accusa principale mossa dalle parti in gioco: il sistema a due fattori è scarsamente usabile e può creare un problema di esperienza utente che renderebbe i pagamenti online più difficili per gli utenti.

Tuttavia occorre considerare che ci sono anche delle agevolazioni per i commercianti. Esistono infatti dei casi di esonero dall’implementazione della SCA. Ecco quelli più rilevanti:

  • le transazioni ricorrenti con un importo fisso come gli abbonamenti (la SCA sarà richiesta solo per la prima transazione);
  • le transazioni di basso valore, inferiore a 30 euro o cumulativamente a 100 euro, o cinque transazioni consecutive dall’ultimo pagamento verificato con SCA;
  • i pagamenti verso esercenti autorizzati. Le aziende segnalate come “Beneficiari attendibili” dal titolare della carta alla propria banca non richiederanno la SCA. La SCA sarà richiesta per la creazione e/o la modifica della lista di beneficiari di fiducia o al primo pagamento;
  • le transazioni a basso rischio, entro i 500 euro, se l’emittente della carta che sta effettuando il pagamento o l’acquirente che sta gestendo la transazione possono dimostrare di avere un livello di frodi al di sotto di una determinata soglia;
  • “ordini per corrispondenza e ordini telefonici” (MOTO) – Queste transazioni sono esenti da SCA in tutti i casi.
  • secure Corporate Payments (es. esenzione per alcuni pagamenti corporate realizzati tramite l’impiego di carte business).

Anche se il rischio di “singhiozzo” durante una transizione c’è, queste esenzioni sicuramente favoriscono la facilità di una parte degli acquisti.

Conclusioni: la SCA è un bene oppure no? 

Difficile rispondere. Sicurezza e usabilità al momento non vanno di pari passo, questo è certo.

I danni economici sono possibili in quanto il peggioramento della user experience può comportare la riduzione del tasso di conversione. Inoltre occorre considerare i costi IT che gli eCommerce devono sostenere per adeguarsi al nuovo sistema.

Dall’altro lato però, è ormai assodato che la sicurezza sia divenuta un fattore chiave nelle vendite online. La possibilità di limitare le frodi e l’aumento della protezione dei dati percepita da parte degli utenti sono parametri che in una prospettiva a lungo termine avranno più impatto rispetto al tema della User Experience.

Per dirlo con parole “povere”, i clienti saranno più motivati a compiere passaggi aggiuntivi per completare l’acquisto se sanno che le loro informazioni personali sono più protette. La sicurezza va dunque considerata come una vera e propria leva concorrenziale.

Gli eCommerce in grado di implementare le loro modalità di pagamento con le nuove direttive potranno vantare una maggiore credibilità a livello economico migliorando l’esperienza d’acquisto e di pagamento del cliente, attraverso un processo di ottimizzazione tecnologicamente avanzato e in linea con la normativa europea. 

Sebbene inizialmente ci possano essere effetti negativi sulla Customer Experience dunque, i merchant online e le banche che sapranno cogliere la sfida della Strong Customer Authentication potranno ottenere, nel tempo, un importante vantaggio competitivo aumentando in maniera decisiva la sicurezza delle transazioni online.