Entrano in vigore le direttive PSD2: cosa cambia per gli e-commerce

Dal 1° gennaio 2021 sono attive le nuove direttive europee PSD2 per le transazioni online, che garantiranno una maggiore sicurezza degli acquisti effettuati tramite carte. La principale novità è l'introduzione della SCA, la Strong Customer Authentication, che richiede un'ulteriore verifica dell'identità tramite un OTP, che può essere generato via app. Se da un lato questo approccio è più efficace nel prevenire le frodi, dall'altro potrebbe complicare il processo di checkout in alcuni casi, fatto che potrebbe peggiorare l'esperienza di acquisto degli utenti. Per ridurre la complessità i negozianti possono chiedere alla loro banca di attivare 3-D Secure (3DS). 

Cosa è la Strong Customer Authentication (SCA)?

Uno dei problemi dei pagamenti online è la difficoltà di verificare con certezza l'identità di chi sta effettuando una transazione: se in negozio alla "strisciata" viene richiesto un codice (o un'impronta digitale se si paga tramite app), e l'esercente può sempre richiedere un documento per verificare l'identità di chi sta effettuando l'acquisto, online non esistono misure di questo tipo. Per garantire un ulteriore livello di sicurezza, l'UE ha imposto che dal 1° gennaio 2021 tutte le transazioni online siano soggette alla SCA, la Strong Customer Authentication, che impone all'acquirente di verificare la propria identità tramite il riconoscimento biometrico (per esempio autorizzando la transazione autenticandosi con le impronte digitali o un codice OTP, che può essere inviato tramite app bancaria o, in alcuni casi (ma è sconsigliato in quanto meno sicuro) via SMS.

La maggiore sicurezza però porta con se qualche piccolo disagio, e obbliga a un ulteriore passaggio prima di completare l'acquisto, fatto che potrebbe andare a discapito dell'esperienza utente, che per forza di cose sarà meno diretta. Nel caso fosse poco intuitiva o troppo complicata, questo potrebbe portare alcuni clienti ad abbandonare la transazione prima di completarla, generando un impatto negativo sulle vendite. Non solo: se i negozianti non adeguano i loro sistemi alla nuova direttiva, potrebbero vedersi rifiutare le transazioni. 

Per non farsi trovare impreparati, gli esercenti dovrebbero chiedere alla propria banca, o a chi fornisce il sistema di pagamento, di attivare la tecnologia 3-D Secure (3DS), sviluppata  da CA Technologies e utilizzabile sui principali circuiti: l'implementazione di Visa è definita Verified by Visa, Mastercard la offre sotto il nome di SecureCode e American Express come SafeKey. 3DS aggiunge un ulteriore strato di sicurezza richiedendo un codice OTP o l'autenticazione biometrica per autorizzare la transazione, senza richiedere modifiche nei sistemi degli e-commerce. Certo, ci sarà un passaggio, in più, ma non in tutti i casi, dato alcune transazioni infatti sono escluse dalla SCA, un po' come accade coi pagamenti contactless in negozio, che sotto una certa soglia non richiedono l'inserimento del PIN. Nello specifico, i pagamento che non sono assoggettati ad SCA sono quelli che ricadono nelle seguenti casistiche: 

• Transazioni inferiori ai 30 euro, con un massimo di spesa cumulativo di 100 euro;
• Transazioni a basso rischio, cioè inferiori ai 500 euro ed effettuate da acquirenti con un basso livello di frodi;
• I pagamenti ricorrenti, come abbonamenti a servizi: in tal caso, SCA sarà richiesta solo al primo pagamento; 
• Transazioni verso beneficiari attendibili, cioè quegli esercenti che il titolare della carta ha indicato come "sicuri" alla propria banca. Anche in questo caso, SCA sarà richiesta solo al primo pagamento, così come ogni volta si vorrà modificare la lista dei beneficiari attendibili.

Cosa cambia in concreto per gli esercenti?

Per evitare un aumento del tasso di abbandoni del carrello o di rifiuti del pagamento, chi gestisce un e-commerce - se già non lo ha fatto - dovrebbe contattare chi gli fornisce il sistema di pagamento e richiedere l'attivazione di 3DS. Fatto questo, il passo successivo dovrebbe essere quello di analizzare il processo di acquisto del proprio e-commerce e verificare che sia il più semplice e lineare possibile, in modo che un eventuale ulteriore step di autenticazione non mini l'esperienza di acquisto.