Che cos’è il protocollo 3D Secure e perché è importante per i commercianti?

Con l’aumento del commercio elettronico, le frodi con carta di credito sono aumentate costantemente nel corso degli anni. Nel 2019, l’UE ha registrato 1,55 miliardi di Euro di frodi tramite carte di credito, la Francia da sola ha registrato un impressionante 440,9 milioni di Euro in perdite, peggio ha fatto solo il Regno Unito. 

E se l’e-commerce è in crescita da anni, la pandemia ha ulteriormente accelerato lo shopping online in modo significativo, con aumenti fino al 7% delle vendite al dettaglio online in alcuni paesi, secondo uno studio delle Nazioni Unite. 

Sin da quando l’e-commerce ha cominciato a diffondersi alla fine degli anni 90-inizio 2000, l’UE, gli Stati Uniti, il Giappone e molti altri paesi hanno studiato diverse strategie per affrontare le frodi online. Perché una cosa è chiara: più vendite online = più frodi con carta di credito. 

La storia di 3D Secure

Nel 2001, dopo un forte aumento dell’ e-commerce, Visa creò un sistema che si chiamava “Verified by Visa” (ora chiamato Visa Secure) per combattere l’aumento delle frodi nelle transazioni online. Era un modo per verificare digitalmente l’identità in fase di checkout, fondamentale sia per i commercianti che per gli emittenti di carte, poiché entrambi stavano perdendo introiti a causa delle frodi. 

Questa tecnologia fu poi adottata da altre grandi compagnie di carte di credito e aiutò a standardizzare la prima versione di quello che si sarebbe chiamato 3D Secure. Successivamente, sia Mastercard che American Express crearono le proprie versioni di questo sistema, chiamate rispettivamente Identity Check e SafeKey.

Cos’è il protocollo 3D Secure? 

Il 3D Secure (3DS) è un protocollo standard per la verifica dell’identità digitale a cui aderiscono gli emittenti di carte. Aggiunge un ulteriore livello di sicurezza a beneficio dei consumatori che pagano online tramite carta di debito o di credito. 

L’obiettivo di 3D Secure è quello di garantire che qualsiasi pagamento online con carta sia eseguito dall’effettivo titolare del conto. Inoltre protegge i commercianti dalle transazioni fraudolente e dalla conseguente perdita di introiti. Quasi 9 commercianti su 10 hanno riportato perdite di introiti a causa delle frodi nel 2020. 

3D sta per i tre Domini che interagiscono con il protocollo:

• L’emittente della carta, per esempio Visa o Mastercard
• Il Commerciante che riceve il pagamento in cambio di beni o servizi
• La piattaforma dell’infrastruttura 3DS che funge da piattaforma sicura tra il consumatore e il rivenditore

Due versioni di 3DS

In Europa, sono disponibili attualmente due versioni del protocollo 3D Secure che coesistono e soddisfano i requisiti della Autenticazione a due fattori del cliente (Strong Customer Authentication, SCA).

3DS1 – primi anni 2000

La prima versione di 3DS si autenticava con una password una tantum, che veniva inviata via SMS o e-mail. Ma per gli utenti mobili che volevano verificare sui loro cellulari, la pagina di autenticazione spesso non era studiata per la versione mobile ed era necessario zoomare e cercare il punto dove inserire il codice.

Non solo era difficile da usare per i consumatori, ma creava ulteriore attrito. Gli acquirenti online hanno generalmente poca pazienza, e questo ulteriore attrito ha fatto sì che molti abbandonassero l’acquisto, il che ha influito sulla redditività dei commercianti. I commercianti sono stati anche lenti ad adottare questa tecnologia, perché sapevano che poteva accrescere il tasso di abbandono del carrello. 

Per quanto la prima versione di 3DS aiutasse a ridurre le frodi, non era ottimizzata per un uso da cellulare. Nessuno avrebbe potuto immaginare che in meno di 20 anni saremmo andati tutti in giro con dei mini computer in tasca che ci permettevano di acquistare online!

3DS1 è il metodo originale dei primi anni 2000, e funziona ancora come metodo di autenticazione. Attualmente agisce come backup del nuovo protocollo, 3DS2, ma sarà gradualmente eliminato entro la fine del 2022 nell’Unione europea.

3DS2 – 2019

Questo metodo migliorato del protocollo 3D Secure è stato notevolmente potenziato e tiene conto degli utenti mobili, che ora usano le app di secure banking per autenticare gli acquisti, quando invece prima l’autenticazione avveniva tramite SMS o e-mail. Oggi, più del 50% delle transazioni avvengono tramite cellulare, quindi è nell’interesse dei commercianti ottimizzare i loro checkout per essere il più possibile fluidi. Inoltre la legislazione europea richiede oggi che i commercianti aggiornino i loro flussi di pagamento per aggiungere questo ulteriore passaggio di autenticazione. 

Una transazione 3DS2 può ora essere avviata da un browser web, un’app mobile o un dispositivo connesso ed è stata progettata specificamente per supportare esperienze native mobili, compresi i metodi di autenticazione biometrica come le impronte digitali o il riconoscimento facciale. 

Una caratteristica del 3DS2 è che usa molti più dati per effettuare delle scelte rispetto a prima. Oggi sono raccolti oltre 150 punti dati ad ogni transazione, rispetto ai soli 15 di prima. Questa tecnologia agisce come un custode e decide se approvare o meno una transazione. Alcuni punti dati che vengono raccolti per effettuare questa decisione includono: indirizzo IP del browser, lingua del browser, codice postale di spedizione e molti altri. 

La stragrande maggioranza delle transazioni considerate a basso rischio è approvata senza alcuna verifica aggiuntiva richiesta al consumatore, qualificandosi come approvazione “frictionless”, ovvero senza autenticazione a due fattori. In pratica sono ridotti gli attriti e migliorata l’esperienza utente, garantendo al contempo transazioni sicure. Per le restanti transazioni più rischiose, al consumatore può essere chiesto di autenticarsi con una password o un’identificazione biometrica. Può succedere così che alcune transazioni possono essere considerate fraudolente alla fine, il che significa che la tecnologia sta facendo il suo lavoro!

Vantaggi

Ci sono molti vantaggi nell’usare la versione aggiornata di 3DS. Va sottolineato il fatto che per i pagamenti UE-UE, i commercianti non hanno scelta: è richiesto dalla legislazione europea e i commercianti devono conformarsi. In qualità di Prestatore di Servizi di Pagamento (PSP), SlimPay garantisce che i suoi commercianti abbiano un livello più alto di protezione dalle frodi e siano conformi alla direttiva europea. 

Più dati per una migliore valutazione: con un numero di dati 10 volte superiore, come spiegato prima, gli emittenti di carte possono valutare meglio il rischio e autenticare direttamente un pagamento, o chiedere più informazioni di autenticazione se necessario. Per le transazioni a basso rischio, in pratica oltre il 90% di tutte le transazioni, il consumatore viene inviato a una cassa senza autenticazione a due fattori, dove non è richiesta alcuna password una tantum, biometria o altro metodo di autenticazione. 

Esperienza utente migliorata: i consumatori godono di un percorso di pagamento molto più fluido, e molte volte non viene chiesto di fornire un’autenticazione aggiuntiva se la transazione è affidabile. Per qualsiasi pagamento ritenuto più rischioso, ai consumatori verrà chiesto di autenticarsi tramite biometria (impronta digitale o riconoscimento facciale) o tramite una password una tantum. Usando i dati a loro vantaggio, gli emittenti di carte hanno tassi di accettazione più alti e offrono un percorso di pagamento fluido per la maggior parte delle transazioni. 

Trasferimento di responsabilità: i commercianti evitano la responsabilità per gli storni di addebito (chargeback) in caso di frode. La responsabilità viene trasferita dal commerciante alla banca che emette la carta quando il cliente si autentica usando il 3DS e si verificano delle spese fraudolente. Questo permette ai commercianti di uscire dal caos dei chargeback, che lasciano al 27% dei consumatori un’immagine negativa del commerciante, a prescindere dall’esito. 

Riduzione del rischio di frode: uno dei maggiori vantaggi del 3DS è che riduce il rischio di frode. Fornendo un ulteriore livello di sicurezza, i commercianti accettano pagamenti da clienti che corrispondono effettivamente al nome del titolare della carta e sono legittimati. Anche in caso di furto dei dati della carta, i truffatori avrebbero bisogno di avere accesso all’applicazione bancaria del consumatore e/o ai messaggi di testo in un breve lasso di tempo. Per quanto nulla sia impossibile, il rischio di frode è molto più basso usando il 3DS. 

Commercianti più felici: con la riduzione dei casi di frode, i commercianti hanno l’opportunità di aumentare le vendite e diminuire le transazioni contestate.

Eccezioni al 3DS

Solo per i pagamenti una tantum, PSD2 prevede una serie di casi in cui il pagatore è esentato dall’autenticazione a due fattori.

Pagamenti al di sotto dei 30 euro

Tutti i pagamenti inferiori a 30 euro sono soggetti a questa esenzione. Circa il 50% di tutte le transazioni online rientrano in questa esenzione. Tuttavia, queste esenzioni non sono valide se l’importo totale addebitato sulla carta dall’ultima autenticazione è superiore a 100 euro, o se sono state effettuate più di cinque transazioni sulla carta dall’ultima autenticazione.

Abbonamenti a importo fisso

Quando un pagatore effettua una serie di pagamenti ricorrenti dello stesso importo allo stesso commerciante, l’autenticazione a due fattori sarà richiesta solo per il primo pagamento e non sarà necessaria l’autenticazione per i pagamenti successivi. Questo è il caso, per esempio, degli abbonamenti ricorrenti che sono effettuati con una carta invece di un pagamento con addebito diretto. 

Beneficiari di fiducia

Un pagatore può scegliere di aggiungere un commerciante alla sua lista di beneficiari di fiducia per evitare l’autenticazione per i pagamenti futuri.

Pagamenti a basso rischio / Analisi del rischio

Esenzione avviata dalla banca emittente: l’emittente della carta può applicare un’esenzione TRA (Transaction Risk Analysis), anche se un commerciante non l’ha richiesta. 

Esenzione su iniziativa del Prestatore del servizio di pagamento (PSP): in determinate circostanze, i PSP come SlimPay possono chiedere di non autenticare con doppio fattore una transazione, nel caso in cui il loro tasso di frode non superi certe soglie predefinite.

Transazioni fuori ambito 

Transazioni avviate dal commerciante (compresi gli abbonamenti variabili)

• Pagamenti per i quali l’importo non è inizialmente noto. Si tratta di pagamenti effettuati quando il titolare della carta non è presente, utilizzando i dati della carta memorizzati.
• Per beneficiare di questa esenzione, è necessario consentire la memorizzazione dei dati della carta.
• Il commerciante deve anche ottenere l’accordo del pagatore (mandato) per essere autorizzato ad addebitare successivamente la sua carta

Pagamenti one-leg

• Quando la banca del pagatore o la banca del commerciante è al di fuori dell’UE, non viene eseguita alcuna autenticazione.

Pagamenti tramite ordine per corrispondenza / ordine telefonico (MOTO)

• I pagamenti per posta e telefono non sono considerati pagamenti elettronici e quindi non necessitano di 3DS2 per autorizzare il pagamento.

Il 3DS è un protocollo sicuro la cui funzione è proteggere non solo i consumatori, ma anche i commercianti e gli emittenti delle carte. Negli ultimi due decenni, la tecnologia 3D Secure si è evoluta per adattarsi alle moderne abitudini di spesa e combattere i livelli crescenti di frode.

Dato che sempre più consumatori passano agli acquisti online, i commercianti dovranno essere vigili perché i truffatori continueranno a trovare il modo di sfruttare le falle di sicurezza ed effettuare transazioni fraudolente.

Pagamenti con carta per attività in abbonamento

[Guida] Come prevenire le frodi nei pagamenti…

This post is also available in: English Français Español