Molti di voi ricorderanno che nella primavera del 2018 un particolare acronimo aveva creato scompiglio in Europa (e non solo). Ovviamente stiamo parlando del GDPR, il Regolamento Europeo in materia di privacy e protezione dei dati personali.
Ecco, dovete sapere che una nuova sigla rischia di produrre lo stesso effetto nel mese di settembre di quest’anno. Questa volta, le lettere che compongono la sigla sono solo tre. Ecco a voi la SCA (Strong Customer Authentication).
Per farla breve, dal 14 settembre del 2019 la Direttiva Europea sui Pagamenti (PSD2) renderà obbligatoria l’autenticazione a due fattori del consumatore per la maggior parte dei pagamenti online in Europa (ovvero quelli che coinvolgeranno un consumatore e un venditore europei).
L’AUTENTICAZIONE A DUE FATTORI
Ma che cos’è l’autenticazione a due fattori? In breve, per concludere una transazione online, il consumatore dovrà combinare almeno due dei seguenti tre fattori:
- Qualcosa che solo il consumatore conosce (es. un PIN o una PASSWORD);
- Qualcosa che solo il consumatore possiede (es. uno smartphone con un’app che genera token o codici);
- Una caratteristica biometrica del consumatore (es. un’impronta digitale).
Se avete un account Gmail o Facebook protetti da autenticazione a due fattori (password + token su smartphone), molto probabilmente sapete già di cosa si sta parlando. L’obiettivo della SCA è quella di ridurre la frequenza delle frodi online, rendendo il mercato dei pagamenti elettronici più sicuro.
LE ESENZIONI
Il legislatore ha previsto alcune esenzioni all’applicazione dell’autenticazione a due fattori. Vediamole di seguito:
- Piccole somme: Saranno escluse dalla SCA le transazioni con un importo inferiore ai 30 euro, o le cinque transazioni fino a 100 euro, successive all’ultima autenticazione a due fattori;
- Pagamenti ricorrenti della stessa somma verso lo stesso beneficiario;
- Pagamenti verso un beneficiario dichiarato “affidabile” dal pagatore;
- Bonifici circolari;
- Ordini effettuati con carta di credito per posta o telefonicamente;
- Compratore extra SEE;
- TRA – Transactional Risk Analysis: se il provider di pagamenti elettronici utilizzato dal venditore ha un tasso di frode molto basso, si può disattivare la SCA per i pagamenti inferiori ai 500 euro.
L’IMPATTO SUGLI E-COMMERCE
Secondo alcuni analisti, in un mondo caratterizzato da una soglia dell’attenzione sempre più bassa e un livello di alfabetizzazione digitale non esaltante, la SCA potrebbe creare una barriera all’acquisto per determinate tipologie di consumatori. Per esempio, quando nel 2014 l’autenticazione a due fattori divenne obbligatoria in India, molte aziende segnalarono un calo delle conversioni di circa il 25%.
Non è chiaro se questo calo avverrà anche in Europa. I venditori e i provider di servizi di pagamento confidano che il protocollo 3DS 2.0 (anch’esso obbligatorio dal 14 settembre) assicuri la cosiddetta “frictionless authentication” (autenticazione senza attrito).
Questo protocollo consentirà infatti ai venditori e al fornitore di pagamenti elettronici di inviare più dati su ciascuna transazione alla banca del titolare della carta (es. l’indirizzo di spedizione, l’ID del dispositivo del cliente o la cronologia delle transazioni precedenti). La banca del titolare della carta può utilizzare queste informazioni per valutare il livello di rischio della transazione e se ritiene che i dati siano sufficienti per considerare l’acquirente affidabile, autorizzerà la transazione senza richiedere l’autenticazione a più fattori. Se la banca invece non si fida, ecco rientrare in gioco la SCA.
COME ESSERE CONFORMI
Ma i proprietari di e-commerce, come possono fare per rendersi conformi alle prescrizioni in materia di SCA e al protocollo 3DS 2.0?
La cosa più semplice da fare è affidarsi a un provider dei servizi di pagamento affidabile e già conforme. Se siete in dubbio, visitate il sito del vostro provider o contattate l’assistenza clienti per richiedere ulteriori informazioni.
Nel contempo, scambiate due parole su questi temi anche con il vostro webmaster, dal momento che, se vi appoggiate ai più diffusi CMS, in alcuni casi occorrerà anche aggiornare il plug-in utilizzato per ricevere i pagamenti dai vostri clienti.
Infine, sarà necessario un aggiornamento alle privacy policy visto che, con il protocollo 3DS 2.0, aumenterà la mole di dati che il provider di servizi di pagamento trasmetterà alla banca del consumatore. Di conseguenza, non dimenticate di contattare i vostri consulenti GDPR.