Il protocollo 3D Secure aggiunge un passaggio di autenticazione durante un acquisto con carta di credito su internet. Il titolare della carta conferma la propria identità tramite un codice ricevuto via SMS, una notifica sulla propria app bancaria o un dato biometrico. Questa verifica riduce il rischio di frode assicurandosi che la persona che paga sia effettivamente quella che detiene la carta.
Non tutti i siti di commercio attivano questo passaggio, e le ragioni sono legate sia alla normativa che alle scelte commerciali dei commercianti.
A lire aussi : I Segreti per Identificare un Tartufo di Qualità
Esenzioni previste dalla direttiva DSP2 sull’autenticazione forte
La direttiva europea sui servizi di pagamento (DSP2), in vigore dal 2019, impone l’autenticazione forte per la maggior parte dei pagamenti online con carta di credito. Questa obbligo non copre tutti gli scenari. Il testo prevede esenzioni specifiche che i fornitori di pagamento e le banche emittenti possono attivare.
Le transazioni di importo ridotto costituiscono la prima esenzione. Sotto una certa soglia, la banca può autorizzare il pagamento senza attivare il 3D Secure, a condizione che il totale dei pagamenti recenti senza autenticazione rimanga anch’esso sotto un limite.
A lire en complément : Quale mutua scegliere per il tuo bulldog francese?
Gli abbonamenti ricorrenti beneficiano di un trattamento particolare. Una volta autenticato il primo pagamento, i prelievi successivi, per un importo identico presso lo stesso commerciante, avvengono senza ulteriore verifica. Un servizio di streaming o un abbonamento a una rivista non richiederà quindi un codice ad ogni scadenza.
Un articolo dettagliato sul tema del pagamento non sicuro su Geekfinity esamina i diversi casi che gli acquirenti possono incontrare.
- Transazioni considerate a basso rischio dall’analisi della banca acquirente, sulla base del suo tasso di frode globale.
- Pagamenti verso un beneficiario fidato, precedentemente aggiunto a una lista bianca dal titolare della carta presso la propria banca.
- Operazioni avviate dal commerciante (pagamenti “merchant-initiated”), come gli aggiustamenti di importo dopo una prenotazione alberghiera o il noleggio di un veicolo.
Queste esenzioni non derivano da una scelta arbitraria del sito di commercio. Sono regolate dalla normativa e validate dalla banca emittente o dal fornitore di servizi di pagamento, che valuta il livello di rischio in tempo reale.
Analisi del rischio in tempo reale e flussi senza attriti
I fornitori di pagamento come Stripe, Adyen o Worldpay integrano motori di analisi del rischio che valutano ogni transazione prima di decidere se attivare l’autenticazione 3D Secure. Questa valutazione si basa su decine di parametri trasmessi durante il pagamento.
Il protocollo 3D Secure 2, successore della versione iniziale, è stato progettato per consentire questo tipo di decisione contestuale. A differenza della prima versione che imponeva sistematicamente un reindirizzamento a una pagina di autenticazione, 3DS2 trasmette più dati alla rete bancaria: tipo di dispositivo, indirizzo IP, storico degli acquisti, comportamento di navigazione.
Quando l’analisi conclude che il rischio di frode è molto basso, la transazione passa in modalità “frictionless”: il cliente non vede alcun passaggio di autenticazione aggiuntivo. Il 3D Secure è stato effettivamente attivato in background, ma la banca emittente ha ritenuto la verifica superflua. Dal punto di vista dell’acquirente, il pagamento sembra non aver utilizzato il protocollo.
Questa distinzione è importante. Un sito che non attiva uno schermo di autenticazione visibile non ha necessariamente disattivato il 3D Secure. Il flusso senza attriti è precisamente l’obiettivo di 3DS2: garantire sicurezza senza rallentare.
Tasso di abbandono del carrello e arbitraggio commerciale dei commercianti
Ogni passaggio aggiunto al tunnel di pagamento aumenta il rischio che l’acquirente abbandoni il proprio ordine. L’autenticazione forte, quando impone di passare a un’app bancaria o di attendere un SMS, genera un’attrito misurabile. I commercianti online conoscono questa correlazione e cercano di limitarla.
I commercianti con un basso tasso di frode possono chiedere al proprio fornitore di pagamento di applicare l’esenzione nota come “TRA” (Transaction Risk Analysis). Questa esenzione consente di gestire un numero maggiore di pagamenti senza autenticazione visibile, a condizione che il tasso di frode del commerciante rimanga sotto le soglie stabilite dalla normativa europea.
Questo meccanismo crea una situazione in cui i grandi siti di e-commerce, che investono in strumenti antifrode performanti, ottengono più facilmente esenzioni rispetto ai piccoli commercianti. Il paradosso: i siti più affidabili sono anche quelli che richiedono meno frequentemente il 3D Secure ai propri clienti.
Siti basati al di fuori dello Spazio economico europeo
La DSP2 si applica alle transazioni in cui la banca emittente e il fornitore del commerciante si trovano entrambi nello Spazio economico europeo. Un sito di commercio basato negli Stati Uniti o in Asia, che utilizza un acquirente non europeo, non è soggetto alle stesse obbligazioni di autenticazione forte.
In questo caso, la banca emittente europea del cliente può comunque richiedere un’autenticazione, ma il commerciante straniero non ha alcun obbligo di implementarla. Il pagamento può quindi avvenire senza 3D Secure, con un trasferimento di responsabilità in caso di frode che ricade sulla banca emittente o sul commerciante a seconda degli accordi in essere.
Responsabilità in caso di frode senza 3D Secure
Il 3D Secure modifica la ripartizione della responsabilità finanziaria in caso di transazione fraudolenta. Quando il protocollo è attivato e l’autenticazione ha successo, la responsabilità passa dal commerciante alla banca emittente. Questo meccanismo, chiamato “liability shift”, protegge il commerciante contro le contestazioni di pagamento (chargebacks).
Quando un commerciante sceglie di non attivare il 3D Secure, o quando viene applicata un’esenzione, questo trasferimento di responsabilità non avviene. Il commerciante assume quindi il rischio finanziario in caso di frode. Questa scelta è calcolata: alcuni commercianti preferiscono assorbire un basso tasso di frode piuttosto che perdere vendite a causa dell’autenticazione.
Per l’acquirente, la protezione rimane identica in entrambi i casi. La normativa bancaria europea garantisce il rimborso di una transazione non autorizzata, che il 3D Secure sia stato utilizzato o meno. La banca del titolare della carta deve rimborsare il cliente vittima di frode, per poi rivalersi sul commerciante se il liability shift lo consente.
L’assenza di un’autenticazione visibile durante un acquisto online non significa quindi che il pagamento sia meno sicuro per il consumatore. Essa riflette o un’esenzione normativa, o un flusso senza attriti, o un arbitraggio commerciale del commerciante che assume il rischio al suo posto.