Contattaci
header blog hipay
21 dicembre 2020

Il lessico della PSD2

In: PSD2

Memorandum: cos’è la PSD2

Per iniziare, la PSD2: La Direttiva dei Sistemi di Pagamento 2, permette di rendere sicuri i pagamenti elettronici grazie all’autenticazione forte del titolare delle transazioni elettroniche. Essa si applica ai 28 paesi dello spazio economico europeo e riguarda tutti i merchant che processano i loro pagamenti con carta tramite un acquirer europeo.

L’entrata in vigore iniziale e comunicata dall’EBA (European Banking Authority) era il 14 Settembre 2019.

In accordo con le autorità bancarie locali, la data di entrata in vigore della PSD2 è stata prorogata da 12 a 18 mesi in funzione dei paesi, per permettere a tutti gli attori dell’ecosistema di essere pronti.

 

Memorandum: cos’è l’autenticazione forte (Strong Customer Authentication)

shutterstock_1387525658

Destinata a rafforzare la sicurezza nei pagamenti elettronici, l’Autenticazione forte ha lo scopo di verificare l’identità del titolare della carta. Infatti, almeno due elementi tra i seguenti tre fattori di autenticazione devono essere validi:

  • Un elemento conosciuto dal titolare: password, codice segreto, domanda segreta, …
  • Un elemento posseduto dal titolare: telefono, orologio connesso, …
  • Un elemento inerente al titolare: riconoscimento facciale, vocale, impronta digitale

L’indipendenza di questi elementi garantisce, in caso di compromissione di uno dei fattori, l’integrità del secondo.

 

RTS

L’ RTS (Regulatory Technical Standards) è l’insieme delle norme tecniche che definiscono i requisiti che costituiscono la PSD2.

 

3D Secure

  • 3D secure V1: Sviluppato da Visa, Mastercard e American Express, il 3D Secure, o 3DS, è un sistema di autenticazione avente l’obiettivo di migliorare la sicurezza degli acquisti online. Il 3D Secure aggiunge un livello di sicurezza supplementare, richiedendo all’acquirente di fornire una password prima di finalizzare la sua transazione online. Questo sistema si è ampiamente diffuso in Europa ed è utilizzato da migliaia di merchant per combattere le frodi.
  • 3D SECURE V2: Il 3D Secure V2 è l’ultima versione del protocollo 3D Secure. Propone un nuovo approccio al processo di autenticazione per le transazioni effettuate online, ed è conforme alle regole di autenticazione richieste dalla PSD2.

Contrariamente al V1, questa evoluzione permetterà ai merchant di proporre ai loro clienti finali dei percorsi d’acquisto più fluidi, con meno reindirizzamenti e meno punti di frizione.

Esso offrirà una protezione rinforzata contro le transazioni fraudolente grazie ad un’analisi di rischio che si basa su più di 150 dati contestuali raccolti durante l’acquisto.

Con il 3D Secure V2, l’autenticazione del cliente finale si effettuerà direttamente all’interno della pagina di pagamento, e sarà interamente compatibile con l’ambiente web mobile/desktop e con gli acquisti da app. La versione 2 del protocollo manterrà il cliente finale sulla pagina di pagamento, contrariamente alla versione precedente che obbligava un reindirizzamento alla pagina messa a disposizione dall'issuer.

Le 3D Secure V2 si applicherà a tutti i pagamenti elettronici come i pagamenti online, pagamenti da mobile, pagamenti da app, o quelli effettuati tramite oggetti connessi.

 

Trasferimento di responsabilità (liability shift)

Si tratta di trasferimento di responsabilità verso la banca del titolare della carta (l’issuer). In qualità di merchant, se una transazione ha beneficiato di un'autenticazione forte, ma questa viene successivamente contestata come fraudolenta, il chargeback non sarà a carico del merchant.

 

Esenzioni permesse dalla PSD2

Le esenzioni corrispondono alle transazioni che possono essere soggette ad una deroga di autenticazione forte come previsto dalla PSD2.

Un merchant può richiedere l’applicazione di un’esenzione all’issuer (in questo caso, non si applica alcun trasferimento di responsabilità se l’esenzione è accettata da quest’ultimo), ma l’issuer può anche applicare lui stesso un’esenzione (con trasferimento di responsabilità)

Ecco alcuni casi di esenzione permessi dalla PSD2 :

Transazioni esenti dall’autenticazione forte

I merchant possono beneficiare dell’esenzione dall’autenticazione forte con gli issuer per le seguenti transazioni:

  • Transazioni a basso rischio inferiori a 30 €, tranne quando il montante di acquisto cumulato dal portatore, dall’ultima autenticazione forte, sia superiore a 100 € o se 5 transazioni precedenti erano già state esentate.
  • Transazioni a basso rischio (Transaction Risk Analysis – TRA)
  • Transazioni ricorrenti dello stesso importo e stessa scadenza, con lo stesso beneficiario. Sarà obbligatorio applicare l’autenticazione forte al cliente finale, alla prima transazione, o al momento della configurazione della serie di transazioni (a condizione che sia avviata dal cliente finale).
    Le transazioni successive saranno tecnicamente incatenate, al fine di poterle collegare alla prima transazione a cui è stata applicata l’autenticazione forte.
  • I merchant dichiarati come beneficiari di fiducia dagli issuer: un cliente finale potrà dichiarare un merchant come beneficiario di fiducia, insieme alla propria banca. Dal momento in cui l’iscrizione è stata realizzata e validata, tutte le transazioni future su quel sito saranno esentate dall’autenticazione forte.

Transazioni effettuate a partire dai mezzi di pagamento anonimi: essi possono essere, per esempio, le carte di pagamento prepagate saranno esentate dalla autenticazione forte.

 

Infine, altre transazioni che non sono soggette alla PSD2:

Le transazioni effettuate fuori dal perimetro

  • Transazioni iniziate dal merchant: Tutte le transazioni o serie di transazioni di un importo e/o di una periodicità fissa o variabile in cui l’importo globale non è noto al momento dell’avvio, sono considerate fuori dall’ambito di applicazione della PSD2. Esempi di transazioni iniziate dal merchant: abbonamenti, no-show (applicabile al settore del noleggio di beni e servizi), pagamenti rateali.
  • Transazioni MOTO (Mail Order, Telephone Order): Gli ordini per corrispondenza, telefono o altri mezzi che non implicano direttamente il cliente finale nel far scattare la transazione, non rientrano nell’ambito di applicazione della PSD2.
  • Transazioni intra-regionali (OLO: One Leg Out): Tutte le transazioni per le quali l’issuer o l’acquirer si trovano fuori lo Spazio economico europeo sono considerate fuori dai campi della PSD2.

Dati contestuali

Anche chiamati dati transnazionali, essi sono raccolti congiuntamente dal merchant e da HiPay durante il processo di acquisto. Sono poi inviati all’issuer che si basa su questi dati per effettuare un’analisi di rischio e decidere lo status da dare alla transazione.

Se la transazione è a basso rischio e rientra nei casi di esenzione previsti dalla PSD2, allora l’autenticazione forte non verrà attivata, con conseguente percorso di pagamento senza ulteriori step per l’utente finale.

Al contrario, se la transazione presenta un rischio, l’utente finale sarà invitato ad autenticarsi.

In questi due casi, sarà applicato il trasferimento di responsabilità verso l’issuer, salvo che il merchant sia la fonte della richiesta di esenzione.

 

Soft Decline

I soft decline sono dei rifiuti di autorizzazione legati alla non autenticazione della transazione. Infatti, con la PSD2, tutte le transazioni devono passare per i casi di autenticazione, e non possono essere inviati direttamente in autorizzazione (a meno che la transazione non rientri nei casi della PSD2).

Nel caso in cui le regole non siano rispettate, l’issuer rifiuterà la transazione sotto forma di un nuovo codice di autorizzazione chiamato “soft decline” (per differenziare dall’hard decline).
Tags: PSD2, Articles

    Vuoi maggiori informazioni ?

     

    Contattaci

    Categories

    Visualizza tutti

    Articoli correlati

    Come RCPolizza.it ha migliorato l’esperienza di acquisto dei propri clienti affidandosi a HiPay

    RCPolizza.it Srl è una società di brokeraggio e consulenza assicurativa, specializzata nel settore della responsabilità civile professionale e, in particolar modo, nella vendita online di questo prodotto. La società viene costituita nel 2013 all'indomani del DPR 137/2012, che ha reso obbligatorio stipulare una polizza assicurativa “per i danni derivanti dall'esercizio dell'attività professionale”.

    RCPolizza.it nasce dall'incontro tra i due soci fondatori Maurizio Gnazzo e Rocco Verrastro.Maurizio Gnazzo vanta un'esperienza pluriennale nel settore assicurativo, maturata lavorando per anni all’interno di una piccola realtà agenziale. Ha acquisito nel tempo una visione più ampia dello sviluppo assicurativo e mantenuto una solida consapevolezza delle dinamiche di profitto e controllo delle compagnie assicurative. Rocco Verrastro è un sviluppatore software ed applicativi web, esperto in sicurezza informatica e security intelligence, che ha sviluppato il primo modulo di RCPolizza.it per la richiesta e gestione di polizze assicurative online, che nel tempo si è trasformato nel gestionale assicurativo che oggi è alla base dello sviluppo della società che vanta 8.500.000 di portafoglio attivo.

    By HyPay Team
    In: Fraud

    Verso pagamenti completamente sicuri e senza attrito

     

    By HiPay Team
    In: Fraud

    Black Friday e Cyber Monday: Shopping Natalizio Online

    Il Black Friday è ormai uno degli eventi irrinunciabili per i consumatori italiani, i quali saranno l’84% ad acquistare in questa occasione. 

    By HiPay Team
    In: Articles

    HiPay è un payment service provider omnicanale. HiPay crede che il pagamento sia più di una semplice elaborazione delle transazioni. Grazie ad una piattaforma agile e moderna, il Gruppo Fintech consente ai merchant di valorizzare i propri dati di pagamento, indipendentemente dal canale di vendita. HiPay aiuta così i propri clienti a migliorare il conversion rate, ad aumentare il fatturato e a creare nuovi percorsi di acquisto

    Chi siamo

    Soluzioni

    Risorse

    Copyright © 2024 HiPay - All Rights Reserved.