Memorandum: cos’è la PSD2

Per iniziare, la PSD2: La Direttiva dei Sistemi di Pagamento 2, permette di rendere sicuri i pagamenti elettronici grazie all’autenticazione forte del titolare delle transazioni elettroniche. Essa si applica ai 28 paesi dello spazio economico europeo e riguarda tutti i merchant che processano i loro pagamenti con carta tramite un acquirer europeo.

L’entrata in vigore iniziale e comunicata dall’EBA (European Banking Authority) era il 14 Settembre 2019.

In accordo con le autorità bancarie locali, la data di entrata in vigore della PSD2 è stata prorogata da 12 a 18 mesi in funzione dei paesi, per permettere a tutti gli attori dell’ecosistema di essere pronti.

Memorandum: cos’è l’autenticazione forte (Strong Customer Authentication)

Destinata a rafforzare la sicurezza nei pagamenti elettronici, l’Autenticazione forte ha lo scopo di verificare l’identità del titolare della carta. Infatti, almeno due elementi tra i seguenti tre fattori di autenticazione devono essere validi:

• Un elemento conosciuto dal titolare: password, codice segreto, domanda segreta, …
• Un elemento posseduto dal titolare: telefono, orologio connesso, …
• Un elemento inerente al titolare: riconoscimento facciale, vocale, impronta digitale

L’indipendenza di questi elementi garantisce, in caso di compromissione di uno dei fattori, l’integrità del secondo.

RTS

L’ RTS (Regulatory Technical Standards) è l’insieme delle norme tecniche che definiscono i requisiti che costituiscono la PSD2.

3D Secure

• 3D secure V1: Sviluppato da Visa, Mastercard e American Express, il 3D Secure, o 3DS, è un sistema di autenticazione avente l’obiettivo di migliorare la sicurezza degli acquisti online. Il 3D Secure aggiunge un livello di sicurezza supplementare, richiedendo all’acquirente di fornire una password prima di finalizzare la sua transazione online. Questo sistema si è ampiamente diffuso in Europa ed è utilizzato da migliaia di merchant per combattere le frodi.
• 3D SECURE V2: Il 3D Secure V2 è l’ultima versione del protocollo 3D Secure. Propone un nuovo approccio al processo di autenticazione per le transazioni effettuate online, ed è conforme alle regole di autenticazione richieste dalla PSD2.

Contrariamente al V1, questa evoluzione permetterà ai merchant di proporre ai loro clienti finali dei percorsi d’acquisto più fluidi, con meno reindirizzamenti e meno punti di frizione.

Esso offrirà una protezione rinforzata contro le transazioni fraudolente grazie ad un’analisi di rischio che si basa su più di 150 dati contestuali raccolti durante l’acquisto.

Con il 3D Secure V2, l’autenticazione del cliente finale si effettuerà direttamente all’interno della pagina di pagamento, e sarà interamente compatibile con l’ambiente web mobile/desktop e con gli acquisti da app. La versione 2 del protocollo manterrà il cliente finale sulla pagina di pagamento, contrariamente alla versione precedente che obbligava un reindirizzamento alla pagina messa a disposizione dall'issuer.

Le 3D Secure V2 si applicherà a tutti i pagamenti elettronici come i pagamenti online, pagamenti da mobile, pagamenti da app, o quelli effettuati tramite oggetti connessi.

Trasferimento di responsabilità (liability shift)

Si tratta di trasferimento di responsabilità verso la banca del titolare della carta (l’issuer). In qualità di merchant, se una transazione ha beneficiato di un'autenticazione forte, ma questa viene successivamente contestata come fraudolenta, il chargeback non sarà a carico del merchant.

Esenzioni permesse dalla PSD2

Le esenzioni corrispondono alle transazioni che possono essere soggette ad una deroga di autenticazione forte come previsto dalla PSD2.

Un merchant può richiedere l’applicazione di un’esenzione all’issuer (in questo caso, non si applica alcun trasferimento di responsabilità se l’esenzione è accettata da quest’ultimo), ma l’issuer può anche applicare lui stesso un’esenzione (con trasferimento di responsabilità)

Ecco alcuni casi di esenzione permessi dalla PSD2 :

Transazioni esenti dall’autenticazione forte

I merchant possono beneficiare dell’esenzione dall’autenticazione forte con gli issuer per le seguenti transazioni:

• Transazioni a basso rischio inferiori a 30 €, tranne quando il montante di acquisto cumulato dal portatore, dall’ultima autenticazione forte, sia superiore a 100 € o se 5 transazioni precedenti erano già state esentate.
• Transazioni a basso rischio (Transaction Risk Analysis – TRA)
• Transazioni ricorrenti dello stesso importo e stessa scadenza, con lo stesso beneficiario. Sarà obbligatorio applicare l’autenticazione forte al cliente finale, alla prima transazione, o al momento della configurazione della serie di transazioni (a condizione che sia avviata dal cliente finale).
  Le transazioni successive saranno tecnicamente incatenate, al fine di poterle collegare alla prima transazione a cui è stata applicata l’autenticazione forte.

• I merchant dichiarati come beneficiari di fiducia dagli issuer: un cliente finale potrà dichiarare un merchant come beneficiario di fiducia, insieme alla propria banca. Dal momento in cui l’iscrizione è stata realizzata e validata, tutte le transazioni future su quel sito saranno esentate dall’autenticazione forte.

Transazioni effettuate a partire dai mezzi di pagamento anonimi: essi possono essere, per esempio, le carte di pagamento prepagate saranno esentate dalla autenticazione forte.

Infine, altre transazioni che non sono soggette alla PSD2:

Le transazioni effettuate fuori dal perimetro

• Transazioni iniziate dal merchant: Tutte le transazioni o serie di transazioni di un importo e/o di una periodicità fissa o variabile in cui l’importo globale non è noto al momento dell’avvio, sono considerate fuori dall’ambito di applicazione della PSD2. Esempi di transazioni iniziate dal merchant: abbonamenti, no-show (applicabile al settore del noleggio di beni e servizi), pagamenti rateali.

• Transazioni MOTO (Mail Order, Telephone Order): Gli ordini per corrispondenza, telefono o altri mezzi che non implicano direttamente il cliente finale nel far scattare la transazione, non rientrano nell’ambito di applicazione della PSD2.
• Transazioni intra-regionali (OLO: One Leg Out): Tutte le transazioni per le quali l’issuer o l’acquirer si trovano fuori lo Spazio economico europeo sono considerate fuori dai campi della PSD2.

Dati contestuali

Anche chiamati dati transnazionali, essi sono raccolti congiuntamente dal merchant e da HiPay durante il processo di acquisto. Sono poi inviati all’issuer che si basa su questi dati per effettuare un’analisi di rischio e decidere lo status da dare alla transazione.

Se la transazione è a basso rischio e rientra nei casi di esenzione previsti dalla PSD2, allora l’autenticazione forte non verrà attivata, con conseguente percorso di pagamento senza ulteriori step per l’utente finale.

Al contrario, se la transazione presenta un rischio, l’utente finale sarà invitato ad autenticarsi.

In questi due casi, sarà applicato il trasferimento di responsabilità verso l’issuer, salvo che il merchant sia la fonte della richiesta di esenzione.

Soft Decline

I soft decline sono dei rifiuti di autorizzazione legati alla non autenticazione della transazione. Infatti, con la PSD2, tutte le transazioni devono passare per i casi di autenticazione, e non possono essere inviati direttamente in autorizzazione (a meno che la transazione non rientri nei casi della PSD2).

Nel caso in cui le regole non siano rispettate, l’issuer rifiuterà la transazione sotto forma di un nuovo codice di autorizzazione chiamato “soft decline” (per differenziare dall’hard decline).