Dal 14 settembre 2019 le transazioni online sono più sicure. Da questa data, infatti, è diventato obbligatorio che nella fase di pagamento sia attiva la cosiddetta Strong Customer Authentication (SCA) e il relativo protocollo 3D Secure 2.0, cioè l'autenticazione a due o più fattori.
La SCA, obbligatoria dai 30 euro in su, consente di verificare se un utente è l'effettivo titolare della carta usata per effettuare il pagamento online. Come? Oltre ai soliti dati (numero, codice CVV e data di scadenza) l'utente deve inserire almeno due dei seguenti fattori:
- un’informazione nota solo a lui (password temporanea, PIN, risposta a una domanda segreta)
- una sua caratteristica fisica (riconoscimento facciale, impronta digitale, scansione vocale)
- un’informazione relativa a un oggetto che possiede (smartphone, token)
Addio dunque alle chiavette genera-token, che potevano passare di mano in mano senza alcun controllo o essere smarrite con facilità. Ora il codice da digitare deve essere sul cellulare, accessibile dall’app della banca o via sms.
Autenticazione a due fattori, buona o cattiva notizia per chi ha un e-commerce?
La preoccupazione che l'aggiunta di un passaggio ulteriore renda più difficoltosa l'esperienza d'acquisto, generando un aumento di carrelli abbandonati, è legittima.
Tuttavia, poiché si tratta di una misura che interessa tutti (nel 2019 solo l'Europa, nel 2020 tutti i paesi del mondo), è plausibile che con il tempo l'utente assimili questo nuovo passaggio e che non costituisca più un deterrente all'acquisto.
Al contrario, se opportunamente comunicata, l'introduzione di una misura che rende più sicuri i pagamenti online può essere sfruttata come testa d'ariete per convincere gli irriducibili diffidenti dello shopping online. Ricordiamo che solo il 62% degli italiani fa acquisti online e una delle ragioni di questo ritardo è proprio la diffidenza verso acquisti e transazioni online.
Leggi anche: E-commerce in Italia, 5 strade per crescere nel 2020
Segnaliamo altri possibili effetti negativi, facilmente arginabili con una corretta comunicazione:
- nella maggior parte dei casi la verifica 3DS avviene tramite un popup, possisamo dirlo, non bellissimo. Per i clienti meno esperti può essere difficile distinguerlo da quelli di un sito illegittimo
- i dispositivi mobile non visualizzano sempre correttamente i popup 3D Secure.
Norme e obiettivi
Inquadriamo la questione dal punto di vista normativo: l'obbligo di cui sopra è previsto dal Regolamento europeo 2018/389, che integra la direttiva PSD2 sui servizi di pagamento (direttiva UE 2015/2366).
Obiettivo sostanziale dii questo 'pacchetto' di norme è restituire la titolarità dei dati bancari ai clienti e aprire il tradizionale sistema dei pagamenti, al cui centro si trovano le banche, ai nuovi soggetti fornitori di questo servizio (open banking): assicurazioni, fintech, telco e TPP (Third Party Providers).
Per effettuare pagamenti online non sarà più necessario, quindi, passare per il proprio istituto di credito, ma si potrà fare tutto tramite i nuovi soggetti terzi, debitamente autorizzati. Questa nuova configurazione impone vengano individuati dei criteri di sicurezza più forti, tali da evitare che la comunicazione tra operatori determini fragilità nel sistema.
Prossimi step
14 settembre 2019 La Strong Customer Authentication è entrata in vigore per tutte le transazioni europee di e-commerce in PDS2.
11 ottobre 2019 Entra in vigore il mandato del regime 3DS 2.0 per l’Europa.
Dal 2020 in poi 3D Secure 2.0 verrà lanciato in tutto il mondo.
