Nel mercato dei servizi di pagamento digitali, inclusi quelli a supporto dell’e-Commerce, la direttiva europea PSD21 ha lo scopo di accelerare la diffusione degli strumenti di pagamento, in particolare quelli più innovativi, agendo essenzialmente su tre leve:
In questo contributo andremo ad analizzare il terzo punto, evidenziando l’impatto che gli obblighi di applicazione dell’autenticazione forte del cliente hanno sulle transazioni di pagamento avviate a distanza e descrivendo le opportunità che emergono da un’attenta gestione delle deroghe nel perimetro consentito. La possibilità, in particolare, di adottare una corretta disamina dei rischi associati alle transazioni, permette di agevolare le aziende che operano nel commercio elettronico, contenendo il tasso di abbandono del carrello, pesantemente aggravato da una User Experience poco fluida. L’esperienza di acquisto mediata tramite un prestatore di servizio di incasso che sappia cogliere, offrendole al proprio cliente impresa, tali opportunità, rileva anche sotto il profilo strategico, laddove si considera l’evoluzione della normativa di riferimento. All’interno dell’articolo troverete quindi anche alcuni spunti di riflessione sull’ottimizzazione di un processo così delicato che potrebbe svilupparsi a fronte della revisione della PSD2 (alla data in fieri), con riferimento all’opportunità di ricorso alla cosiddetta “autenticazione delegata”.
La PSD2 introduce il concetto di “Strong Customer Authentication” (SCA), o autenticazione forte del cliente, disponendo che un prestatore di servizi di pagamento la applichi quando il pagatore:
Gli obblighi possono essere assolti verificando almeno due fattori appartenenti alle categorie della conoscenza (qualcosa che solo l'utente conosce, come un codice segreto o una password), del possesso (qualcosa che solo l'utente possiede, ad esempio uno smartphone o un tablet), dell'inerenza (qualcosa che caratterizza l'utente, come la scansione del volto o la rilevazione dell’impronta digitale).
Nella eventualità evinta al punto 2, quando la disposizione avviene a distanza, come nel caso di un una Payment Initiation o di un pagamento con carta che avviene via internet, i prestatori di servizi di pagamento devono applicare l’autenticazione forte comprendendo elementi che colleghino in maniera dinamica l’operazione a uno specifico importo e a un beneficiario determinato.All’EBA (European Banking Authority) è stato affidato il compito di emanare standard tecnici di regolamentazione in tema di SCA ai sensi della PSD2. L’Autorità ha quindi prodotto il documento EBA/RTS/2017/02, altresì noto come “EBA RTS on SCA & CSC” che, nella versione finale, è stato adottato dalla Commissione il 27 novembre 2017 quale proposta di regolamento, successivamente promulgato il 14 marzo 2018 come regolamento delegato UE 2018/389.
In estrema sintesi, il regolamento definisce:
Vale osservare che, se per quel che concerne i sistemi di autenticazione applicati ai pagamenti basati sull’accesso ai conti, utilizzati negli acquisti online pagati mediante bonifici (o bonifici istantanei), la SCA è la medesima adottata per gli ordini di pagamenti disposti tramite online banking, nel caso delle transazioni con carta di credito, debito o prepagata, si è voluto procedere con l’adozione di un protocollo di sicurezza approvato dai principali circuiti internazionali, chiamato 3-DSecure 4.
L’adozione alle ultime versioni di questo protocollo di sicurezza, che in quelle antecedenti la 2.0 non era stato considerato sufficiente per l’autenticazione forte a due fattori richiesta dall’EBA, ha comportato significativi rallentamenti sia sul fronte dell’accettazione (acquiring) sia su quello dell’emissione (issuing). Una delle motivazioni per cui l’EBA, prima ancora di assumere la decisione dell’ottobre 2019 di posporre l’entrata in vigore della SCA 5 alla fine del 2020, è da ritrovarsi - anche - nella constatazione di una tale complessità.
L’aggiornamento del protocollo 3-DSecure, tuttavia, oltre a garantire la conformità ai requisiti di base validi per l’applicazione della SCA, ai sensi di quanto indicato dall’EBA, ha permesso una più agevole gestione delle opportunità rivenienti nel perimetro di deroga previsto dalla medesima autorità.
Proponiamo quindi di seguito una panoramica descrittiva delle dispense che consentono ai prestatori di servizi di pagamento di derogare agli obblighi di autenticazione forte del cliente che, lo ricordiamo, valgono per le transazioni di pagamento remote disposte sia tramite carte sia mediante bonifici. Ciò permetterà di comprendere quali possano essere i benefici apportati alle aziende che operano nel commercio elettronico, laddove il proprio prestatore di servizi di incasso implementi opportunamente le esenzioni previste in materia di deroghe; un’opportunità questa, lo ricordiamo, che deve essere opportunamente soppesata in relazione ai rischi di disconoscimento del pagamento su iniziativa del debitore.
Se da un lato, infatti, la disapplicazione della SCA concessa in dispensa può avere l’effetto di agevolare la User Experience dei pagamenti online, dall’altro espone il creditore a rischi di chargeback, nel caso di transazioni con carta, o ripudio, in caso di transazioni basate su bonifici.
Come sempre, è bene ricordare un ossimoro quanto mai attuale, ossia quello che lega usabilità e sicurezza; sciogliere questo nodo (o perlomeno provare a dipanarne la matassa) è determinante per il successo di molti servizi di pagamento. Ciò detto, allentare l’obbligo di SCA - seppur entro il perimetro di deroga permesso -, è qualcosa su cui è (sempre) opportuno riflettere, laddove gli effettivi impatti sull’esperienza digitale del pagamento possono produrre una maggiore semplificazione a scapito di una minore sicurezza.
Una panoramica esaustiva proposta in Figura 2 ci permette di avere, a colpo d’occhio, una visione d’insieme delle deroghe che un prestatore di servizi di pagamento può decidere di adottare, in riferimento agli obblighi di autenticazione forte del cliente.
Percorriamone rapidamente il solco. Un prestatore di servizi di pagamento può non applicare le regole di autenticazione forte del cliente se:
Non ci siamo dimenticati di trattare la deroga prevista in applicazione della cosiddetta “Transaction Risk Analysis” (TRA), ma, vista la complessità di adozione, abbiamo ritenuto opportuno riservarle un apposito capitolo.
Il prestatore dei servizi di pagamento può essere esentato dall’applicare l’autenticazione forte (e dinamica) del cliente, basandosi su una specifica analisi del rischio associato alla transazione stessa. I sistemi di monitoraggio della transazione che supportano la TRA tengono conto, ad esempio, del comportamento dell’utente in situazioni normali, relativamente all’uso delle proprie credenziali di sicurezza. Oppure, si basano sulle valutazioni di alcuni fattori base di rischio, fra cui:
In aggiunta ai sistemi di monitoraggio della transazione che supportano la TRA normalmente applicata dal prestatore di servizi di pagamento, per poter essere esentato dall'applicazione della SCA il prestatore deve considerare, in tempo reale, anche i seguenti fattori di rischio:
Infine, distinguendo in due tipologie di pagamento remoto, ossia quello che si compie mediante una carta (p.e. via internet) e quello che si ottiene disponendo un bonifico (p.e. tramite un dispositivo mobile), l’EBA ha previsto che l’applicazione della deroga per la TRA sia possibile nel rispetto di specifici limiti d’importo, per i quali sono stati calcolati e associati coefficienti - in percentuale - del tasso di frode; ossia osservando la conformità a una tabella di scoring prevista negli standard (Figura 3).
In fase di revisione della PSD2, l'EBA propone che in una futura “PSD3” venga chiarito quando l'utilizzo di tecnologie di terzi in relazione all’autenticazione forte del cliente debba considerarsi esternalizzazione, rendendo pertanto applicabili le linee guida dell’Autorità adottate in merito o se, laddove la Commissione si risolvesse nel non considerarlo tale, sia comunque necessario applicare particolari condizioni.
Secondo l'EBA, delegare il processo di autenticazione forte del cliente da parte di un prestatore di servizi di pagamento a un fornitore di servizi tecnici (compresa un'altra entità anche appartenente allo stesso gruppo societario del prestatore di servizi di pagamento) costituirebbe a tutti gli effetti un'esternalizzazione.
Nell’attesa che ciò si chiarito in corso di revisione dell’attuale PSD2, è opportuno osservare come, in ogni caso, il ricorso a terzi non prevedrebbe alcuna delega di responsabilità, che resta pertanto sempre del prestatore di servizi di pagamento e, in quanto tale, deve potersi ben esplicitare nei contratti di servizio con i propri clienti.
1 Direttiva (UE) 2015/2366, pubblicata in Gazzetta Ufficiale dell’Unione Europea il 23 dicembre 2015.
2 I TPP sono i cosiddetti “Third Party Provider”, soggetti autorizzati alla prestazione dei servizi di pagamento basati sull’accesso ai conti, come previsto dalla PSD2.
3In Italia, per la sola applicazione della SCA ai pagamenti a distanza effettuati con carta, è stata concessa un’ulteriore proroga sino al 1° aprile 2021, procedendo gradualmente nei primi tre mesi (gennaio, febbraio, marzo 2021) a un’applicazione per scaglioni di importo massimo a diminuire in progressione.
4L’applicazione del protocollo 3-D Secure è stata approvata dall’organo con funzioni di governance presieduto da EMVCo, il consorzio tra i principali schemi di carte di pagamento internazionali.
5Si veda al riguardo il documento “Opinion Paper of the EBA on the elements of strong customer authentication under PSD2” del 21 giugno 2019.
6Questo importo costituisce il massimo avvaloramento della soglia concesso dall’EBA agli Stati membri per l’applicazione della deroga in questione. In Italia, il limite per effettuare pagamenti contactless senza dover inserire il codice PIN è stato innalzato da 25 a 50 euro a partire dal 1° gennaio 2021.