Come trasformare i requisiti normativi e dei circuiti di carte in materia di autenticazione forte del cliente in Europa in uno strumento per l’ottimizzare delle conversioni.
Il nuovo regolamento in materia di autenticazione forte del cliente, in inglese Strong Customer Authentication (SCA), è entrato in vigore nella maggior parte dei paesi europei nel 2021. Parte del suo mandato riguardava l’uso del protocollo 3DS per l’autenticazione dei pagamenti. Dall’introduzione della prima versione di questa tecnologia si sono avuti continui miglioramenti che hanno iniziato a tener conto sia delle preoccupazioni per la sicurezza, sia di quelle relative ai possibili attriti per i clienti.
A ottobre del 2022 i principali circuiti di carte hanno reso noto che agli emittenti e agli acquirer verrà chiesto di aderire allo standard avanzato per la sicurezza dei pagamenti online (EMV 3DS 2.2) in Europa. Le aziende che vogliono portarsi avanti col lavoro dovrebbero iniziare a prendere in considerazione sin d’ora come tutto ciò potrà influire sulle proprie strategie SCA.
In che modo il nuovo standard consentirà alle aziende di garantire un maggior numero di vendite andate a buon fine, con meno rifiuti e pagamenti contestati? In questo articolo spieghiamo che cosa c’è a monte della SCA e perché la nuova versione avanzata dello standard - 3DS 2.2 - è in grado di cambiare le regole del gioco.
L’autenticazione è il processo che consente di confermare se le persone sono proprio quello che dicono di essere. Esistono diversi modi per farlo nelle transazioni bancarie o di acquisto da remoto.
Normalmente, i fattori di autenticazione si basano su:
Per aumentare la sicurezza dei pagamenti a distanza, la direttiva europea sui servizi di pagamento (PSD2) prevede l’autenticazione a due o più fattori per la cosiddetta autenticazione “forte” del cliente, più comunemente nota con l'acronimo SCA.
Dal 31 dicembre 2020 tutte le transazioni elaborate nell’Area Economica Europea (AEE) sono state assoggettate alla normativa SCA tranne poche eccezioni, di seguito indicate. Il Regno Unito ha stabilito come data d’introduzione della normativa SCA il 14 marzo 2022, con le banche del paese che iniziano progressivamente a rifiutare le transazioni non a norma.
I cambiamenti degli stili di vita e delle abitudini di acquisto e quelli tecnologici stanno spingendo sempre di più le vendite a distanza. Di conseguenza lo standard 3DS, la cui introduzione risale alla fine degli anni Novanta, ha dovuto necessariamente evolversi per restare al passo coi tempi. Lo standard 3DS 2.1 è stato esteso ai pagamenti tramite cellulare e ai metodi di autenticazione alternativi, consentendo l'acquisizione di un numero di dati dieci volte maggiore per un’analisi più precisa dei rischi.
La tecnologia si è ulteriormente evoluta con la versione EMV 3DS 2.2, che attualmente consente un’esperienza utente più omogenea, decisioni più consapevoli basate sul rischio e la gestione delle eccezioni.
EMV 3DS 2.2 è la nuova versione avanzata del vecchio standard 3DS, gestito da EMVCo, l’ente tecnico globale per le transazioni di pagamento sicure.
Collegando l’emittente, l’acquirer e il programma della carta (i tre domini del protocollo 3 Domain Secure), lo standard 3DS offre ai consumatori la possibilità di autenticarsi direttamente presso l’emittente della carta quando effettuano acquisti online. Questo ulteriore livello di sicurezza contribuisce a evitare l’uso non autorizzato delle carte, oltre a proteggere le aziende dell’e-commerce dall'esposizione a determinati tipi di transazioni contestate.
In primo luogo, la nuova specifica è ottimizzata per molte più tipologie di dispositivi: cellulari, PC, consolle e persino TV digitali, oltre che per i pagamenti tramite app. È dunque arrivato il momento di dire addio alle fastidiose finestre pop-up, soprattutto sui piccoli schermi dei cellulari, e di dare il benvenuto a un flusso di checkout con meno attriti.
In secondo luogo, adesso è possibile per gli esercenti inviare più di 100 tipi di dati agli emittenti delle carte per una valutazione dei rischi più intelligente. Un bel passo in avanti rispetto agli otto data point che venivano normalmente scambiati nell’àmbito dell’autenticazione 3DS 1.0. In questo modo viene migliorata l’autenticazione basata sul rischio, il che significa che il checkout è esente da attriti per la maggior parte delle transazioni a basso rischio provenienti da clienti affidabili.
CKO spiega: Hard decline vs. soft decline
Gli hard decline si verificano quando l'emittente della carta del cliente rifiuta il pagamento. Ad esempio, quando la carta è scaduta o ne è stato denunciato il furto. Gli hard decline sono permanenti, per cui non è possibile ripetere il pagamento.
L’80-90% dei rifiuti è da imputare ai soft decline, che di solito si verificano quando l’emittente vuole autenticare il titolare della carta prima di autorizzare il pagamento.
Tutte le transazioni elettroniche richiedono la SCA, a meno che non esulino dal campo di applicabilità della normativa o non siano esenti.
I principali casi di non applicabilità per le transazioni remote sono:
Le quattro esenzioni principali dai requisiti SCA per chi vende online sono:
Per riassumere: La SCA non è richiesta per le transazioni che non rientrano nell’ambito di applicabilità, né per quelle esenti. Tuttavia queste transazioni devono essere contrassegnate correttamente nel messaggio di autorizzazione per ridurre la possibilità che vadano incontro a soft decline da parte degli emittenti.
Lo standard 3DS 2.2 supporta questo flusso esente da attriti, per cui le aziende che accettano i pagamenti online sono avvisate di lavorare con i loro acquirer per mettere a punto una strategia d'esenzione adatta per le loro situazioni specifiche.
Devono inoltre tenere presente che spetta agli emittenti l’ultima parola se applicare o meno la SCA. Vi sono cose che soltanto loro possono sapere o fare, ad esempio capire quali sono le abitudini di spesa tipiche del cliente, o quali sono gli esercenti inseriti nell’elenco dei beneficiari affidabili.
Se gli emittenti nutrono sospetti in relazione a una transazione possono sempre chiedere un’autenticazione step-up o contestarla tramite il protocollo 3DS, anche se è stata contrassegnata come fuori dell’àmbito di applicabilità o esente dalla SCA.
Possono fare in modo che la normativa SCA si traduca in un vantaggio competitivo:
Analogamente devono valutare gli effetti della SCA sui percorsi e sui processi dei clienti, per aumentare al massimo il ricorso alle esenzioni ai fini di un flusso di checkout senza attriti. Se non sei certo se un determinato caso abbia diritto alle esenzioni rivolgiti ai nostri esperti dei pagamenti.
Infine, definisci una strategia antifrode che rispecchi il tuo business model. È probabile che nel corso degli anni la tua azienda abbia già effettuato importanti investimenti in strumenti di rilevamento delle frodi e di gestione del rischio. Lo standard 3DS 2.2 consente di sfruttare tali investimenti.
Occorre trovare il giusto equilibrio fra ridurre al minimo le frodi e i costi operativi, ottimizzare l'esperienza del cliente e aumentare al massimo i ricavi. Nessuno dice che sia facile. Ma la bella notizia è che non esiste solo un modo corretto per bilanciare questi fattori o ideare una strategia d'esenzione.
Ogni azienda può adattare e adeguare il proprio approccio in modo da poterne avere un vantaggio competitivo, a seconda della situazione specifica.