IT
InsightArticoliI protocolli di sicurezza 3D Secure per la protezione degli acquisti online

I protocolli di sicurezza 3D Secure per la protezione degli acquisti online

Pubblicazione: 05 settembre 2023Tempo di lettura: 4 minuti

I protocolli di sicurezza 3D Secure (3DS) per la protezione degli acquisti online sono un sistema di protezione dei pagamenti ideato e sviluppato dai principali circuiti internazionali come Visa e Mastercard, per aumentare il livello di sicurezza delle transazioni online con carta di credito e debito.

I protocolli vengono applicati tramite l’attivazione di Verified by Visa e Mastercard Identity Check (evoluzione recente di Mastercard Securecode, 2020) sulle carte di pagamento, che per concludere pagamenti online richiedono un’autenticazione da parte dell’acquirente, riducendo al minimo il rischio di uso dello strumento da parte di terzi.

Funzionamento ed evoluzione dei protocolli 3DS

Grazie all'introduzione deli protocolli 3D Secure, che risale all'inizio degli anni duemila, l’ecosistema Ecommerce ha visto incrementare il livello di sicurezza dei pagamenti online e, come diretta conseguenza, è andata via via aumentando anche la fiducia dei consumatori nei confronti di un mondo che era ancora appannaggio di pochi first mover.

I servizi di sicurezza hanno introdotto il concetto di autenticazione nel processo: per concludere un pagamento non era più sufficiente inserire solo i dati di carta – tipicamente nome e cognome, PAN, data di scadenza e CVV – ma era diventato necessario digitare una password che l’acquirente aveva scelto in fase di attivazione del servizio oppure un codice temporaneo ricevuto tramite sms o generato da un dispositivo consegnato dalla banca.

Nel corso degli anni le evoluzioni sono state minime e per lo più legate alle soluzioni di autenticazione con una convergenza sull'sms, soprattutto grazie all'aumento costante dell’adozione di telefoni cellulari. Nel 2018 la normativa Europea PSD2 in materia di pagamenti ha introdotto il concetto di Strong Customer Authentication che hanno comportato importanti novità sui protocolli 3DS, con l’obiettivo di rendere ancora più sicuri i pagamenti online, anche attraverso un processo di autenticazione più strutturato.

Caratteristiche dei protocolli 3DS2

Un miglioramento alla protezione del consumatore arriva proprio dal passaggio al 3DS2. La prima versione dei prodotoclli 3DS aveva molti limiti, partendo proprio dal fatto che faceva uso di una schermata pop-up con un URL diverso, offrendo di fatto un'opportunità (phishing) a chi volesse perpetrare frodi online simulando la pagina di autenticazione. Inoltre, la memorizzazione di una password per ogni carta, poteva complicare l’esperienza dell’utente nel caso in cui possedesse più carte di credito o debito. A questo si aggiungeva il fatto che non era obbligatorio implementare il 3DS come misura di sicurezza, e questo aumentava i rischi per il consumatore.

Tutto questo è cambiato con l’introduzione del 3DS 2.1, che ottempera all'obbligo di adottare un’autenticazione forte del cliente dal 31 dicembre 2020, data di scadenza della proroga concessa da EBA (European Banking Authority). Se gestito correttamente, la nuova versione del protocollo di sicurezza garantisce un tasso di approvazione più alto e la riduzione degli abbandoni del carrello, grazie ad un’esperienza senza frizioni per l’acquirente. La sua adozione ha anche il vantaggio di spostare la responsabilità della transazione dal merchant all'issuer (liability shift) per tutte le transazioni veicolate tramite il protocollo, dunque è la società che emette la carta (issuer) a dover rispondere di un'eventuale frode.

In definitiva, il 3DS2 garantisce il rispetto degli standard SCA, riducendo il numero di frodi e migliorando l’esperienza del consumatore sui siti web e sulle app.

Con il nuovo protocollo 3DS2, username e password non sono più sufficienti dal punto di vista della sicurezza, ma è necessario autenticarsi con almeno due tra queste tipologie di elementi:

Informazioni che conosce solo il cliente (KNOWLEDGE)

  • PIN
  • Password
  • Domande di sicurezza

Qualcosa posseduto solo dal cliente (POSSESSION)

  • Carta
  • Telefono
  • Token
  • Device indossabile

Qualcosa che contraddistingue il cliente (INHERENCE)

  • Impronta digitale
  • Riconoscimento facciale
  • Riconoscimento della voce o scansione dell'iride

La novità più rilevante è l’introduzione di elementi biometrici per l’identificazione del buyer, tecnologia ormai molto diffusa sulla maggior parte di smartphone in commercio e che ha migliorato sia la sicurezza dell’accesso al dispositivo sia quella di molte azioni disponibili, come ad esempio gli acquisti negli app store.

L’introduzione dell’autenticazione dei 3DS ha ridotto drasticamente il rischio di uso fraudolento delle carte da parte di terzi, inserendo un elemento conosciuto solo dal titolare della carta. La nuova normativa Europea, con la seconda versione dei protocolli la cui attuazione è avvenuta all'inizio del 2021, ha diminuito ulteriormente i rischi di frode rendendo obbligatori i protocolli la cui gestione da parte dei merchant, sino ad oggi, è stata di fatto facoltativa.

Eccezioni all'applicazione della Strong Customer Authentication

La normativa PSD2 prevede delle eccezioni e delle vere e proprie esenzioni all'applicazione dell'autienticazione forte. Vediamo innanzitutto le eccezioni:

  1. One-leg transactions. La SCA si applica alle cosiddette transazioni two-legs, ossia ai pagamenti in cui il prestatore di servizio di pagamento e l’issuer sono entrambi residenti nello Spazio Economico Europeo SEE. Sono previste eccezioni per le transazioni one-leg, cioè i pagamenti in qualsiasi valuta in cui uno dei due soggetti sopra citati abbia sede al di fuori del SEE.
  2. Mail Order Telephone Order (M.O.T.O.). Tutte le transazioni anche dette card not present, cioè i pagamenti effettuati senza la presenza del titolare della carta (ad es. pagamenti fatti tramite call center o richiesti via email dal cliente all'esercente).
  3. Merchant Initiated Transactions (M.I.T.). Sono pagamenti inseriti dall'esercente, previa autorizzazione dell’acquirente, senza che l’ordine di pagamento del cliente sia contestuale. Questi pagamenti possono avvenire solo per un gruppo ristretto di casi (ad es. bollette e bollettini, abbonamenti telefonici, servizi digitali, ricariche di digital wallet).
  4. Card on file. In questo caso l’autenticazione è avvenuta in precedenza per il tramite di un terzo soggetto. I casi più comuni sono i pagamenti effettuati grazie a digital wallet come Apple Pay o Google Pay.

Esistono anche delle esenzioni alla SCA. Vediamo le transazioni che non hanno l’obbligo di usare la SCA o per le quali è possibile richiedere l’esenzione:

  1. Transazioni di modesto valore. Transazioni sotto i 30 euro, che sommate non superano 100 euro o cinque transazioni singole consecutive esenti dall'ultima volta che è stata effettuata la SCA
  2. Transazioni considerate a basso rischio di importo compreso tra 30 euro e 500 euro (low Risk Based Analysis o RBA). L’esenzione è possibile nel caso in cui l’issuer emittente della carta che sta effettuando il pagamento o l’acquirer che sta gestendo la transazione abbia, tra le varie condizioni, un tasso di frodi pari o inferiore a determinati tassi di frode di riferimento normativamente stabiliti (1, 6 o 13bps a seconda della soglia di esenzione)
  3. Pagamenti ricorrenti (Recurring Payments). Nel caso di abbonamenti o transazioni ricorrenti con valore e beneficiario fissi, la SCA sarà richiesta solo per la prima transazione (e non per i successivi rinnovi automatici). Se, ad un certo punto, il costo dell’abbonamento o della transazione ricorrente subisse una variazione, verrebbe nuovamente richiesto il 3DS. 
  4. Whitelisting o beneficiari di fiducia. I clienti potranno decidere secondo le modalità con cui l’issuer metterà a disposizione questa funzionalità, di aggiungere un'azienda nella lista di “Beneficiari di fiducia”. Se la funzionalità sarà messa a disposizione dei Clienti, la SCA sarà richiesta per la creazione e/o la modifica della lista di beneficiari di fiducia o al primo pagamento verso l’azienda nel quale sarà possibile indicare di inserire l’azienda in whitelist. Per i pagamenti successivi non verrà richiesta nuovamente l’autenticazione salvo i casi in cui l’issuer non ritenesse opportuno farlo per tutelare tutte le parti in causa.

Attivazione dei sistemi 3D Secure per l’esercente

L’attivazione dei servizi 3DS dei circuiti sulle carte di credito e debito è in capo agli issuer (che hanno emesso la carta di pagamento), sono loro infatti che attivano la funzionalità sulle carte degli acquirenti, mentre per il merchant l’interlocutore di riferimento è l’acquirer che, prima dell’avvento della PSD2, poteva accordare all'esercente la disattivazione dei protocolli che aumentano la sicurezza ma possono ridurre il conversion rate.

L’esercente infatti ha sempre avuto la possibilità di richiedere all'acquirer la disabilitazione dei protocolli, di fatto accettando di far pagare i propri clienti senza l’inserimento del codice di autenticazione, a scapito della sicurezza ma a favore di una probabilità maggiore che il pagamento andasse a buon fine, considerato che senza inserire il codice di autenticazione il cliente ha uno step in meno da superare. I nuovi protocolli 3DS2 hanno spostato invece sull'issuer la decisione di applicare o meno l’autenticazione a due o più fattori su ogni transazione, dunque acquirer e merchant diventano soggetti “passivi” nell'applicazione dell’autenticazione, parte integrante del customer journey in fase di pagamento.

I nuovi protocolli richiedono in particolare l’inserimento nelle richieste di pagamento di un maggior numero di informazioni legate alla transazione e all'acquirente, permettendo all'issuer un’analisi del rischio di frode più puntuale e, di conseguenza, una minore probabilità che venga richiesta l’autenticazione alle transazioni inserite effettivamente dal titolare dello strumento di pagamento.

Sebbene esistano eccezioni ed esenzioni all'applicazione della Strong Customer Authentication, la gestione dei nuovi protocolli 3DS2 diventa essenziale per il merchant che non risulterebbe compliant alla normativa e si vedrebbe rifiutare le richieste di pagamento in caso di mancata implementazione.

Come gestire i nuovi protocolli di sicurezza

I protocolli 3DS2 offrono l’opportunità al merchant di inserire dei campi aggiuntivi opzionali per fornire un set di dati aggiuntivi all'issuer e contribuire a ridurre la probabilità che venga applicata la SCA alle transazioni. Per fare questo può essere necessario rivedere il customer journey del sito, integrando campi strumentali alla raccolta del dato, e dunque può aumentare la complessità di integrazione.

Un elemento fondamentale per sfruttare al meglio la normativa PSD2 è l'applicazione di eccezioni ed esenzioni al maggior numero di transazioni, mantenendo allo stesso tempo standard di sicurezza elevati. Guaranteed payments e Advice sono le due soluzioni di Fabrick che fanno leva proprio su queste opportunità, per garantire un servizio di prevenzione frodi d'eccellenza, riducendo le frizioni in fase di pagamento e garantendo il rimborso di eventuali frodi non identificate.

I nostri articoli

Alipay e i sistemi di pagamento per il mercato cinese

La digitalizzazione della popolazione cinese ha coinvolto fortemente sia i pagamenti digitali che quelli fisici, il che si traduce in un enorme potenziale per tutti i retailer che lavorano con la Cina. Quali sono i sistemi di pagamento alternativi più popolari per il pubblico cinese?
25 settembre 2023

Buy Now Pay Later o credito al consumo per pagamenti rateali online?

I pagamenti a rate (o in tranche) online sono sempre più utilizzati anche in ambito Ecommerce. Per rispondere a questa esigenza gli esercenti possono integrare soluzioni anche molto diverse tra loro, con caratteristiche e vantaggi a seconda dei casi d'uso.
22 settembre 2023

I protocolli di sicurezza 3D Secure per la protezione degli acquisti online

I protocolli di sicurezza 3D Secure (3DS) sono un sistema di protezione dei pagamenti online, sviluppati per aumentare il livello di sicurezza delle transazioni online con carta di credito e debito. Come funzionano e come gestirli al meglio?
05 settembre 2023