IT
Servizi PSD2 a valore aggiunto
Aggregazione conti - AISP
Accedi ai dati transazionali e crea servizi a valore aggiunto
Fabrick Pay by Bank
Accetta pagamenti da conto a conto con la licenza Fabrick
Valutazione creditizia
Ottieni una valutazione del merito creditizio veloce e accurata
Gestione finanziaria personale
Aiuta i clienti a controllare e gestire le proprie finanze
Banking as a Service
Integra servizi finanziari nel tuo prodotto
Copertura banche via API
Scopri tutte le banche connesse
Soluzioni di pagamento end-to-end
Fabrick Payment Orchestra
Migliora la gestione dei flussi di pagamento e di quelli informativi
Addebito diretto e mandato SDD
Accetta pagamenti ricorrenti con addebito diretto SEPA e mandato digitale
Fabrick Payment Gateway (Ecommerce)
Accetta pagamenti sul tuo sito e in-app
Fabrick Advice
Consenti transazioni esenti da SCA grazie all'analisi del rischio real-time
Fabrick Guaranteed payments
Offri un controllo frodi post autorizzazione
Fabrick Payment Facilitator
Ricevi accrediti pre-riconciliati direttamente sul tuo conto
Fabrick Financial Split Payments
Ottimizza la gestione degli incassi e la loro suddivisione tra le parti coinvolte
Servizi bancari per le imprese
SME Banking
Offri servizi bancari evoluti alle PMI
Lending Place
Offri un accesso al credito semplice e rapido
Onboarding digitale
Verifica l'identità dei clienti in modo rapido e sicuro
Check IBAN Web
Verifica real time la titolarità di un codice IBAN, in modo automatico e senza errori
Fabrick Smart Banking
Crea un’app personalizzata in cui integrare servizi di pagamento digitali
Soluzioni in-store
Tap to Pay
Accetta pagamenti in-store o in mobilità con Tap to Pay e il tuo smartphone
POS Easy a commissioni
Il POS con solo un 1% di commissioni e nessun costo fisso
POS Easy a canone
Solo un canone mensile e nessuna commissione sulle transazioni
Axerve Pay by Link
Il servizio per richiedere pagamenti a distanza ai tuoi clienti e farli pagare online
Digitalizzazione contante
Le casseforti intelligenti per versare il contante direttamente dal punto vendita
Industry
Servizi bancari e finanziari
Fashion
Fintech
Ho.Re.Ca.
Insurance
Automotive
Customer stories
Insight
Articoli
Whitepaper
Sviluppatori
Le nostre API
Fabrick Producers
TPP Portal
Login Consumer Portal Fabrick
Corporate
L’ecosistema Fabrick
La nostra storia
La nostra mission
Management Team
La piattaforma Open Finance
Fabrick People
Il nostro team
Perchè Fabrick
Posizioni aperte
Media Hub
Comunicati stampa
Rassegna stampa
Eventi
Media kit
InsightArticoliTransaction Risk Analysis e SCA: come ottimizzare l’autenticazione forte

Transaction Risk Analysis e SCA: come ottimizzare l’autenticazione forte

Pubblicazione: 24 aprile 2026Tempo di lettura: 8 minuti
image

Europa: le frodi si concentrano ancora nei pagamenti online

Secondo il report congiunto pubblicato da EBA e BCE a dicembre 2025¹, le frodi nei pagamenti continuano a colpire soprattutto le transazioni Ecommerce. Per chi vende online, il dato più rilevante è che la gran parte del valore delle frodi su carta si concentra ancora nel commercio elettronico, pur rappresentando questi una quota molto più contenuta del totale transato.

Nel 2024, il valore complessivo delle frodi nei pagamenti nell’area SEE ha raggiunto 4,2 miliardi di euro, di cui 1,3 miliardi legati ai pagamenti con carta.

Il report evidenzia anche che il rischio cresce nelle operazioni con controparti fuori dall’area SEE e che, nei casi in cui la SCA non viene applicata, i livelli di frode possono risultare più elevati della media. Un quadro che conferma come, nel commercio online, sicurezza e fluidità del checkout debbano essere bilanciate con attenzione.

Nel 2024, per i pagamenti con carta, i tassi di frode sono risultati circa 17 volte più alti nelle transazioni con “counterpart PSP” extra-SEE. Nelle operazioni con carta in cui la SCA non è stata applicata, i tassi di frode registrati sono stati tra lo 0,01% e lo 0,17%.

Italia: il rischio frodi sull’Ecommerce resta superiore a quello relativo al POS fisico

Anche in Italia il quadro più recente conferma la stessa dinamica. Secondo Banca d’Italia², il tasso di frode complessivo sui pagamenti digitali resta molto basso, ma le operazioni Ecommerce continuano a mostrare un livello di rischio nettamente superiore rispetto ai pagamenti effettuati su POS fisico.

Le frodi sui pagamenti online con carta rappresentano ancora la parte prevalente del fenomeno, nonostante un miglioramento rispetto all’anno precedente. Per gli esercenti, questo significa che il tema non è solo rafforzare la sicurezza, ma gestire nel modo più efficace i passaggi di autenticazione che possono incidere sulla conversione.

Nel primo semestre 2025, per le carte di pagamento, il tasso di frode in valore sulle operazioni Ecommerce è sceso allo 0,065% (da 0,087%), comunque superiore a quello rilevato sui POS fisici, fermo allo 0,006%.

Strong Customer Authentication e tasso di conversione

Dal punto di vista di un esercente Ecommerce, la Strong Customer Authentication ha un duplice ruolo: da un lato riduce le frodi, dall’altro aggiunge uno step in più all’esperienza di chi paga. Per il merchant, quindi, l’impatto è concreto: la sicurezza è necessaria, ma ogni passaggio aggiuntivo nel checkout può aumentare la probabilità di abbandono.

Proprio per questo la domanda corretta non è se la SCA serva o meno, ma come ridurne la frizione nei casi in cui la normativa consente di non applicarla oppure di gestirla in modo più selettivo. Questa è la chiave per fare in modo che l’autenticazione forte del cliente diventi un’opportunità per aumentare i tassi di conversione.

Quali sono i requisiti di autenticazione forte SCA?

La risposta a questa domanda è normativa e parte dalla struttura stessa della SCA. La direttiva UE 2015/2366 stabilisce che l’autenticazione deve basarsi su due o più elementi appartenenti alle categorie knowledge, possession e inherence, come abbiamo approfondito nell’articolo “I protocolli di sicurezza 3D Secure per la protezione degli acquisti online”. L’EBA richiama inoltre in modo esplicito le tre categorie come fondamento dell’architettura SCA.

In sintesi, l’autenticazione forte non è solo “un controllo in più” imposto dalla banca o dall’issuer del cliente finale, è una parte del flusso di pagamento che tutela l’operazione, ma che può anche introdurre attrito se arriva in un momento poco chiaro o poco coerente del checkout.

Esenzioni ed eccezioni SCA: quando l’autenticazione forte non è necessaria

Dire che nel commercio online la SCA, anche detta “challenge”, è sempre obbligatoria è una semplificazione. La regola generale esiste, ma gli RTS (Regulatory Tehcnical Standards) prevedono diverse casistiche in cui la Strong Customer Authentication può non essere applicata.

Una prima casistica riguarda le low-value transactions. L’articolo 16 del Regolamento 2018/389 consente di non applicare la SCA quando la singola operazione remota non supera 30 euro, a condizione che l’importo cumulato delle precedenti operazioni senza SCA dall’ultima autenticazione non superi 100 euro oppure che non siano state effettuate più di cinque transazioni consecutive senza SCA.

Un secondo caso riguarda i pagamenti ricorrenti. L’articolo 14 prevede che, quando il cliente autorizza una serie di transazioni dello stesso importo e verso lo stesso beneficiario, la SCA sia richiesta all’avvio della serie o alla sua modifica, mentre le operazioni successive possono non richiederla. Per modelli basati su subscription o rinnovi periodici, questa è una leva importante per ridurre la frizione dopo il primo pagamento.

Esiste poi la casistica dei trusted beneficiaries. L’articolo 13 prevede che la SCA sia applicata quando il pagatore crea o modifica una lista di beneficiari fidati, mentre i pagamenti successivi verso questi soggetti possono essere eseguiti senza nuova autenticazione forte.

Infine, ci sono operazioni che sono out of scope. L’EBA ha chiarito che le Merchant-Initiated Transactions (MIT) avviate dal merchant, sulla base di un mandato conferito dal pagatore, non ricadono nel requisito di SCA come i pagamenti avviati dal pagatore. È il caso tipico di alcune transazioni successive a un primo consenso già autenticato.

Transaction Risk Analysis: perché conta anche se il merchant non la controlla

La Transaction Risk Analysis (TRA) è spesso presentata come un tema tecnico da “addetti ai lavori”, ma i suoi effetti si vedono direttamente nel checkout. L’articolo 18 del Regolamento 2018/389 consente ai PSP di non applicare la SCA alle transazioni considerate a basso rischio, purché siano soddisfatti specifici requisiti di monitoraggio e valutazione. La norma richiama indicatori come pattern di spesa anomali, comportamento del pagatore, uso inconsueto del dispositivo o localizzazione anomala.

In Europa, nel 2024, tra i pagamenti Ecommerce con carta in cui la SCA non è stata applicata, la causale più frequente è stata l’esenzione per Transaction Risk Analysis (TRA), pari a circa il 29% del totale. Ciò significa che, in quasi un caso su tre, il pagamento è stato considerato sufficientemente a basso rischio da non richiedere un passaggio aggiuntivo di autenticazione forte.

Fonte: Joint EBA-ECB report on payment fraud: strong authentication remains effective but fraudsters are adapting | Banca Centrale Europea, dicembre 2025

Per il merchant il punto chiave è questo: la TRA non è una leva che si attiva in autonomia dal back office Ecommerce. Tuttavia, il modo in cui il pagamento è impostato, la qualità dei dati trasmessi e la correttezza della classificazione del flusso incidono sulla leggibilità della transazione e quindi, in concreto, anche sulla probabilità che venga valutata come low risk.

Cosa può fare davvero un Ecommerce per ottimizzare l’autenticazione forte

Il primo fattore riguarda la qualità del dato transazionale. Un ordine coerente, importi chiari, la corretta identificazione del beneficiario e la classificazione appropriata del tipo di pagamento aiutano a rendere la transazione più leggibile per gli attori che la devono valutare. In questo senso, ottimizzare la autenticazione forte del cliente non significa ridurre la sicurezza, ma ridurre l’ambiguità.

Il secondo è la progettazione del checkout. Il merchant non controlla l’app bancaria o il sistema con cui il cliente completa l’autenticazione, ma controlla tutto ciò che avviene prima e dopo: chiarezza del riepilogo ordine, continuità tra carrello e importo finale, qualità del redirect o dell’embedded flow, messaggi corretti in caso di challenge o retry. Più il percorso è coerente, meno la SCA viene percepita come un’interruzione del flusso. Questo è un passaggio di progettazione che diventa ancora più importante proprio nei momenti in cui il rischio frode si concentra sul canale remoto.

Il terzo margine d’azione, non necessariamente per importanza, è la scelta dell’infrastruttura di pagamento. Se la Strong Customer Authentication è gestita da PSP e issuer, allora la qualità del partner fa la differenza: gestione corretta di recurring e MIT, capacità di supportare esenzioni in modo ordinato, qualità dei dati scambiati e continuità del flusso sono tutti elementi che incidono sull’esperienza finale del cliente.

Fabrick Advice: l’analisi del rischio che ottimizza il tasso di conversione

In questo scenario, un servizio come Fabrick Advice aiuta il merchant a gestire in modo più efficace le transazioni esenti dalla SCA. La soluzione effettua un’analisi del rischio in tempo reale sulle operazioni candidate all’esenzione e assegna un indicatore che ne misura il livello di rischio, con l’obiettivo di capire se sia preferibile non procedere, applicare la SCA oppure avanzare una richiesta di esenzione. Advice è un servizio di analisi real-time del rischio sulle transazioni esenti da SCA, pensato per ottimizzare il tasso di conversione.

Dal punto di vista operativo, Fabrick Advice interviene prima dell’autorizzazione del pagamento. La piattaforma esegue una prima valutazione per verificare l’idoneità della transazione, svolge un’analisi pre-autorizzativa e restituisce uno dei possibili esiti: frode, 3DS2 suggerito oppure richiesta di esenzione.

Il valore, per l’esercente, è soprattutto nell’equilibrio tra conversione e controllo del rischio. Il servizio punta ad aumentare i pagamenti gestiti senza applicazione della SCA, con un impatto positivo sul conversion rate, e allo stesso tempo riduce le barriere in fase di checkout migliorando l’esperienza d’acquisto. La logica non è quindi “saltare” la sicurezza, ma applicarla in modo più selettivo, sfruttando le opportunità offerte dalla PSD2 quando la transazione risulta coerente con un profilo di rischio contenuto.

image

Un ulteriore elemento distintivo è il doppio controllo. Infatti, dopo la prima analisi finalizzata a valutare l’idoneità della transazione all’esenzione, le operazioni processate senza SCA possono essere sottoposte a una seconda analisi di rischio più accurata tramite Fabrick Guaranteed payments, così da garantire la transazione rispetto a eventuali chargeback. Se invece l’issuer non accetta l’esenzione e restituisce un soft decline, il pagamento viene instradato verso il normale flusso di autenticazione. Per il merchant, questo significa poter usare la TRA non solo per alleggerire il checkout, ma anche per mantenere un presidio concreto sul rischio nelle operazioni più sensibili.

Conclusione

Per gli esercenti, la SCA non è un adempimento da subire in modo passivo, ma una variabile concreta del checkout da comprendere e governare indirettamente. Le frodi continuano a concentrarsi soprattutto nei pagamenti con carta a distanza, in Europa come in Italia, e questo spiega perché la SCA resti un presidio centrale nel commercio elettronico.

Allo stesso tempo, il quadro PSD2 non impone un’autenticazione identica per ogni pagamento. Le eccezioni per low value, recurring e trusted beneficiaries, insieme alla transaction risk analysis, mostrano che esiste uno spazio regolamentare per rendere la sicurezza più selettiva e meno invasiva, purché il rischio sia realmente sotto controllo.

Per questo, ottimizzare la SCA significa lavorare su ciò che il merchant può davvero influenzare: qualità dei dati, corretta configurazione dei flussi e design del checkout e scelta del PSP più efficace. Non per evitare la sicurezza, ma per fare in modo che la sicurezza entri nel percorso di acquisto con il minor impatto possibile sulla conversione.

Banner grafico sul whitepaper dedicato alla prevenzione delle frodi Ecommerce attraverso l’orchestrazione dei pagamenti, con elementi visivi che richiamano sicurezza e protezione.
Fonti
1

Joint EBA-ECB report on payment fraud: strong authentication remains effective but fraudsters are adapting | Banca Centrale Europea, dicembre 2025

2

Rapporto sulle operazioni di pagamento fraudolente in Italia - 1° semestre 2025 | Banca d’Italia, febbraio 2026

I nostri articoli

image

Transaction Risk Analysis e SCA: come ottimizzare l’autenticazione forte

Secondo un report congiunto pubblicato da EBA e BCE a dicembre 2025, le frodi nei pagamenti continuano a colpire soprattutto le transazioni Ecommerce. Allo stesso tempo SCA e TRA possono ridurre i tassi di conversione. E quindi, cosa possono fare gli esercenti in questo scenario?
24 aprile 2026
image

Buy Now Pay Later o credito al consumo per pagamenti rateali online?

I pagamenti a rate (o in tranche) online sono sempre più utilizzati anche in ambito Ecommerce. Per rispondere a questa esigenza gli esercenti possono integrare soluzioni anche molto diverse tra loro, con caratteristiche e vantaggi a seconda dei casi d'uso.
08 aprile 2026
image

Metodi di pagamento innovativi: quali sono e come migliorano l’esperienza d’acquisto

Il pagamento non è più solo l'ultimo miglio di un acquisto: è parte integrante dell'esperienza. Ecco perché oggi innovare significa, soprattutto, eliminare gli ostacoli. Scopri 5 tendenze innovative nel settore dei pagamenti - dai wallet digitali al Pay by Bank - che possono fare la differenza nel processo di checkout sempre più complesso.
19 marzo 2026