Il 14 settembre è ormai alle porte. Dal 14 settembre 2019, per tutti i pagamenti digitali superiori a 10 euro, sarà in vigore l’autenticazione forte del cliente Strong Customer Authentication – SCA
Prima di SCA c’è PSD2
Non si capisce la SCA, se non si conosce cos’è la direttiva PSD2.
PSD2 è la Payment Services Directive 2, una direttiva europea in gestazione da molti anni.
PSD è la prima versione nel 2007 di una direttiva – 2007/64/CE – che definiva il quadro giuridico comunitario per i pagamenti elettronici. La PSD è stata recepita nell’ordinamento italiano con il D.lgs n.11 del 27 gennaio 2010, entrato in vigore il 1° marzo 2010.
Ne è passato di tempo e abbiamo tutti digerito questa direttiva.
Se avete un po’ di memoria potete ricordare che:
- Prima del 2010 il bonifico bancaria aveva bisogno dei dati ABI e CAB, dal 2010 il bonifico ha bisogno solo dell’Iban.
- Prima del 2010 i bonifici impiegavano 3 giorni per arrivare, anche 4 in caso di bonifici cartacei. Dal 2012 dovrebbe bastare un solo giorno lavorativo per il bonifico.
- La disponibilità dovrebbe essere immediata e non si possono più fare bonifici con data valuta anteriore alla disposizione dell’ordine.
- Sono aumentate le tutele per l’uso di carte di credito e bancomat ed è aumentato il tempo per i controlli e la richiesta di rimborsi.
- Le informative per i clienti sono migliorate e, rispetto a prima della direttiva, il linguaggio dovrebbe essere più chiaro.
Dal 14 settembre tutto cambia ancora.
In realtà tutto dovrebbe essere cambiato dal 13 gennaio 2018, data di entrata in vigore della direttiva PSD2. Il fatto è che, da bravi procastinatori, aspettiamo tutti il 14 settembre 2019 perché questa è la data in cui tutto diventa operativo.
Un po’ come la data della Cookie Solution, dell’adeguamento al GDPR, ci accorgiamo solo nell’imminenza della scadenza di cosa voglia dire questo cambiamento epocale. Non cambia che noi si sia venditori o consumatori.
La PSD2 è come il GDPR per la privacy: tutto cambia.
I dati dei clienti fino a ieri erano gestiti e custoditi gelosamente dalle banche, forti di un rapporto esclusivo. Con la direttiva PSD2 entreranno in campo i TTP – Third Part Provider – che competeranno con le banche perché potranno utilizzare i dati bancari per agganciare nuovi clienti, fornire servizi anche oltre i pagamenti, quando questi servizi erano offerti solo dalle banche.
Noi lavoriamo nell’ecommerce.
È vero, noi lavoriamo nell’eCommerce, conosciamo i gateway bancari, conosciamo i più diffusi aggregatori di pagamenti, conosciamo i wallet per pagare online.
Come impatta sull’ecommerce la direttiva PSD2?
Strong Customer Authentication – SCA
Una delle principali novità della direttiva PSD2 è la SCA che, dal 14 settembre 2019, potrebbe impattare pesantemente sul tasso di conversione degli eCommerce.
L’autenticazione forte del cliente è una autenticazione che si basa su due o più elementi:
- Qualcosa che solo l’utente conosce: una password o un codice temporaneo.
- Qualcosa che solo l’utente possiede: un pc o un dispositivo mobile.
- Qualcosa che caratterizza l’utente: una impronta biometrica, il riconoscimento facciale, il riconoscimento vocale, i dati comportamentali.
I requisiti SCA faranno molto per aumentare la sicurezza delle transazioni e accrescere la fiducia dei consumatori nell’eCommerce
Il rovescio della medaglia.
Ci sono molte ricerche che ipotizzano che l’implementazione di SCA avrà un impatto enorme sui rivenditori, con la possibilità di una perdita importante di volumi di vendita nel primo anno di entrata in vigore della SCA.
Secondo Baymard Institute l’attuale tasso di abbandono del carrello, senza SCA, è in media del 69%.
Ci sono scenari che ipotizzano che dopo il 14 settembre 2019, fino al 50% delle transazioni online possano vedere la richiesta di una password e di una autenticazione forte. E questo aggiunge un punto di attrito imprevisto per i consumatori che si aspettano un’esperienza di pagamento senza soluzione di continuità.
Per i rivenditori online, ridurre l’attrito durante la procedura di pagamento è fondamentale per evitare l’abbandono degli ordini e aumentare le entrate.
Quando sarà richiesta l’autenticazione forte?
Per tutti i pagamenti avviati dal cliente.
- I pagamenti con carta di debito/credito
- Tutti i trasferimenti bancari avviati dal cliente.
- Per i pagamenti con carta online quando azienda e banca del titolare si trovano nello spazio economico europeo, probabilmente compreso anche il Regno Unito, al di là del Brexit.
Quando non sarà richiesta l’autenticazione forte?
Tutti i pagamenti avviati dal commerciante come i pagamenti ricorrenti.
Esenzioni dall’autenticazione forte.
Pagamenti di importo ridotto, inferiore a 30 euro.
- Attenzione: se l’esenzione dalla autenticazione forte è stata utilizzata cinque volte dall’ultima autenticazione, all’acquisto successivo DEVE essere richiesta la SCA.
- Oppure se la somma dei pagamenti precedentemente esentati supera i 100 €.
La banca del titolare della carta dovrà tenere traccia del numero di volte in cui questa esenzione è stata utilizzata e decidere se è necessaria l’autenticazione.
Abbonamenti a importo fisso.
- L’esenzione si applica se il cliente effettua una serie di pagamenti ricorrenti alla stessa azienda per lo stesso importo.
L’autenticazione forte sarà richiesta per il primo pagamento del cliente, gli addebiti successivi potrebbero essere esentati da SCA.
Transazioni avviate dal commerciante.
Il venditore, se vuole utilizzare le transazioni avviate dal commerciante, dovrà autenticare la carta quando viene salvata o al primo pagamento. Infine, dovrà ottenere un accordo dal cliente (indicato anche come “mandato”), al fine di addebitare la sua carta in un secondo momento.
Beneficiari fidati.
Il venditore online, soprattutto B2B, ha la possibilità di autorizzare un’azienda di cui si fida ed evitare di dover ricorrere alla SCA per autenticare pagamenti futuri. Ci sarà quindi un elenco di “beneficiari fidati” gestito dalla banca o dal fornitore di servizi di pagamento del venditore.
Attenzione che essere un beneficiario fidato non esime dall’obbligo di pagare le forniture al venditore.
Vendite telefoniche.
Mail Order and Telephone Order, anche conosciuti come pagamenti MOTO – sono pagamenti con Transazione con “carta non presente”.
Contrassegnare un pagamento come una transazione MOTO sarà simile alla richiesta di altre esenzioni, con la banca del titolare della carta che prende la decisione finale di accettare o rifiutare la transazione.
Attenzione che i pagamenti MOTO sono i pagamenti con un pos virtuale e non i pagamenti in cui il cliente ti legge i dati della carta di credito al telefono compresi i codici di sicurezza!
Per le transazioni MOTO, i commercianti devono tenere registri dettagliati che contengono informazioni specifiche. Ad esempio, la loro copia del pagamento deve identificare se è stato effettuato il pagamento per telefono, per posta o online. I commercianti devono inoltre elaborare le carte utilizzando una connessione sicura (SSL). È fondamentale rispettare gli standard di sicurezza, specialmente quando le informazioni sulle carte di credito sono archiviate all’interno dei database dell’azienda.
Leggete le specifiche dei vari servizi di Pos Virtuale.
E se l’autenticazione fallisce?
Vale la pena di ricordare che alla fine sarà la banca del titolare della carta a decidere se accettare o meno un’esenzione.
Le banche restituiranno nuovi codici di rifiuto per pagamenti non riusciti a causa della mancata autenticazione.
I pagamenti rifiutati dovranno essere reinviati al cliente con una richiesta di autenticazione.
I rivenditori non sono preparati alla SCA e i consumatori ancora meno.
Uno studio recente di Mastercard su 17 paesi europei ci dice che
- il 75% dei retailer online intervistati non è a conoscenza di nulla.
- Solo il 14% dei retailer ha già adottato i requisiti previsti dalla normativa.
- Il 51% è intenzionato ad adottarlo dopo settembre 2019 oppure non gli interessa nemmeno.
Estremamente interessante è sapere che la maggior parte de consumatori che comprano online pensa che esistano già troppi controlli di sicurezza relativi ai pagamenti con carta.
In un mondo in cui
- le frodi sulle vendita a distanza colpiscono per il 78% le vendite online;
- le frodi sono in aumento;
- i consumatori si lamentano delle frodi;
- i venditori sono nervosissimi per l’aumento della frode sul pagamento;
i venditori sanno pochissimo di quello che succederà dal 24 settembre e i compratori ancora meno.
Nel frattempo si spendono sforzi e ricerche sul miglioramento dei tassi di conversioni e si rischia di perdere di vista un appuntamento cruciale estremamente importante.
Oltre l’Unione Europea.
La direttiva PSD2 è una direttiva europea, che ha impatto globale per il commercio online. In venditori non europei che vogliono vendere nello spazio economico europeo dovranno conformarsi gli standard PSD2 se vogliono avere flussi di entrate da clienti europei.
Per alcuni ecommerce non UE le questioni logistiche e finanziarie, insite in queste normative, potrebbero non valere la seccatura di offrire beni e servizi sui mercati europei.
Oltre questo inizio.
Il protocollo 3DS 2.1 sta arrivando e punta a flussi di informazioni e processi decisionali più rapidi. Il protocollo 3DS 2.2 è in fase di revisione per includere le transazioni telefoniche nei regolamenti SCA.
Tutto questo vuol dire che, se hai un ecommerce, devi mettere tanta, tanta attenzione ai processi di pagamento e che le revisioni degli aspetti di un checkout non possono più prescindere da una buona conoscenza dei processi di autenticazione forte.
Il consiglio di M101 – cosa devono fare i venditori online.
Il tempo è breve e le conseguenze importanti.
I pagamenti potrebbero essere più lenti, rallentando la conclusione delle operazioni.
I pagamenti potrebbero richiedere più tempo e più passaggi rispetto al checkout a cui oggi lo stesso cliente potrebbe essere abituato.
I consumatori potrebbero essere riluttanti a fornire una autenticazione e molti potrebbero rifiutare una transazione e cercare un altro fornitore.
I consumatori si aspettano un una esperienza di acquisto sempre più fluida e senza interruzioni. Una improvvisa richiesta di autenticazione a due fattori, sarà una sorpresa e potrebbe perfino scoraggiare i consumatori dal comprare presso venditori che non hanno integrato in modo efficace il processo di autenticazione nella loro piattaforma.
Inoltre, sul mobile che rappresenta la maggioranza del traffico, ma che ha un tasso di abbandono del carrello sempre superiore del desktop, è importante avere sia standard elevati di sicurezza, che pagamenti facili e veloci per il consumatore.
Verifica le tue soluzioni
1 – Parlare con i fornitori di servizi di pagamento e capire come il pagamento avrà un impatto sui clienti.
2 – Controllare i moduli che consentono l’autenticazione a due fattori. Va fatta un’analisi sul modello di business, sul processo di pagamento e sui fornitori di servizi.
3 – Collaborare con il fornitore attuale di servizi di pagamento. Dovrebbe avere un protocollo e opzioni disponibili per soddisfare direttamente i servizi di autenticazione forte.
4 – Cercare fornitori diversi o averne di aggiuntivi che funzionino specialmente nell’area UE, considerando che le applicazioni potrebbero essere diverse da paese a paese.
5 – Cercare soluzioni antifrode: ne esistono diverse. Va però considerato che se la soluzione antifrode non soddisfa i requisiti legali per una esenzione dall’autenticazione forte, potresti essere responsabili di penali e pagare alte commissioni.
6 – Capire come si applicherà SCA sul proprio ecommerce e capire che impatto potrà avere sui propri clienti.
7 – Preparare informazioni precise sulle pagine di pagamento.
8 – Informare in anticipo i clienti – e continuare ad informarli – sull’arrivo di questo ulteriore processo di autenticazione, che si aggiunge già spesso alla pena di autenticazione sullo shop online.
9 – Preparare il team del servizio clienti al contatto diretto con i problemi e con le soluzioni. Il servizio clienti dovrebbe essere formato PRIMA di settembre per non essere impreparato e per assistere chi avrà bisogno di aiuto.
Non attendere.
È pieno di informazioni sulla implementazione SCA prima di settembre. Sappi che è domani.
Attendere per vedere quello che succede significa chiaramente rinunciare alle vendite dal primo giorno di applicazione delle nuove regole.
Consulta gli esperti, consulta il tuo attuale gateway di pagamento per essere pronto prima della scadenza che ormai incombe.