La fintech rappresenta un’opportunità per l’intera catena economica, allo stesso modo anche un pericolo di obsolescenza per gli istituti bancari tradizionali che non aggiorneranno i sistemi e gli esercizi che non saranno pronti “tecnologicamente” alla sfida della “open banking”. Vediamo come la direttiva europea PSD2 qualifica i nuovi mercati indicando le strategie efficaci per far fronte alla disruption e le misure di sicurezza come la SCA (Strong Customer Authentication).
PSD2, un mercato unico e integrato
Con il d.lgs. 15 dicembre 2017 n. 218 è stata data in Italia attuazione alla seconda direttiva sui servizi di pagamento, la Payments Service Directive 2. La direttiva europea PSD2 è entrata in vigore a partire dal 14 settembre 2019 ed è stata annunciata come una vera e propria rivoluzione per il settore finanziario. La Direttiva si propone di rafforzare ed armonizzare tra i paesi EU i presidi derivanti dalla PSD1, con l’obiettivo di realizzare un mercato unico ed integrato dei servizi di pagamento.
Interviene sulla definizione stessa dei servizi di pagamento per renderla quanto più neutra possibile sotto il profilo tecnologico, sia modificando la definizione ex PSD1, in particolare nell’acquiring, sia introducendo nuovi servizi di pagamento, e relativi prestatori, in particolare su:
- le disposizioni di ordini di pagamento
- le informazioni sui conti.
Quattro gli aspetti fondamentali:
- Principalmente la PSD2 estende le operazioni bancarie anche alle operazioni che non siano nella valuta di uno Stato membro, ricomprendendo tutte le transazioni in tutte le valute, le cosiddette one leg transaction, purché siano operazioni effettuate con carta, ove anche solo uno dei due prestatori si trovi nel territorio dell’Unione Europea;
- In secondo luogo sono state regolate nuove soluzioni di pagamento, come il credito telefonico.
- Con la PSD2 è stata introdotta la SCA, l’autenticazione basata su più fattori, uno conosciuto dall’utente il c.d. knowledge, e uno posseduto solo dall’utente, possession.
- E infine l’assoggettabilità dei nuovi soggetti, i TPP (Thirdy Party Providers)
L’obiettivo della SCA – Strong Customer Authentication
L’autenticazione forte del cliente, “SCA”, è un fattore chiave della seconda direttiva sui servizi di pagamento (PSD2).
L’obiettivo finale della SCA è quello di ridurre le frodi e quindi rendere i pagamenti online più sicuri grazie a una sicurezza di autenticazione del cliente implementata e più rigorosa. Per soddisfare i requisiti SCA della PSD2, le banche e le grandi e piccole società devono autenticare i propri clienti per ogni “transazione remota” attraverso almeno 2 dei 3 elementi di identificazione definiti: conoscenza, eredità e possesso.
Difatti, dalla data del 31 dicembre 2020 (data prorogata dall’ EBA, European Banking Authority di 15 mesi rispetto all’entrata in vigore della PSD2, attiva come detto dal 14 settembre 2019, per consentire agli stati membri di adeguarsi ai requisiti propri dell’autenticazione forte tutti i pagamenti online) in Europa, saranno soggetti alle misure di Strong Customer Authentication. I consumatori per completare una transazione dovranno quindi fornire informazioni aggiuntive, come un’impronta digitale, qualcosa di personale, o una password numerica valida una sola volta (OTP), al fine di verificare un acquisto.
Fattori di autenticazione della SCA prevista dalla PSD2:
1 – Qualcosa che l’utente conosce (ad esempio un codice segreto, una password o un pin)
2 – Qualcosa che l’utente possiede (ad esempio uno smartphone o un token generator)
3 – Qualcosa che dimostri l’identità dell’utente (ad esempio l’impronta digitale, la retina o il riconoscimento vocale o facciale)
La SCA potrebbe essere un forte ostacolo al commercio online
La SCA per la PSD2 potrebbe costare ai commercianti oltre 100 miliardi di euro nel 2021. A stimare il rischio è uno studio del CMSPI. Il CMSPI, CMS payment solutions Ltd., una società leader mondiale nella consulenza sui pagamenti al dettaglio, con competenze di analisi al fine di valorizzare la supply chain dei pagamenti, ha pubblicato di recente una ricerca che mostra come i commercianti con sede in Europa alle prese con la pandemia COVID-19 rischiano di perdere più di 100 miliardi di euro di vendite online nel 2021.
Questi dati sono stati stimati utilizzando i valori del 2019. Sebbene sia chiaro che il COVID-19 abbia sostanzialmente orientato gli acquisti e le abitudini dei consumatori online, il CMSPI non ha basato i calcoli sui valori previsti per il 2020. In questo modo, è probabile che le stime possano sbagliare sul fronte della prevenzione e che possano sottostimare il vero impatto economico di SCA. A titolo indicativo, stimiamo il totale delle vendite a rischio sulla base dei dati previsti per il 2021, pari a 154 miliardi di euro rispetto ai 108 miliardi di euro del 2019.” Si legge sul rapporto.
Difatti secondo il comunicato stampa, questi costi potrebbero gravare se ai commercianti non viene dato più tempo per prepararsi a un nuovo modello di autenticazione a due fattori volto a ridurre le frodi con carte di credito e di debito.
Inoltre, il rapporto “SCA, Economic Impact Assessment” di CMSPI, afferma che la tecnologia “rimane relativamente nuova e non provata” e “aggiunge un significativo e inutile attrito all’esperienza del commercio online”.
Mentre le banche possono essere soddisfatte del fatto che 3DSecure2 sia conforme alla SCA, “gli esercenti europei hanno bisogno di soluzioni che siano al tempo stesso conformi e rispettose dei consumatori”, dichiara il rapporto.”
I test mostrano che il 25% delle transazioni 3DSecure2 viene abbandonato dai consumatori, le transazioni vengono rifiutate se il cliente non riesce a fornire i due passaggi richiesti – conoscenza, inerenza o possesso – e il processo raggiunge tra 60 secondi e 2 minuti per il checkout, ragion per cui risulta complesso da integrare.
Complessivamente, i test mostrano che il 35% delle transazioni 3DS2 non riesce, o perché vengono rifiutate, o perché vengono abbandonate da consumatori stanchi di continuare a causa di errori tecnici. Ciò presenta un rischio significativo per le aziende, a prescindere dalla loro dimensione.
Secondo lo studio, se non corretto il modus operandi, il danno ammonterebbe a 108,1 miliardi di EURO di mancate vendite sulla base del volume delle vendite a rischio del 2019. Si tratta di quasi 100 volte l’importo annuale delle frodi con carte: il problema che SCA e 3DS2 dovrebbero risolvere. Tuttavia, il numero esclude le transazioni effettuate con portafogli digitali come Apple Pay o PayPal, che hanno le proprie soluzioni conformi a SCA, che aggiungono meno attrito al pagamento.
In questa maniera i consumatori spesso incolpano i commercianti per i ritardi in linea, mentre al contrario i grandi rivenditori, con le risorse per ridurre al minimo i ritardi, hanno probabilità di conquistare i clienti dai piccoli dettaglianti.
Si prevede perciò che i piccoli negozianti saranno i più colpiti, rappresentando 69,4 miliardi di euro del totale rispetto ai 38,7 miliardi di euro dei grandi commercianti. I commercianti europei hanno bisogno di soluzioni che siano al tempo stesso conformi e rispettose dei consumatori per massimizzare la sicurezza e ridurre al minimo le potenziali interruzioni causate da SCA prevista dalla PSD2. Il rapporto illustra l’impatto della SCA su Francia, Germania, Italia, Spagna, Belgio, Paesi Bassi, Polonia, Svezia, Danimarca, Finlandia, Islanda e Norvegia.
Al fine di costituire il rapporto vengono presi in considerazione due scenari:
- nel primo scenario, il CMSPI “ha stimato l’impatto del 100% dei tassi di sfida, ipotizzando che il mercato non preveda esenzioni. Tutti i numeri e le cifre dei titoli si basano su questo scenario con una challenge rate del 100%”;
- nel secondo scenario, il CMSPI “ha stimato l’impatto dell’80% dei tassi di sfida, consentendo il 20% per le esenzioni.”
In entrambi gli scenari l’impatto è stato stimato per la grande distribuzione e per i piccoli dettaglianti. Per quanto riguarda il sistema di debito italiano, sono stimate perdite intorno ai 13,8 miliardi.
Il nostro “Bancomat”, rappresenta circa il 26% del mercato delle carte in Italia. La quota di mercato bassa è dovuta alla possibilità di scelta da parte del consumatore, che decide di utilizzare un minor numero di transazioni inoltrate attraverso il Bancomat e un maggior numero di transazioni inoltrate attraverso le reti globali co-badged.
“I rischi di vendita in percentuale della spesa totale per carta sono leggermente superiori alla media europea, mentre le vendite in proporzione alla spesa totale per CNP (card not present) e alle transazioni ammissibili per 3DSecure sono entrambe inferiori alla media europea.”
“Dal report realizzato da CMSPI emerge una situazione allarmante per tutte le aziende dell’e-commerce – commenta Roberto Liscia, Presidente di Netcomm, il consorzio che associa le aziende italiane dell’e-commerce – e il dato che più preoccupa è che tale situazione rischia di determinare un impatto molto significativo sulle imprese nazionali tenuto conto del fatto che il fatturato e-commerce italiano è la metà di quello francese e un terzo di quello tedesco. Questo determina una asimmetria competitiva tra il sistema digitale italiano e quello francese o tedesco. A subirne maggiormente l’impatto saranno in particolare le piccole e medie imprese che proprio grazie al canale online hanno avuto la possibilità di fronteggiare l’emergenza Covid convertendo il loro business in chiave digitale e continuando ad operare online anche dopo i mesi di lockdown”.
Per il nostro paese, la spesa con carta rappresenta la più alta tra tutti i paesi considerati, con una percentuale di vendite a rischio superiore alla media sul totale della spesa con carta.
Anche secondo Visa, leader del settore, la quale ha affiancato banche e aziende per garantire un’esperienza di pagamento facile e sicura, il prossimo step per i commercianti è quello di dotarsi della tecnologia 3-D Secure, che controlla i pagamenti progressivamente per determinare se fraudolenti e consentire alle banche di richiedere al cliente nuove prove della sua identità.
Le transazioni esenti dalla SCA
La nuova normativa prevede che alcune tipologie di transazioni possano essere esentate dal processo SCA di “autenticazione a due fattori a seconda di diverse situazioni:
- In caso di pagamenti a beneficiari attendibili
Questa situazione si verifica quando il negozio online viene segnalato tra i negozi di fiducia direttamente da parte dal titolare della carta alla propria banca.
In queste circostanze la SCA prevista dalla PSD2 sarà necessaria per la creazione, o per la modifica della lista dei beneficiari di fiducia, o al primo pagamento;
- Per le transazioni considerate a basso rischio, entro i 500 euro
Questo caso si verifica se l’emittente della carta che sta eseguendo il pagamento o l’acquirer che sta gestendo la transazione, dia prova di avere un grado di frodi al di sotto di una determinata soglia;
- Transazioni di basso valore, per pagamenti fino a 30 euro, con un massimo di spesa cumulativa di 100 euro o cinque transazioni consecutive dall’ultimo pagamento verificato con SCA;
- Pagamenti ricorrenti
Si verifica nell’eventualità di iscrizioni ad abbonamenti o pagamenti abitudinali, purché abbiano valore e beneficiario fissi, la SCA sarà richiesta solo per la prima transazione.
Perdite anche per le altre nazioni europee
Lo studio stima per le nazioni europee una perdita ingente: “Questo rapporto si concentra sull’impatto di 3DS e come tale solo le transazioni di pagamento con carta effettuate online senza un portafoglio sono considerati. Inoltre, i casi in cui l’autenticazione a due fattori è già in uso (come ad esempio per le operazioni Bancontact in Belgio) non sono state incluse in queste cifre”, aggiunge il presidente di Netcomm
In Francia una perdita pari a 18,8 miliardi, in Germania a 12,8 miliardi, in Italia a 13,8 miliardi, in Spagna a 20,1 miliardi, in Belgio a 547 milioni, in Olanda a 7,9 miliardi, in Polonia a 2,8 miliardi, in Svezia a 2,1 miliardi, in Danimarca a 977 milioni, in Finlandia a 1,5 miliardi, in Islanda a 316 milioni e in Norvegia a 3,7 milioni.
CMSPI calcola che un valore di 108 miliardi di euro di vendite online è a rischio in tutta Europa (escluso il Regno Unito) solo nel 2021, come diretta conseguenza della SCA e della Pandemia.
Il nostro paese non è ancora del tutto pronto, ma non lo sono tutti i paesi dell’area SEE.
Secondo una ricerca europea condotta da Mastercard, la gran parte dei retailer online (il 75% delle aziende intervistate) non è a conoscenza delle novità introdotte dalla PSD2 sulla Strong Customer Authentication.
Nonostante al momento l’esperienza SCA, degli utenti da un lato, e degli esercenti dall’altro, sembra risentirne negativamente, la SCA deve essere concepita come un’occasione per
- aumentare la sicurezza online delle transazioni online,
- limitare le frodi,
- rispettare le normative internazionali sui pagamenti come PCI-DSS e PSD2,
- aumentare la fiducia dei titolari di carte di credito nell’utilizzo dei servizi online.
A tal punto deve essere prioritario per banche, piccole e grandi aziende, arrivare pronti al 31 dicembre 2020, perché ci si farà trovare pronto ne coglierà sicuramente un vantaggio competitivo.