Con l’attuazione della normativa europea PSD2 è arrivata anche una importantissima innovazione a livello di customer journey e di accesso sicuro ai servizi di payment e banking online: la Strong Customer Authentication (SCA) o Autenticazione Forte.
La seconda direttiva europea sui Servizi di Pagamento, promulgata a ottobre 2015 (Direttiva EU 2015/2366), è diventata attuativa il 14 settembre 2019 con il regolamento delegato (UE) 2018/389 ma davvero operativa solo nel 2021, dopo la proroga concessa dalla European Banking Authority agli operatori.
Il percorso della normativa inizia da lontano ed è ben “raccontata e spiegata” nei tanti servizi che potete trovare sia nella sezione PSD2 del nostro sito, sia nella specifica sezione di approfondimento “AnalisiPSD2” a cura di Roberto Garavaglia. Non pochi analisti hanno letto nell’arrivo della nuova direttiva un importante acceleratore alla digital transformation per il mondo bancario e lo stimolo per una evoluzione destinata a cambiare il nostro modo di intendere e gestire i pagamenti, il rapporto con le banche e le attività di una ricca serie di soggetti che sino a qualche tempo fa non avremmo mai considerato come possibili provider di “servizi di bancari“.
La PSD2 e l’Autenticazione Forte
La Direttiva europea sui Servizi di Pagamento è nata con l’obiettivo di innovare in termini di accessibilità e di sicurezza la gestione dei pagamenti e dei rapporti con il mondo bancario, e di portare una importante evoluzione nella customer experience.
La PSD2 promuove l’innovazione offrendo la possibilità di sviluppo di nuovi servizi anche a terze parti, in particolare anche ad aziende che sono “esterne” al mondo bancario tradizionale, vale a dire a quei TPP, che con queste opportunità sono nella condizione di portare nuovi servizi e nuova concorrenza nel mondo dei pagamenti e nell’area di azione delle banche tradizionali. Uno dei fattori più “rivoluzionari” della normativa è nella possibilità che viene concessa a queste terze parti di ottenere dati e di poter attuare disposizioni di pagamento sui conti correnti di quei clienti che autorizzano espressamente questi attori.
La PSD2 ha reso necessario mettere a disposizione dei clienti nuovi sistemi di autenticazione e sicurezza nell’eseguire le proprie operazioni di pagamento. Questa prospettiva ha cambiato lo scenario competitivo a favore di una maggiore apertura e di una maggiore concorrenza, nonché a semplificare il rapporto tra utenti e servizi di pagamento. Una attenzione verso gli utenti in uno scenario che vede crescere la domanda di servizi servizi di pagamento in contesti nuovi e in forme e modalità a loro volta innovative che hanno e avranno come comun denominatore l’arrivo della Strong Customer Authentication o SCA.
Lo scenario della Strong Customer Authentication (SCA)
Le attività di e-commerce, e i successivi acquisti che ne derivano, hanno subito un’accelerazione durante la pandemia. Secondo le analisi dell’Osservatorio eCommerce B2C del Politecnico di Milano, gli acquisti online di prodotto nel 2022 valgono circa 34 miliardi di euro, +10% rispetto al 2021, con una crescita in valore assoluto ai livelli pre-pandemia, di “soli” 3 miliardi di euro e un’incidenza dei consumi online sui consumi totali dell’11%, a fronte del 10% nel 2021.
Tra i settori rappresentativi del Made in Italy, il Food & Grocery continua a crescere sopra la media (+17% rispetto al 2021) e raggiunge un valore di 4,8 miliardi di euro.
Il mercato ha bisogno di fiducia: il ruolo della SCA
Le analisi di mercato riportano un crescente e costante utilizzo di internet per gli acquisti di diverse tipologie di prodotti: i consumatori spaziano per età, sesso e interessi e sembrano essere particolarmente attratti da tutto ciò che concerne l’acquisto online. Non vi è alcuna distinzione in merito al prodotto: tecnologia, abbigliamento, calzature, moda, libri, musica, divertimento, ma anche la vendita di generi alimentari sta trovando nell’online un importantissimo canale di vendita. Del resto, questa tipologia di acquisto viene reputata particolarmente comoda e fruibile in qualsiasi momento della giornata, indipendentemente da dove ci si trova.
Gran parte dei consumatori che, ancora oggi, si dichiara restia all’acquisto online giustifica questa tendenza con la poca fiducia nei confronti del metodo di pagamenti. Infatti, il pagamento online lascia ancora titubanti molte persone che, proprio per questa sfiducia, scelgono di evitare l’e-commerce, pur riconoscendone l’innegabile comodità.
Anche per garantire maggiore sicurezza sulle transazioni online, l’Europa ha deciso di mettere in vigore la normativa PSD2 a tutela dei consumatori che, oltre a difendere maggiormente chi già fa largo uso degli acquisti online, potrebbe diventare un buon trampolino di lancio per coloro che hanno sempre aggirato la questione con sfiducia e malcontento.
Strong Customer Authentication (SCA): tutto quello che c’è da sapere
Tra i nuovi servizi abilitati dalla PSD2, i servizi di accesso al conto rappresentano l’innovazione più rilevante dell’intero impianto legislativo.
L’accesso ai conti di pagamento tramite un’interfaccia online sicura e in modo autenticato da parte di soggetti terzi, TPP, che possono essere diversi da chi gestisce i conti, dalla banca per esempio dove abbiamo attivato un conto corrente.
La normativa prevede tre livelli di “azione”
- Payment Initiation,
- Account Information
- Funds Checking
Con Payment Initiation si intende un servizio per disporre un pagamento su richiesta dell’utente su un conto di pagamento detenuto presso un altro prestatore di servizi di pagamento.
Per Account Information si deve intendere un servizio in grado di mettere a disposizione dati relativi ai servizi di payment che un utente ha attivi presso altri servizi di pagamento oltre a quello principale.
Il Funds Checking rappresenta invece il servizio di un prestatore di soluzioni di pagamento diverso dalla banca dove il cliente ha attivo il proprio conto e attiene alla possibilità di avere informazioni dalla banca sulla disponibilità di fondi, in funzione dell’erogazione di un servizio di pagamento
Innovazione nei servizi di accesso ai conti nel segno dell’Autenticazione Forte
La normativa PSD2 ha portato sul mercato nuovi standard di sicurezza per l’accesso all’area clienti per il mondo dell’Internet Banking e per tutto ciò che riguarda le disposizioni di pagamento (su questo tema specifico si veda anche l’approfondimento di Roberto Garavaglia)
L’Autenticazione Forte è pensata per permettere di identificare e autenticare in maniera univoca il cliente e la tipologia di operazione che deve effettuare. Il servizio deve permettere di ridurre i rischi di frode legati all’accesso degli utenti ai propri conti online e deve proteggere gli utenti stessi nella fase di esecuzione di operazioni di pagamento. La Strong Customer Authentication ha lo scopo di impedire o ridurre al massimo le azioni fraudolente da parte di soggetti terzi non autorizzati.
Per tutti gli operatori, la Strong Customer Authentication (SCA) impone una revisione dei flussi di pagamento in funzione delle azioni legate al riconoscimento delle identità e porta a ridisegnare il customer journey degli utenti. Ecco perché uno dei principali fattori di attenzione per tutte le imprese che la devono applicare è nell’esame della customer experience. Secondo alcune ricerche, il mondo dell’e-commerce e in generale tutti i provider che si basano sui servizi di pagamento digitale rischiano di veder diminuire il numero degli utenti, ovvero le conversioni in ragione di un aggravio nelle procedure di sicurezza associate al nuovo workflow.
Le ragioni di questo rischio sono da addebitare al fatto che la Strong Customer Authentication, se non è ben temperata e interpretata da studi legati alla customer experience, può far apparire il pagamento più difficile di quanto non sia realmente e può essere una delle cause di un aumento nel tasso di abbandono dei carrelli nell’ambito del commercio elettronico. Vale a dire, può rappresentare un rischio che amplifica quello che già oggi rappresenta uno degli problemi più assillanti dei merchant e-commerce.
Quali sono i fattori chiave della Strong Customer Authentication
Gli attori del mondo dei pagamenti in qualsiasi ambito hanno la necessità, con la Strong Customer Authentication, di aggiungere una nuova modalità di autenticazione e di verifica nel proprio customer journey. Se in precedenza era sufficiente avere un numero di carta di credito e l’indirizzo, con l’entrata in vigore di questa normativa, al cliente verrà richiesta un’autenticazione più approfondita. In particolare la SCA necessità di verificare la autenticazione forte utilizzando almeno due di questi tre elementi:
– identificazione con una password o con un PIN: quindi qualcosa di criptato che l’utente conosce può essere una parola chiave piuttosto che un codice o una domanda di sicurezza;
– identificazione con qualcosa in possesso all’utente e che l’utente può utilizzare: tipicamente un device come lo smartphone o un device portatile o ancora un token bancario;
– identificazione con qualcosa di fisico: impronta digitale o lineamenti biometrici del viso, ovvero tratti che, in qualche modo, sono in grado di caratterizzare il cliente identificandolo nella sua persona in modo univoco.
Ad esempio: nel momento in cui il consumatore completa il processo di acquisto e pagamento utilizzando il cellulare, sarà richiesto di confermare il pagamento con il pin dell’applicazione o con l’impronta digitale.
Si tratta di una regola particolarmente rigida e, in qualche modo, selettiva, che consente al consumatore finale possibili situazioni di frode che, purtroppo, nel commercio online non sono rare e determinano una dispersione di denaro non da poco.
La PSD2, quindi, è a tutto appannaggio e tutela dei consumatori, ma si rivela vantaggiosa anche per i negozianti online che potranno godere di una maggiore fiducia da parte degli acquirenti, dando l’opportunità di incrementare la loro rete di clientela che, maggiormente fiduciosa, si dedicherà allo shopping online con maggiore predisposizione.
La Strong Customer Authentication viene quindi applicata a tutte le transazioni elettroniche remote, rafforzando ampiamente il processo di autenticazione dei consumatori online, con il proposito di minimizzare le frodi e incrementare la sicurezza dei pagamenti digitali. La doppia autenticazione, in linea di massima, dovrebbe servire proprio a questo: a contrastare le tante frodi nascenti nel mondo dell’e-commerce.
Le esenzioni dall’Autenticazione Forte
La PSD2 prevede che alcune tipologie di transazioni possano essere esentate dal processo SCA a due livelli. In particolare si tratta di diverse tipologie di payment o transaction con queste caratteristiche:
- Le transazioni che prevedono un importo di modesta entità che presentano fattori di rischio ridotti. In questa fattispecie rientrano le transazioni che sono al di sotto dei 30 euro, che, se ripetute nel corso del tempo e sommate in un arco di 24 ore, non arrivano a superare i 100 euro o una serie di cinque transazioni esenti. Nel caso si dovesse arrivare a queste numeriche scatta il meccanismo dell’autenticazione forte
- Per transazioni a basso rischio si intendono quelle operazioni che sono analizzate dai payment service provider e nel momento in cui la soglia della percentuale di frodi del payment provider rimane al di sotto dei parametri relativi ai pagamenti su carta esclude l’adozione della SCA.
- I pagamenti ricorsivi con un valore fisso, ad esempio gli abbonamenti. In queste circostanze, la autenticazione forte entra in azione solo per la prima transazione mentre non viene richiesta per tutti i successivi rinnovi che possono essere considerati come delle operazioni automatiche. A meno che non ci siano variazioni nel valore del servizio o nella modalità di erogazione dello stesso: in questo caso viene richiesta la autenticazione forte.
- I pagamenti verso merchant identificati come beneficiari credibili. In questo caso l’autenticazione forte viene richiesta al primo pagamento nei pagamenti successivi si possono effettuare pagamenti senza autenticazione forte.
Autenticazione forte: gli obblighi per e-commerce e negozianti online
Ci sono molteplici tecnologie che possono rivelarsi un valido aiuto per aumentare e aggiornare i livelli di sicurezza dei pagamenti con carta di credito: di certo, i vari negozianti e-commerce dovranno accollarsi la spesa necessaria per essere a norma e rispettare tutte le direttive previste dalla Strong Customer Authentication.
Indubbiamente, la prima analisi sulla normativa è quella di capire quali transazioni siano interessate dalla disposizione europea e, di conseguenza, fare le proprie opportune valutazioni in merito alle implementazioni di sistema da applicare.
In seconda istanza, il suggerimento è quello di individuare quale metodologia risulta più consona per l’applicazione della normativa: le soluzioni di sicurezza biometrica sono solo alcune dei modalità con cui le aziende possono garantire le corrette autenticazione ai propri clienti rispettando a pieno titolo le direttive fornite dalla Strong Customer Authentication.
Inoltre, al fine di garantire un’elevata fruibilità da parte del cliente, è indispensabile che le aziende, che operano via internet, siano in grado di sviluppare varie opzioni di autenticazione così da poter rendere più agevole possibile la procedura di acquisto e di successivo pagamento. A tal proposito, diversi metodi di pagamento saranno adattabili a situazioni di business differenti oltre che ad esigenze del singolo cliente, in grado di variare a seconda della relazione con l’azienda da cui acquista oltre che dalla loro ubicazione geografica.
Tra i tanti adeguamenti dell’azienda di e-commerce vi è sicuramente la possibilità di avere un’autenticazione definitiva, o un’autorizzazione che si protrarrà nel tempo, con cui il cliente accerta la sua identità e non necessiterà di ulteriori autenticazioni per acquisti futuri. Questo tipo di iter va largamente consigliato soprattutto a quelle aziende di e-commerce che dispongono di un portfolio clienti ampio e costituito da clientela abituale.
Senza ombra di dubbio, il consiglio di base è quello di trovare dei partner strategici che siano in grado di gestire eventuali situazioni di complessità e possano affiancare l’azienda di e-commerce in tutte le procedure di adeguamento della nuova normativa, oltre che il rispetto di tutte le sfaccettature e le particolarità di questa articolata e complessa legislazione europea.
Quali impatti in termini di sicurezza? E quale effetto sull’economia e-commerce europea?
La normativa europea sulla Strong Customer Authentication è a grande vantaggio di coloro che utilizzano strumenti di pagamento alternativi per l’e-commerce. In questo modo il cliente avrà maggiore difficoltà di incappare in spiacevoli episodi di frodi o raggiri. Al contempo le aziende di e-commerce, in grado di implementare le loro modalità di pagamento con queste nuove direttive, potranno vantare una maggiore credibilità a livello economico migliorando l’esperienza d’acquisto e di pagamento del cliente, attraverso un processo di ottimizzazione tecnologicamente avanzato e pienamente in linea con la normativa europea. Non va sottovalutato l’impatto su credibilità e garanzia dei portafogli virtuali come Apple Pay e Google Pay, grazie all’adozione di metodi di autenticazioni legati alla sicurezza biometrica.
La gestione più sicura dei pagamenti online permette di muovere l’economia verso uno sviluppo in chiave di e-commerce. Poter godere di maggiore sicurezza nell’esperienza d’acquisto e di pagamento, significa agire con maggiore rilassatezza e fiducia nei confronti dell’e-commerce, aumentando la quantità e la capacità di spesa online.
La Strong Customer Authentication può rivelarsi una base solida per l’implementazione, la crescita e lo sviluppo del commercio online in tutta Europa, puntando a realizzare un mercato unico digitale e determinando un notevole aumento del PIL collegato all’online. Ma i temi della Strong Customer Authentication entrano di diritto a parte delle logiche che ispirano gli sviluppi delle Smart City Platform, ovvero dei progetti di digitalizzazione dei servizi pubblici e di pagamenti dei servizi stessi.
La Strong Customer Authentication e il mondo Retail
Il tema della SCA impatta in modo diretto diversi settori ma in particolare interessa il mondo del retail. Gli operatori di questo settore sono stati chiamati ad adottare una serie di misure per adempiere ai nuovi standard previsti dalla normativa europea. La SCA ha rappresentato cioè una occasione per reimpostare i flussi e le logiche commerciali.
Sono diverse le aziende che hanno sviluppato delle nuove roadmap finalizzate a definire nuovi livelli di sicurezza, e a fornire un approccio graduale all’autenticazione per non intaccare l’esperienza utente. Si tratta di soluzioni che mettono in relazione, nel segno di una nuova customer journey, banche, retailer e provider di soluzioni di customer experience.
In particolare un ambito di sviluppo importante è rappresentato dall‘e-commerce via Mobile. Un numero importante di utenti utilizza lo smartphone per i propri acquisti: ovvero un device che permette con varie forme di riconoscimento biometrico di attuare l’autenticazione forte minimizzando l’impatto sulla customer experience.
La SCA, i Big Data e gli Smart Connected Product
Il rapporto tra utenti e provider di servizi di pagamento è destinato a cambiare in ragione degli aspetti più rivoluzionari della PSd2: l’accesso ai dati dei clienti. Un accesso che può avvenire solo previa autorizzazione dei clienti stessi, ma che nel rispetto di questa condizione apre nuove prospettive in termini di concorrenza e di apertura. Il consumatore/pagatore, grazie al servizio Account Information Service (Aisp) è nella condizione di ottenere tutte le informazioni complete su tutti i propri conti di pagamento. Gli Aisp permettono nello stesso tempo di poter utilizzare i dati del cliente, una volta ottenuto appunto il consenso del diretto interessato. Il tutto e solo per scopi coerenti con la natura del servizio.
Importante leggere questa prospettiva anche dal punto di vista dei Big Data e Data Science del mondo bancario o del mondo Fintech. Lo sviluppo di nuovi servizi parte dalla conoscenza dettagliata e precisa di comportamenti, preferenze, criticità, gusti,. In concreto prevede una analisi sempre più dettagliata delle esigenze dei clienti con livelli di conoscenza che vengono messi in diretta relazione con i dati “operativi” dei clienti per aumentare il livello di personalizzazione. Ma in questo percorso non ci si può fermare ai servizi. L’innovazione investe anche i device attraverso i quali vengono erogati i servizi di payment. Non c’è solo il Mobile payment ma c’è anche l’Internet of Things payment ovvero le soluzioni di pagamento che interessano gli oggetti intelligenti, basti pensare ai wearable o agli Smart Connected Product che erogano servizi senza richiedere la nostra presenza, come possono essere le soluzioni per la Smart Home che erogano il servizio, controllano il consumo e procedono poi al pagamento.
L’Autenticazione forte e le commissioni interbancarie
La direttiva PSD2 ha abilitato nuove opportunità di scelta per i consumatori anche nella possibilità di utilizzare servizi di TPP, Third Party Provider per operazioni di pagamento, per prestiti o per effettuare investimenti.
Inoltre la normativa ha previsto la eliminazione di forme di sovrapprezzo per servizi di pagamento digitale (a questo proposito suggeriamo la lettura dell’interessante servizio di Roberto Garavaglia: Proibito applicare un sovrapprezzo al consumatore che usa uno strumento di pagamento elettronico ). In questo scenario poi le commissioni interbancarie non possono essere superiori allo 0,2% del valore dell’operazione stessa per i pagamenti tramite carte di debito, e allo 0,3% in caso di pagamenti tramite carta di credito.
Inoltre, è stata diminuita ridotta la franchigia richiesta per le spese non riconosciute effettuate prima della denuncia di furto della carta di credito, (da 150 a 50 euro).
Perché è stato ritardato l’avvio della Strong Customer Authentication
Non sono state poche le iniziative e gli attori che hanno sostenuto la necessità di posticipare l’avvio ufficiale della Strong Customer Authentication allo scopo di dare più tempo alle imprese e alle organizzazioni per prepararsi.
Un video del British Retail Consortium che vi proponiamo spiega le ragioni di coloro che hanno insistito per dare più tempo alle imprese, in particolare alle più piccole.
Ci sono non pochi studi che hanno puntato l’indice sulla complessità della procedura, ovvero sulla inadeguatezza delle infrastrutture delle banche e dei retailer per poter gestire gli adempimenti della nuova normativa senza portare disagi ai clienti in termini di tempi e di complessità nelle procedure. Il vero tema per tutti è stato quello della user experience e della possibilità di non perdere clienti a causa di tempi troppo lunghi o di richieste poco chiare.
Un’analisi condotta da Stripe su 500 professionisti qualificati del settore dei pagamenti parlava di un rischio di perdita complessiva di qualcosa come 57 miliardi di euro nei primi 12 mesi successivi all’attivazione della Strong Customer Authentication (SCA).
Il grande tema emerso dalla ricerca è che la SCA sembrava amplificare la sensazione di un “pagamento difficoltoso” da parte dei consumatori, e rischiasse di incidere sul tasso di abbandono dei carrelli del commercio elettronico, che già oggi rappresenta il principale problema per i merchant online.
Per tutti questi motivi, l’