La nuova direttiva europea è entrata in vigore lo scorso sabato, ponendo diverse domande sulla sua implementazione da parte dei consumatori e sul success rate delle transazioni

PSD2 e strong authentication: le conseguenze pratiche

A cura di Grégoire Bourdin, CEO di HiPay

Lo scorso sabato 14 settembre è entrata in vigore, nel territorio dell’UE, la tanto attesa PSD2. Tra le nuove misure e gli obblighi che devono essere rispettati, sia da parte dei player dei pagamenti sia da parte dei merchant, l’uso quasi sistematico della strong authentication pone domande reali sulle sue conseguenze pratiche: come faranno i consumatori ad adottare questa nuova soluzione? Quali saranno le conseguenze sul success rate delle transazioni?

Per i player del settore dei pagamenti, la PSD2 porta con sé un cambiamento radicale di paradigma nella lotta contro la frode. All’origine dell’implementazione della strong authentication, il livello di sicurezza applicato alle transazioni era principalmente deciso dal merchant e dal suo fornitore di servizi di pagamento: un’analisi dei rischi ha quindi consentito di limitare l’uso della strong authentication per le transazioni ritenute più sicure. Il trasferimento di responsabilità finanziaria era stato pensato di conseguenza: in caso di frode di una transazione senza doppia autenticazione, l’eventuale perdita finanziaria ricadeva sul merchant, mentre una transazione con strong authentication, era garantita al merchant dalla società che emette il pagamento.

Con l’entrata in vigore della PSD2, le regole di applicazione della strong authentication sono maggiormente disciplinate dalla normativa, che spiega i casi d’uso specifici in cui non è obbligatoria. Inoltre, le esenzioni dalla strong authentication sono ora decise principalmente dall’emittente del metodo di pagamento Pertanto, per pagamenti online superiori a 30 euro, per impostazione predefinita, verrà ora richiesta una strong authentication. Ciò significa che dovranno essere integrati almeno due fattori di identificazione (biometrico, materiale o mnemonico), che potrebbero ostacolare il successo della transazione e creare insoddisfazione nei consumatori.

Al fine di mantenere la possibilità di adattare le misure di sicurezza in base al rischio finanziario, la Commissione Europea ha lasciato ai merchant, per casi d’uso limitati, la possibilità di chiedere un’esenzione dalla strong authentication al. In qualità di principale decisore, l’emittente del metodo di pagamento determinerà il punteggio di rischio di frode, in base all’analisi dei dati trasmessi dal retailer, per accogliere o rifiutare questa richiesta. Gli standard tecnici associati alla PSD2 determinano anche molti dati contestuali che dovranno essere raccolti e trasmessi dal fornitore di servizi del merchant. Sono stati definiti circa 150 tipi di dati, rispetto ai soli 10 valutati in precedenza.

Queste informazioni includono tutti i dati inerenti all’atto di acquisto: indirizzo IP del computer, origine geografica del metodo di pagamento, storico del cliente con il merchant, ma anche dati specifici del fornitore di servizi di pagamento del merchant che può trasmettere il proprio punteggio di rischio.

Sarà pertanto nell’interesse degli e-commerce e dei loro fornitori di servizi garantire che i dati che trasmettono siano quanto più completi possibile, al fine di ottenere un punteggio di frode favorevole all’esenzione. Ciò consentirà loro di gestire il miglior tasso di frode offrendo al contempo un processo di acquisto semplice e fluido ai propri utenti.

Fino a quando le tecnologie relative alla strong authentication non diventeranno completamente trasparenti per il consumatore, e quindi l’autenticazione dell’acquirente e la fluidità del percorso di pagamento non verranno più percepiti come un ostacolo, sarà ancora necessario un certo periodo di tempo per la raccolta e l’analisi dei dati contestuali al fine di combinare il successo del pagamento e l’ottimizzazione dell’esperienza utente.