Cosa è la SCA - Strong Customer Authentication e la PSD2 - Payment Service Directive 2

Come la Strong Customer Authentication influenzerà gli hotel, l’ospitalità e le prenotazioni online dal 14 settembre 2019.
La Comunità Europea ha introdotto un nuovo Regolamento con la finalità di accelerare la diffusione degli strumenti di pagamento elettronici, facendo attenzione alla sicurezza delle transazioni. La ricaduta sarà il consolidare l’uso delle carte di credito e di debito per effettuare pagamenti via Internet e in mobilità.
La Payment Service Directive 2 (PSD2) avrà una profonda influenza sul mondo del turismo, dell’hotellerie e dell’ospitalità in genere, infatti, con l’introduzione della Strong Customer Authentication (SCA) influenzerà il modo in cui vengono gestiti i pagamenti, le carte di credito a garanzia, le caparre e ogni altra forma di pagamento online.

Dal 14 settembre 2019 entra in vigore la nuova direttiva europea (Regolamento UE 2018/389) comunemente chiamata Payment Service Directive 2 (PSD2), valida in tutti i Paesi dello Spazio Economico Europeo (EEA, European Economic Area), incluso il Regno Unito, che riguarderà la sicurezza dei pagamenti online e la tutela degli utilizzatori.
Il decreto legislativo di recepimento è il n.218/2017 e interviene sostanzialmente sul Testo Unico Bancario (Decreto Legislativo dell’1 settembre 1993, n. 385 – cosiddetto “TUB”) e sul decreto legislativo 27 gennaio 2010, n. 11 (decreto di recepimento PSD1).
L’obiettivo del legislatore comunitario è di accelerare la diffusione degli strumenti di pagamento on-line operando sulla leva della competizione e della sicurezza, in particolare, ponendo una particolare attenzione alla Strong Customer Authentication (SCA).
Questa procedura prevede che i clienti che pagano online tramite carta debbano essere sottoposti ad autenticazione forte, al fine di accertare che siano i legittimi titolari della carta.

Cosa è la Strong Customer Authentication - SCA

I pagamenti tradizionali con carta di credito prevedono due passaggi: autorizzazione e addebito. L’autorizzazione avviene da parte della banca, all’approvazione del pagamento, mentre l’addebito è la fase conclusiva con l’imputazione dell’importo sulla carta.
La SCA introduce un ulteriore passaggio obbligatorio prima dell’autorizzazione e dell’addebito: l’autenticazione, cioè l’autorizzazione supplementare del cliente al pagamento, al fine di prevenire possibili frodi. Per autenticare un pagamento, un cliente risponde a un messaggio della propria banca e fornisce ulteriori informazioni. Il metodo più diffuso è 3D Secure, noto commercialmente con i nomi “Visa Secure” o “Mastercard Identity Check”, che richiede una verifica di una password che scade a tempo (Password One Time), comunemente chiamata token.
La SCA richiede che l’autenticazione avvenga con un meccanismo più forte e che, pertanto, richieda l’utilizzo di almeno due parametri per individuare il possessore della carta di credito: qualcosa che l’utente sa (come un PIN o una password), qualcosa che l’utente possiede (come un generatore di token o uno smartphone), qualcosa che l’utente è (come un’impronta, la scansione di una retina o il riconoscimento facciale).

GRAFICA 3 fattori

L’unione di due fattori di riconoscimento rende il meccanismo di autenticazione più affidabile.
L’attuazione del riconoscimento a due fattori viene demandato agli Istituti Bancari, cioè ai soggetti che opereranno il pagamento. Il regolamento richiede agli Istituti Bancari di facilitare il processo di autenticazione. Ciò che molti istituti bancari stanno già operando per facilitare il processo di conformità con la SCA è l’abolizione dei dispositivi token fisici, a vantaggio dell’installazione di una App per smartphone: in tal modo, l’autenticazione sulla App e la generazione del token implementa automaticamente l’autenticazione a 2 fattori richiesta.

Quando la Strong Customer Authentication è obbligatoria

In generale, l’autenticazione a più fattori (SCA) è obbligatoria ogni qual volta il cliente non è presente all’atto del pagamento. In questo caso, l’esercente (cioè l’hotel) deve applicare l’autenticazione forte del cliente.
Esistono, però, dei casi di esenzione della SCA legati a soglie di importi e a modalità di pagamento.

Come autenticare i pagamenti soggetti a SCA

Attualmente, l’autenticazione dei pagamenti è prevista solamente dai circuiti che richiedono 3D Secure, considerato uno standard de facto per la grande maggioranza delle carte erogate in Europa. Il 3D Secure viene richiesto al termine del pagamento, solitamente tramite la fornitura di un token generato per completare il pagamento. Il 3D Secure ha diversi limiti, tra cui, la generazione del token (cioè della password da usare una solo volta) generata da un dispositivo hardware e il reindirizzamento verso un sito con un dominio diverso. Entrambi sono cause di debolezza del sistema: infatti, il possesso del dispositivo hardware non comprova l’identità del pagante e il reindirizzamento verso un dominio esterno al sito di pagamento può essere causa di phishing.
Dal 14 settembre 2019, progressivamente, i vari Istituti Bancari dovranno implementare la richiesta di autenticazione forte per garantire i clienti rispetto al rischio di possibili frodi.
L’implementazione avverrà prevalentemente tramite un meccanismo analogo al 3D Secure, ma implementato sull’App di uno smartphone, cioè abolendo il dispositivo hardware. L’accesso alla App e la generazione della password one-time consentirà di identificare in maniera più robusta il titolare della carta di credito. L’autenticazione sull’App potrà avvenire con una password o un pin (qualcosa che sai), con la scansione dell’impronta digitale o il face recognition (qualcosa che sei), oppure tramite un PIN o un codice da usare una sola volta inviato allo smartphone (qualcosa che possiedi).
Esistono dei sistemi di pagamento che non richiederanno la SCA perché l’autenticazione è già implementata a livello di dispositivo, a titolo di esempio, Apple Pay, Google Pay e Samsung Pay. Questa tipologia di dispositivi prevede l’autenticazione tramite sistemi biometrici o la richiesta di password one-time. Queste metodologie sono coerenti con la volontà del legislatore di ridurre le inerzie nei sistemi di pagamento, pur aumentando il livello di sicurezza.

Pagamenti esenti dalla SCA

SCA prevede delle esenzioni chiare che, comunque, dipendono anche dalle scelte del payment provider, cioè dalla Banca che fornirà gli strumenti di pagamento e autenticazione.

Pagamenti in presenza

Il pagamento con carta di credito in presenza non richiede la SCA, in quanto è possibile verificare con semplicità l’identità del titolare della carta. Pertanto, non viene richiesta alcuna autenticazione.

Transazioni di basso importo o a rischio ridotto

Alcuni payment provider possono esentare le transazioni da SCA in caso di importi inferiori a 30 euro / 50 euro, che sommate nell’arco di 24 ore non superino però 100 euro o cinque transazioni esenti.
Transazioni a basso rischio, cioè esentate solamente se la percentuale di frodi del payment provider non supera queste soglie per pagamenti con carta:

  • 0,13% per transazioni fino a € 100
  • 0,06% per transazioni fino a € 250
  • 0,01% per transazioni fino a € 500

Pagamenti avviati dal venditore

Le transazioni avviate dal venditore sono pagamenti effettuati con una carta salvata quando il cliente non è presente. Ad esempio, il pagamento della bolletta telefonica o di una retta per corso d’inglese. Per usufruire dell’esenzione dalla SCA, l’azienda del venditore deve avere sottoscritto un contratto di fornitura con il cliente e deve autenticare la carta salvata o aver effettuato il primo pagamento con autenticazione completa. I clienti che hanno effettuato un primo pagamento con SCA, dietro autorizzazione, possono essere aggiunti ad una lista di clienti “Beneficiari Credibili” per cui non è richiesta la SCA.

Abbonamenti e pagamenti ricorrenti

Abbonamenti o transazioni ricorrenti con un valore fisso sono esenti da SCA. In questi casi, l’autenticazione sarà richiesta solo per la prima transazione (e non per i successivi rinnovi automatici). Se, ad un certo punto, il costo dell’abbonamento o della transazione ricorrente dovesse subire una variazione, allora verrà richiesto nuovamente il 3D Secure.

Transazioni MO.TO.

Gli ordini di acquisto eseguiti per posta o al telefono sono assimilati ai pagamenti in presenza, pertanto, non è richiesta la SCA.

Transazioni e pagamenti internazionali

Tutte le transazioni in cui il compratore non appartiene agli stati membri della Comunità Europea o non sono soggetti a SCA, per cui non viene richiesta l’autenticazione a più fattori.

Prenotazioni online degli hotel e SCA

La gestione delle prenotazioni online degli hotel è profondamente influenzata dall’entrata in vigore della PSD2 e quindi da SCA, perché naturalmente sono influenzate le modalità di pagamento della prenotazione. Nel dettaglio, bisogna tenere in considerazione se si tratti di una prenotazione diretta o di una prenotazione proveniente da una OTA – Online Travel Agency – come, ad esempio, Booking.com o Expedia, ma anche se si tratti di una prepagata o di una prenotazione con carta di credito a garanzia.
BeMyGuest è concentrata sulla gestione in sicurezza dei dati dei propri clienti e per tale ragione ha sviluppato con i propri partner di pagamento metodologie per garantire l’osservanza della PSD2 adottando SCA quando richiesto.
BeMyGuest è già conforme a PSD2 adottando sistemi di pagamento conformi a SCA. La conformità da parte dell’hotel richiede una verifica per le procedure di pagamento adottate durante la gestione delle prenotazioni

Contattaci per verificare se il tuo hotel è conforme a PSD2 e a SCA

Note
Le informazioni fornite in questo articolo hanno esclusivamente natura informativa e non devono essere considerate in alcuna maniera come indicazioni di carattere legale. Suggeriamo agli hotel e alle aziende di rivolgersi a legali specializzati per ricevere maggiori informazioni sulla PSD2 e sul relativo impatto. Visioni S.r.l. e le aziende partner non possono essere considerate responsabili per transazioni rifiutate, non andate a buon fine o per richieste di rimborsi da parte del pagante. Inoltre, non è possibile avanzare diritti sulle informazioni e sulle attività proposte e descritte nel presente documento.

I nostri Clienti dicono di noi