La direttiva europea sui servizi di pagamento (DSP2) impone da diversi anni un’autenticazione forte per le transazioni online con carta di credito. Il protocollo 3D Secure, nella sua versione 2, costituisce il meccanismo principale di questa verifica. Nonostante questo quadro normativo, un numero significativo di pagamenti su internet si finalizza ancora senza alcuna fase di autenticazione. Le ragioni sono legate sia a scelte tecniche dei commercianti che a meccanismi di esenzione previsti dalla normativa stessa.
Esenzioni DSP2 e analisi del rischio transazionale: il quadro che consente il pagamento senza 3D Secure
Il fatto che un pagamento si concluda senza autenticazione non significa automaticamente un’infrazione. La DSP2 prevede diversi casi di esenzione, ed è qui che la questione si complica.
Consigliato : I migliori mantra e preghiere per purificare efficacemente la tua casa
Da fine 2023, diversi emittenti europei hanno rafforzato l’uso delle esenzioni cosiddette a basso rischio, nell’ambito del protocollo 3D Secure 2. Concretamente, quando il punteggio di rischio di una transazione (valutato tramite il metodo TRA, per Transaction Risk Analysis) è considerato molto basso, il pagamento può essere elaborato senza autenticazione forte, anche oltre i piccoli importi abitualmente esentati.
La Banca centrale europea ha ricordato a dicembre 2023 che queste esenzioni sono regolate ma incoraggiate per fluidificare il commercio online. Un articolo dettagliato affronta il tema del pagamento senza 3D Secure su Geekfinity spiegando i diversi casi di figura incontrati dai consumatori.
Vedi anche : Suggerimenti e consigli pratici per riscaldare un gratin in forno senza seccarlo
Le esenzioni più comuni includono:
- Le transazioni di basso importo, generalmente al di sotto di una soglia definita dalla normativa, che possono essere elaborate senza verifica aggiuntiva finché non viene raggiunto un tetto cumulativo.
- I pagamenti ricorrenti presso lo stesso commerciante (abbonamenti), dove solo la prima transazione richiede un’autenticazione completa.
- Le transazioni valutate a rischio molto basso dall’acquirente o dall’emittente, sulla base del TRA, quando il loro tasso di frode complessivo rimane al di sotto delle soglie fissate dalla DSP2.
- I beneficiari fidati, aggiunti manualmente dal titolare della carta nel proprio spazio bancario, che consentono di bypassare l’autenticazione per i successivi acquisti.
Questi meccanismi spiegano perché un sito perfettamente legittimo può finalizzare il tuo acquisto senza mai attivare una finestra 3D Secure.
Commercianti fuori EEE e instradamento dei pagamenti: le zone grigie del bypass
Tutte le transazioni senza autenticazione non rientrano in esenzioni legittime. L’Autorità bancaria europea ha precisato nelle sue aggiornamenti relativi alla DSP2 che alcuni commercianti aggirano sistematicamente l’autenticazione forte. Due metodi ricorrono frequentemente.
Il primo passa attraverso fornitori di servizi di pagamento (PSP) situati al di fuori dello Spazio economico europeo. Quando l’acquirente della transazione è basato fuori EEE, le regole DSP2 non si applicano allo stesso modo. Il commerciante sfugge quindi all’obbligo di autenticazione forte, anche se il titolare della carta risiede in Europa.
Il secondo metodo si basa su router di pagamento configurati per instradare le transazioni tramite circuiti che evitano l’attivazione del 3D Secure. Questa pratica, più opaca, riguarda in particolare siti di giochi online o piattaforme il cui modello economico si basa su una conversione rapida, dove ogni passaggio aggiuntivo nel tunnel di pagamento fa perdere clienti.
Trasferimento di responsabilità in caso di frode
Il punto tecnico da ricordare riguarda il liability shift, il trasferimento di responsabilità. Quando un pagamento passa attraverso il protocollo 3D Secure e si verifica una frode, la responsabilità finanziaria ricade sulla banca emittente. Al contrario, senza 3D Secure, è il commerciante a sostenere il costo della frode. Alcuni commercianti accettano deliberatamente questo rischio, considerando che la diminuzione del tasso di abbandono del carrello compensa le perdite legate alle contestazioni.
I dati disponibili non consentono di quantificare precisamente il volume delle transazioni instradate intenzionalmente fuori 3DS in Europa. I riscontri sul campo divergono su questo punto tra i PSP, che minimizzano il fenomeno, e i regolatori nazionali, che lo monitorano da vicino.
Frode sui pagamenti senza autenticazione: cosa mostrano i dati francesi
L’Osservatorio della sicurezza dei mezzi di pagamento, nel suo rapporto 2024, fornisce un chiarimento diretto sulla realtà del rischio. La frode sui pagamenti con carta a distanza è diminuita dalla generalizzazione dell’autenticazione forte. Il riscontro è netto.
Il punto saliente del rapporto risiede in un’asimmetria: le transazioni senza 3D Secure concentrano la maggior parte degli importi frodati su internet, mentre rappresentano solo una minoranza del volume totale dei pagamenti online. L’Osservatorio parla di una “forte differenziazione del tasso di frode” tra transazioni autenticate e non autenticate.
Per il consumatore, questo dato ha un’implicazione concreta. Un acquisto effettuato senza autenticazione su un sito sconosciuto espone maggiormente a un uso fraudolento dei dati della carta. Anche se la banca rimborsa generalmente il titolare in caso di frode accertata (obbligo legale in Francia), la procedura di contestazione richiede tempo e comporta delle pratiche.
Segnali di allerta per il consumatore
Alcuni elementi consentono di valutare il livello di rischio durante un acquisto senza autenticazione:
- L’assenza totale di un protocollo sicuro (nessun lucchetto HTTPS, nessuna menzione di PSP riconosciuto) costituisce un segnale negativo forte, distinto dalla semplice assenza di 3D Secure.
- Un sito che non mostra alcuna menzione legale, nessun indirizzo fisico o nessun numero di servizio clienti aumenta la probabilità di un commercio non conforme.
- Le piattaforme ospitate fuori EEE, identificabili talvolta dalla loro estensione di dominio o dai loro termini e condizioni, applicano raramente gli standard europei di autenticazione.
Evoluzione normativa e pagamenti senza 3D Secure: cosa si delinea
La Commissione europea sta lavorando sulla DSP3, che dovrebbe rafforzare i requisiti in materia di autenticazione affinando nel contempo le esenzioni esistenti. La sfida è doppia: ridurre la frode residua sulle transazioni non autenticate senza compromettere l’esperienza di acquisto.
Le esenzioni TRA rimarranno probabilmente in vigore, poiché rispondono a un reale bisogno di fluidità commerciale. Al contrario, i meccanismi di bypass tramite PSP fuori EEE sono oggetto di crescente attenzione da parte dei regolatori. L’Autorità bancaria europea ha segnalato che i commercianti che ricorrono sistematicamente a queste pratiche si espongono a sanzioni e restrizioni di accesso alle reti di pagamento europee.
Il pagamento senza 3D Secure non è quindi destinato a scomparire. Continuerà a esistere per le transazioni a basso rischio valutate dagli algoritmi bancari. Il confine tra esenzione legittima e bypass problematico rimane il vero tema di vigilanza, sia per i regolatori che per gli acquirenti.