L’introduzione della Strong Customer Authentication (SCA) nello Spazio Economico Europeo (SEE) apporterà dei requisiti di autenticazione rafforzati nel mondo dei pagamenti online con carta di credito. Si tratta di una rivoluzione di rilievo al momento della prenotazione di un viaggio di piacere o una trasferta di lavoro.
Senza dubbio la Strong Customer Authentication (o autenticazione a più fattori) potrebbe influire sul processo di prenotazione dei viaggi d’affari per le travel management companies e gli strumenti di prenotazione online. Anche se il settore business travel e viaggi non sarà certamente l’unico ad essere coinvolto in questa novità.
Sulla Strong Customer Authentication sono stati pubblicati diversi approfondimenti ma restano notevoli incertezze su come i singoli paesi SEE e i fornitori di carte di pagamento decideranno di implementare la SCA.
BCD Travel si sta confrontando attivamente con gli stakeholder del settore business travel per ottenere tutti i chiarimenti sul processo di sicurezza richiesto per i pagamenti elettronici remoti e le potenziali esenzioni.
Che cos’è la Strong Customer Authentication
La Strong Customer Authentication è una modifica alla regolamentazione dei pagamenti nello Spazio Economico Europeo. Quest’area comprende tutti i paesi dell’Unione Europea oltre a Islanda, Liechtenstein e Norvegia.
A partire dal 14 settembre 2019, tutti i pagamenti elettronici remoti nel SEE richiederanno una “autenticazione rafforzata dell’utente” (SCA – Strong Customer Authentication).
Si tratta di confermare l’identità del cliente con due fattori di autenticazione. L’obiettivo del quadro normativo PSD2 e della Strong Customer Authentication è quello di rafforzare la sicurezza dei pagamenti nell’e-commerce, senza ostacolare la fluidità dei percorsi di acquisto, che devono restare senza ostacoli per i clienti finali.
Fattori di autenticazione SCA
Il processo della Strong Customer Authentication richiede l’esecuzione di due fattori di autenticazione su tre fra le seguenti categorie previste:
Questi fattori di autenticazione devono essere indipendenti l’uno dall’altro, in modo che la violazione di uno non comprometta l’affidabilità degli altri. La Strong Customer Authentication è progettata proprio per proteggere la riservatezza dei dati di autenticazione. Secondo le disposizione del PSD2, un pagamento conforme alla SCA potrebbe quindi richiedere, ad esempio, una password (1) e un codice inviato sul tuo smartphone (2).
Con lo spostamento generale verso servizi e acquisti online, è ormai imprescindibile autenticare l’identità degli utenti durante le transazioni e le attività bancarie. La Strong Customer Authentication sarà introdotta proprio per:
Chi regola la Strong Customer Authentication
Lo Spazio Economico Europeo (o Area Economica Europea – EEA), ha definito solo le linee guida generali che regolano la Strong Customer Authentication. Ciò significa che i singoli emittenti di carte di pagamento possono decidere quale combinazione di fattori richiedere.
Ad esempio, Bank of America ha introdotto un codice variabile (password singola). Ovviamente questo codice non è lo stesso e non sostituisce il codice sul retro della carta (CVV o CVC).
Perché la Strong Customer Authentication è una sfida non solo per il business travel?
Oggi l’80% dei cittadini europei utilizza lo smartphone per fare acquisti. In questo contesto e con l’aumento dei consumatori che fanno abitualmente shopping online con pochi e semplici click, è importante assicurare standard di sicurezza elevati, garantendo allo stesso tempo un’esperienza di pagamento veloce e facile per il consumatore.
Il tema della SCA sarà molto importante per il mondo retail, che dovrà adottare una serie di misure per il corretto supporto dei nuovi standard previsti dalla normativa europea PSD2. Dal lato retail & consumer, la Strong Customer Authentication a due fattori non dovrebbe rivelarsi un grosso problema. Questo perché solitamente il titolare della carta è lo stesso acquirente.
Ecco un pratico esempio. Stai acquistando qualcosa online e fornisci il numero della tua carta di credito al venditore. Dopo pochi secondi ricevi sullo smartphone un sms con un codice di sicurezza per procedere al pagamento. Inserendo quel codice segreto la transazione è completata.
Come impatta la SCA sulle prenotazioni per trasferte di lavoro
Per il business travel non è così facile come visto sopra. Ecco alcuni scenari possibili che verranno impattati dalle nuove disposizioni della PSD2.
La carta di credito non viene sempre addebitata al momento della prenotazione
Quando un hotel pre-autorizza una carta di credito, questo processo è in genere separato dall’agente effettivo o dalla prenotazione online. Il viaggiatore riceverà una richiesta di autenticazione quando l’hotel “agisce” sulla carta di credito, ma ciò potrebbe accadere in qualsiasi momento. Mentre il viaggiatore dorme, guida o addirittura è in volo.
Senza autenticazione, la transazione di pagamento verrà rifiutata. Probabilmente, gli hotel e il noleggio auto saranno le prime due categorie del travel ad essere colpite dalle nuove disposizioni del PSD2 e dalla Strong Customer Authentication.
La persona che prenota non è sempre il titolare della carta
Con la Strong Customer Authentication, quando un travel arranger effettua una prenotazione con la carta del viaggiatore non potrà ricevere la richiesta di autenticazione. Se il viaggiatore non può rispondere alla richiesta e / o (nel caso di un codice) comunicare tali informazioni al travel arranger, il pagamento verrà rifiutato.
Questo nuovo scenario apre un’altra sfida correlata alla PSD2. Molti codici di autenticazione vengono inviati tramite smartphone o telefoni cellulari. Se i business traveler non dispongono di un telefono aziendale, potrebbero non essere disposti a fornire all’emittente della carta il proprio numero di telefono personale. Ciò potrebbe impedire loro di autenticare una transazione online.
Le prenotazioni per le compagnie aeree low-cost saranno le più colpite dalla Strong Customer Authentication. Nonché qualsiasi prenotazione effettuata dai nostri travel agent o dai travel arranger sui siti Web dei vettori. Quindi tutti i vettori al di fuori del sistema GDS.
Esistono transazioni esenti da Strong Customer Authentication?
Transazioni a basso valore
Le transazioni inferiori a €30 sono considerate “a basso valore” e potrebbero essere esentate da SCA. Le banche dovranno tuttavia richiedere l’autenticazione se l’esenzione è stata utilizzata cinque volte dall’ultima autenticazione riuscita del titolare della carta o se la somma dei pagamenti precedentemente esentati supera €100. La banca del titolare della carta dovrà tenere traccia del numero di volte in cui questa esenzione è stata utilizzata e decidere se la Strong Customer Authentication è necessaria.
Beneficiari attendibili
Quando si completa l’autenticazione a più fattori per un pagamento, l’utente può avvalersi della possibilità di autorizzare un’azienda di cui si fida per evitare di dover autenticare acquisti futuri. Queste attività saranno incluse in un elenco di “beneficiari fidati” gestito dalla banca o dal fornitore di servizi di pagamento del cliente.
Merchant-initiated transactions
Le payment companies e le travel management companies hanno ottenuto un’esenzione per “protocolli e processi di pagamento aziendali sicuri” nelle disposizioni finali della SCA pubblicate nel 2018. In questo tipo di esenzione da Strong Customer Authentication rientrano le transazioni definite MOTO, Mail Order and Telephone Orders, vale a dire tutti quei tipi di pagamenti per i quali i dati della carta vengono raccolti tramite mail o telefono.
Carte aziendali e virtual card
Le carte aziendali e le carte virtuali sono hanno ancora una situazione poco definita. Sebbene l’autorità di regolamentazione del Regno Unito abbia indicato che sarebbero potenzialmente esenti, non vi è alcuna garanzia che altri regolatori facciano lo stesso. L’applicazione di SCA alle carte lodge e alle carte virtuali causerebbe gravi problemi, poiché i pagamenti con lodge e carte virtuali vengono effettuati centralmente, rendendo poco pratico per un determinato individuo fornire l’autenticazione.
Siamo pronti alla Strong Customer Authentication?
L’Italia è un po’ indietro, ma lo sono grosso modo tutti i paesi dell’area SEE. Secondo una ricerca europea condotta da Mastercard, la gran parte dei retailer online (il 75% delle aziende intervistate) non è a conoscenza delle novità introdotte dalla PSD2 sulla Strong Customer Authentication.
Lo studio mette in risalto come solo il 14% degli esercenti in Europa supporti già i requisiti previsti dalla SCA, con il 51% di loro che è intenzionato ad adottarlo successivamente al mese di settembre 2019 o di non prevederlo affatto.
Gli ultimi aggiornamenti sulla situazione SCA nel nostro Paese
In Italia, la Banca d’Italia ha deciso di concedere maggior tempo all’industria finanziaria italiana per completare gli adeguamenti richiesti dalla normativa in tema di sicurezza delle transazioni online effettuate con carta di pagamento.
Come specificato in questo comunicato stampa diffuso da Bankitalia l’1 agosto scorso, Il 21 giugno scorso la European Banking Authority (EBA) ha riconosciuto alle autorità nazionali la possibilità di concedere ulteriore tempo, rispetto al 14 settembre, per consentire il completamento degli interventi e l’adozione dei nuovi strumenti di autenticazione da parte di tutti i clienti, con esclusivo riferimento alla suddetta categoria di pagamenti.
La data di scadenza della proroga non ha ancora una data certa e si attende la pronuncia della European Banking Authority. Nel comunicato della Banca d’Italia si legge che «Durante il periodo di migrazione i pagamenti effettuati senza autenticazione forte potranno continuare a essere inviati e accettati secondo le attuali modalità, avendo tuttavia presente l’immediata applicabilità delle regole di imputazione delle responsabilità, in caso di frodi, alle transazioni prive dei requisiti di sicurezza richiesti dalla normativa».
Approfondisci le tue conoscenze sulla PSD2
Che cos’è PSD2 e chi si deve conformare?
PSD2 è la seconda versione della Direttiva sui servizi di pagamento (PSD), una direttiva dell’Unione europea (UE) introdotta per la prima volta nel 2007 per regolare i servizi di pagamento e i prestatori di servizi di pagamento (PSP). Il PSD ha permesso una migliore concorrenza e partecipazione dei paesi europei nel settore dei pagamenti sciogliendo il monopolio del settore bancario nel facilitare i pagamenti online sicuri.
