12 Gen 2021

Entrano in vigore le direttive PSD2 per gli e-commerce

Le nuove direttive PSD2 rendono gli acquisti online più sicuri, ma per i gestori di e-commerce può significare l'aumento degli abbandoni in fase di pagamento. Come in tutti i cambiamenti è necessario informarsi bene ed inviare le giuste comunicazioni alla propria clientela.

L’entrata in vigore, dal 1° gennaio 2021, delle nuove direttive europee PSD2 sta influenzando il comportamento dei consumatori negli acquisti on-line, con un tasso di abbandono dei carrelli in fase di pagamento con carta di credito in generale aumento in tutti gli e-commerce.

Le nuove direttive sono volte ad incrementare il livello di sicurezza dei pagamenti elettronici e ad assicurare al tempo stesso la protezione del consumatore, grazie all'introduzione dell'“autenticazione forte del clienteSCA (Strong Customer Authentication), che richiede un'ulteriore verifica dell'identità, tramite un codice temporaneo (OTP) che può essere ricevuto via App o SMS.

Alcune banche hanno introdotto addirittura un secondo codice, in aggiunta al codice OTP, denominato k6, ovvero un PIN numerico (personalizzabile) di 6 cifre assegnato a ciascuna carta e dedicato esclusivamente ai pagamenti e-commerce.
Se non adeguatamente informato, il consumatore non capendo di cosa si tratta, finisce per abbandonare il carrello.

Ma cos’è esattamente l’autenticazione forte del cliente (SCA)?

L’autenticazione forte del cliente è un processo di autenticazione che si realizza in presenza di almeno due dei seguenti tre fattori:

  • Conoscenza. Qualcosa che solo il consumatore conosce (ad esempio, una password o un PIN). Segnaliamo che il numero di carta di credito con CVV e data di scadenza, nonché un ID utente non sono considerati come elementi che soddisfano il requisito della “conoscenza”.
  • Identità. Qualcosa riferito all'identità stessa del cliente (es.: un'impronta digitale).
  • Possesso. Qualcosa che solo il cliente possiede (es.: un cellulare).

I clienti devono inserire queste informazioni solo quando ciò è richiesto attraverso una tecnologia nota come 3D Secure - un livello extra di sicurezza che i clienti incontrano durante il check-out per autenticarsi. I clienti vedranno l'indicatore 3D Secure iniziare a comparire sugli ordini dopo l'entrata in vigore della PSD2.

Sono comunque previste alcune importanti eccezioni: 

  • Transazioni ricorrenti. Il caso del cliente che effettua in favore del vostro ecommerce “transazioni ricorrenti” (vale a dire operazioni di pagamento che prevedono sempre un determinato importo e beneficiario).
  • Transazioni di basso valore. In tal senso intendendosi una delle seguenti ipotesi:
    • Valore della transazione inferiore a Euro 30,00;
    • L'ammontare cumulativo degli acquisti precedenti l'ultima autenticazione forte del cliente è inferiore ad Euro 100,00;
    • Sono state effettuate fino ad un massimo di cinque transazioni con valore inferiore ad Euro 30,00; oppure, con un valore complessivo di massimo Euro 100,00.
  • Analisi del rischio della transazione. Tale esenzione consente di non applicare l’autenticazione forte per le transazioni che presentano un basso livello di rischio di frode. Le condizioni di applicazione di tale esenzione sono dettagliate negli standard fissati dall’EBA (l’Autorità Bancaria Europea) e riguardano le transazioni fino a un valore massimo di Euro 500,00.

L’applicazione di questa esenzione non può essere demandata al sito di ecommerce bensì al cosiddetto “Acquirer” (il prestatore del servizio di pagamento che ha firmato con voi un contratto di convenzionamento affinché possiate accettare i pagamenti con carta di credito o di debito sul vostro ecommerce). Sarà pertanto l'Acquirer a valutare se applicare l’esenzione e a esserne quindi responsabile.

Quali ripercussioni possono esserci sulle conversioni?

Ricordiamo che queste misure saranno applicate solo alle transazioni per importi superiori a 30 euro e non relative ad abbonamenti. Il cliente si adatterà progressivamente a questa doppia autenticazione, resa semplice dalle nuove generazioni di smartphone con riconoscimento facciale o impronta digitale. Per contrastare la diminuzione dei tassi di conversione è quindi opportuno offrire una soluzione per dispositivi mobili efficace.
Tali direttive possono inoltre offrire un'occasione per rivedere l'iter di accesso da dispositivo digitale, in particolare il percorso utente, al fine di migliorare le fasi che precedono e seguono il pagamento.

Contemporaneamente, le banche stanno attualmente mettendo a punto dei nuovi procedimenti di autenticazione più sicuri e trasparenti per gli acquirenti attraverso l'acquisizione, al momento della transazione, di numerose informazioni connesse al contesto di acquisto. Tale procedimento viene definito frictionless, ovvero fluido e privo di problemi. Nel caso in cui il plug-in (ossia il modulo) tra un negozio e la banca sia basato su questo stesso procedimento, la banca sarà in grado di autenticare l'acquirente senza un ulteriore passaggio e non ci saranno quindi ripercussioni sul percorso di acquisto, né sulla conversione.

Cosa comporta per gli esercenti?

Se da un lato questo approccio è più efficace nel prevenire le frodi, dall'altro potrebbe complicare il processo di checkout in alcuni casi, fatto che potrebbe peggiorare l'esperienza di acquisto degli utenti. Nel caso fosse poco intuitiva o troppo complicata, questo potrebbe portare alcuni clienti ad abbandonare la transazione prima di completarla, generando un impatto negativo sulle vendite.
Per evitare un aumento del tasso di abbandono del carrello o di rifiuti del pagamento, chi gestisce un e-commerce - se già non lo ha fatto - dovrebbe contattare chi gli fornisce il sistema di pagamento e richiedere l'attivazione della tecnologia 3-D Secure (3DS), sviluppata da CA Technologies e utilizzabile sui principali circuiti: l'implementazione di Visa è definita Verified by Visa, Mastercard la offre sotto il nome di SecureCode e American Express come SafeKey.

Fatto questo, il passo successivo dovrebbe essere quello di ricontrollare il processo di acquisto del proprio e-commerce e verificare che sia il più semplice e lineare possibile, in modo che l'eventuale ulteriore step di autenticazione non rovini l'esperienza di acquisto.

Daniele Diversi

Da sempre appassionato di informatica, fin dal mio primo ZX Spectrum dell'83, folgorato dal web in età universitaria, ora ho fatto di tutto questo un lavoro.