3D Secure & PSD2

Se hai mai confermato un pagamento online digitando un codice, approvando una notifica push o usando Face ID, hai già interagito con 3D Secure, noto anche come 3DS. È il livello di verifica aggiuntivo che aiuta a confermare l'identità di un acquirente e a proteggere sia il merchant sia la banca dalle frodi.

3DS in breve

Il nome sta per Three-Domain Secure, e si riferisce alle tre parti coinvolte:

  • Il dominio dell'acquirer (merchant e PSP)
  • Il dominio dell'issuer (la banca del titolare della carta)
  • Il dominio di interoperabilità (la rete della carta che collega entrambe le parti)

Quando viene effettuato un pagamento, il merchant invia una richiesta di autenticazione attraverso questi tre domini. L'issuer decide quindi se lasciare fluire la transazione in modo "frictionless" — in base a dati come dispositivo, IP e cronologia delle transazioni — oppure sottoporre il cliente a una richiesta di verifica (SMS, approvazione nell'app, biometria, ecc.). Il risultato viene restituito al gateway in pochi secondi e, se positivo, il pagamento prosegue verso l'autorizzazione.

Perché esiste

In passato le frodi con carte online erano molto diffuse. La prima versione, 3DS1, lanciata da Visa nel 2001 come "Verified by Visa", introdusse controlli basati su password. Funzionava, ma l'esperienza era macchinosa e spesso causava abbandoni al checkout. Ricordo mio padre che cliccava "Lo configurerò la prossima volta" ogni singola volta che vedeva quella pagina. Il moderno 3DS2 ha risolto questo problema. Niente più pop-up, pieno supporto mobile e flussi frictionless quando il rischio è basso. Ha inoltre introdotto l'autenticazione biometrica e uno scambio di dati molto più ricco tra merchant e issuer, rendendo le approvazioni più rapide e intelligenti.

Per i merchant, il vantaggio principale è il liability shift. Se una transazione viene autenticata tramite 3D Secure, il rischio dei Chargeback legati a frodi passa dal merchant all'issuer della carta. Questa sola protezione rende l'implementazione utile, soprattutto nei mercati in cui le frodi online sono elevate.

PSD2 & 3DS2

In Europa, 3D Secure si è evoluto da livello di sicurezza best practice a obbligo legale. La revisione della Payment Services Directive (PSD2) ha introdotto la Strong Customer Authentication (SCA), che richiede due fattori indipendenti per la maggior parte dei pagamenti elettronici:

  • qualcosa che il cliente conosce (PIN o password)
  • qualcosa che il cliente possiede (telefono o token hardware)
  • qualcosa che il cliente è (impronta digitale o riconoscimento facciale)

3D Secure 2 è diventato il principale strumento per consentire ai pagamenti con carta di conformarsi a questa regola. In sostanza, PSD2 non ha inventato l'autenticazione forte. L'ha resa obbligatoria. E 3DS2 ha offerto un modo per rispettare la normativa senza compromettere l'esperienza utente.

Ma dietro il fluido momento "Approva nella tua app bancaria" si nasconde un ecosistema tecnico complesso. Ogni payment service provider (PSP) deve mantenere integrazioni certificate con i server 3DS delle reti di carte e restare conforme ai loro protocolli e formati dei messaggi in evoluzione. Visa, Mastercard, Amex e altri aggiornano regolarmente le proprie specifiche 3DS, il che significa che i PSP devono ricertificare continuamente i propri sistemi e assicurarsi che i loro gateway possano parlare gli ultimi dialetti della messaggistica 3DS. Non è un'integrazione "configura e dimentica" — è un sistema vivo che richiede attenzione costante per mantenere le transazioni autenticate con successo.

Dal lato dell'issuer, le banche si affidano agli Access Control Server (ACS). Si tratta di sistemi specializzati, forniti da vendor come Thales, Broadcom, GPayments o Netcetera, che gestiscono il processo di autenticazione. Quando un titolare di carta avvia una transazione 3DS, l'ACS dell'issuer verifica la richiesta, determina se la transazione può procedere in modo frictionless e, in caso contrario, attiva una challenge tramite il metodo scelto dalla banca (notifica push, SMS o controllo biometrico). L'ACS restituisce quindi il risultato dell'autenticazione attraverso la rete della carta al PSP, che lo usa per proseguire con l'autorizzazione.

Questa stretta di mano multilivello dipende dal coordinamento fluido di diversi sistemi: il gateway del merchant, l'acquirer, il directory server dello schema della carta e l'ACS dell'issuer. Quando uno di questi livelli rallenta o fallisce la certificazione, le transazioni possono iniziare a diminuire.

Esenzioni

Sebbene PSD2 abbia reso la SCA la regola, ha anche previsto flessibilità. Alcuni pagamenti possono saltare l'autenticazione attiva in base a specifiche esenzioni SCA, consentendo checkout più fluidi senza infrangere la legge. Queste esenzioni sono pensate per mantenere alti i tassi di conversione preservando livelli di rischio accettabili:

  • Transazioni di basso valore — in genere sotto i 30 €, anche se si applicano limiti cumulativi.
  • Pagamenti ricorrenti o in abbonamento — dopo il primo pagamento completamente autenticato, gli addebiti successivi per lo stesso importo e lo stesso beneficiario possono essere esenti.
  • Beneficiari fidati — i clienti possono inserire i merchant in una whitelist presso la propria banca per transazioni future.
  • Transaction risk analysis (TRA) — se sia l'acquirer sia l'issuer utilizzano sistemi antifrode certificati e a basso rischio, la SCA può essere bypassata per le transazioni idonee.

Il compromesso: liability shift

Quando una transazione viene autenticata tramite 3D Secure e approvata, la responsabilità dei Chargeback legati a frodi passa dal merchant all'issuer. Ma quando invece si usano le esenzioni, questa protezione potrebbe non applicarsi. Diventa un equilibrio strategico: usare 3DS e ottenere protezione al costo di una possibile frizione, oppure richiedere un'esenzione e avere un checkout più fluido ma accettare il rischio di frode.

È qui che i PSP moderni danno il meglio. Agiscono come motori di orchestrazione, scegliendo dinamicamente se attivare 3DS, applicare un'esenzione o riprovare tramite un altro percorso, a seconda dei dati della transazione, del comportamento dell'issuer e dei profili di rischio. Una buona orchestrazione fa la differenza tra un passaggio 3DS macchinoso e un'esperienza senza attriti.

3DS nella pratica

Per i consumatori, 3D Secure fa ormai parte della vita quotidiana del checkout — una barriera invisibile che ogni tanto ti tocca sulla spalla. Per merchant e PSP, è un obiettivo in continuo movimento fatto di conformità, certificazione e ottimizzazione. Ogni aggiornamento del protocollo 3DS, ogni cambiamento nel comportamento dell'issuer e ogni nuovo schema di frode richiedono regolazioni in tutto l'ecosistema.

In breve, 3D Secure ha portato fiducia nell'era di internet dei pagamenti. PSD2 ha reso quella fiducia obbligatoria. Insieme, hanno trasformato il commercio online non solo fermando le frodi, ma codificando il principio che ogni transazione digitale dovrebbe sapere chi sta davvero pagando.

Precedente
Argomenti importanti sui pagamenti con carte
Le basi
Successivo
Prodotti valutari — DCC & MCP
Le basi
Buy Me a Coffee
undefined