Cambiano le regole per gli acquisti online, con nuovi obblighi per gli esercenti al fine di tutelare maggiormente i clienti. Questo significa che, in breve, chi fa acquisti online dovrà usare carte di pagamento (di credito, di debito e prepagate) o app di pagamento che siano conformi lato PSD2 e che abbiano, nello specifico una delle tre: supporto a password e riconoscimento facciale / impronta digitale, password e token, token e riconoscimento facciale / impronta digitale.
Si tratta della naturale prosecuzione delle norme introdotte già a settembre 2019, quelle per l’autenticazione sicura durante gli acquisti online, ed imposte da una complessa documentazione a livello UE (Unione Europea). Si prevedeva da tempo, in effetti, che tali norme, pubblicate inizialmente come opzionali (per quanto fortemente consigliate), diventassero via via obbligatorie per tutti, o quasi, gli esercenti online.
Le regole si inquadrano nell’ambito delle normative da tempo introdotte per i pagamenti digitali, e note come PSD2.
Cosa cambia per gli acquisti online?
Dal 1 gennaio 2021 vanno in essere le regole di Strong Customer Authentication (autenticazione forte per il cliente) per la maggioranza delle transazioni o degli acquisti online effettuati con carta di debito, carta di credito e carta prepagata. Nella pratica, l’autenticazione a due fattori sarà necessaria per verificare che ad effettuare la transazione sia effettivamente il titolare della carta stessa,
Cosa significa Strong Customer Authentication?
L’autenticazione via SCA (Strong Customer Authentication) è un requisito normativo che si esplica, a livello tecnico, per rendere più sicuri i pagamenti online e scongiurare il rischio frodi e truffe online.Da un punto di vista tecnico, per effettuare un qualsiasi pagamento online sono necessari due dei tre seguenti requisiti:
- password o PIN del cliente, ovvero qualcosa che solo il titolare della carta dovrebbe conoscere;
- oggetto posseduto solo dal cliente, come un token hardware oppure uno smartphone certificato, in grado di generare un codice unico “usa e getta”, esattamente come avviene per l’autenticazione della firma digitale;
- caratteristica peculiare del cliente, quindi ad esempio scansione del viso, riconoscimento delle impronte digitali.
Questo significa che, nella pratica, si dovrà effettuare qualsiasi operazione sul territorio europeo come:
- bonifico bancario;
- pagamento online con carta di credito, di debito o prepagata (digitando il numero ed i dati della carta, per intenderci)
esclusivamente sfruttando una combinazione di due dei tre fattori o requisiti indicati. Ad esempio, se devo fare un bonifico non basta inserire la password o il PIN del bancomat, ma devo anche avere con me un token di accesso (ad esempio una OTP o un codice univoco generato da token o da app dedicata) oppure devo farmi riconoscere con impronta digitale o de visu con la fotocamera dello smartphone.
La SCA, inoltre, può essere applicata o meno alle transazioni sulle base di un’opportuna analisi del rischio, come ad esempio fa il gateway di pagamento di Stripe. Nella pratica, questo significa che una piccola percentuale delle transazioni di importo inferiore a 100€, 250€ o 500€ potrebbe, di fatto, non essere soggetta a SCA nella totalità dei casi.
La maggioranza delle banche – come ad esempio Mediolanum – si sono già adeguate, da quello che fanno sapere (fonte: europa.eu).