Promuovere lo sviluppo del mercato dei pagamenti digitali e combattere le frodi, aumentando il livello di sicurezza, senza però compromettere l'esperienza di acquisto degli utenti: questi gli obiettivi della nuova direttiva europea sui servizi di pagamento, Payment Services Directive 2 (nota come PSD2) che, dalla fine del 2020, vincola tutti gli Stati Membri. Tra le disposizioni della normativa c’è l’implementazione di un nuovo standard 3-D Secure, il 3-D Secure 2.0, che sostituisce il vecchio sistema di autenticazione tramite SMS e introduce due sistemi di verifica: la Strong Customer Authentication (o SCA), l’autenticazione forte, e il sistema ad autenticazione senza attrito.

Cosa determina l’uso di una modalità di autenticazione o dell’altra? La soluzione di pagamento, l'acquirente (la banca che effettua le "richieste" per conto del venditore) e la banca emittente (la banca del cliente). Ma non tutto è chiaro nella messa in pratica delle normative, specie da parte delle aziende di piccole dimensioni o dei singoli esercenti. Con potenziali problemi. In particolare, gli esercenti che non possono garantire transazioni conformi alla direttiva potrebbero subire un aumento significativo delle transazioni soggette ad un’autenticazione forte (e quindi un calo delle conversioni) e anche di pagamenti falliti.

L'applicazione definitiva della Strong Customer Authentication può mettere in crisi qualche PMI, in particolare perché - sottolinea PayPlug, che si occupa appunto di pagamenti elettronici ed e-commerce - molti esercenti non sono a conoscenza del nuovo regolamento, non hanno uno specialista dei pagamenti in azienda, non hanno avvertito l'entità dell'impatto che avrà la normativa. Meglio organizzarsi, e PayPlug identifica cinque punti chiave da tenere presenti.

Il sistema 3-D Secure 2.0 protegge i venditori e gli acquirenti dall’utilizzo fraudolento delle carte di credito, aggiungendo un livello di sicurezza più elevato, grazie all’attivazione di un secondo livello di sicurezza nel momento di finalizzare un pagamento.
Esistono diversi tipi di transazioni esenti dall’obbligo di implementazione del 3-D Secure 2.0: le transazioni il cui importo è inferiore a 30 euro, per un totale cumulativo di 100 euro al giorno e per un massimo di 5 transazioni consecutive; le vendite telefoniche; i pagamenti online ricorrenti (abbonamenti).

Gli esercenti devono assicurarsi che la soluzione di pagamento adottata sia conforme alla PSD2. Il consiglio di PayPlug è seguire le sue raccomandazioni, in modo da ottenere direttamente gli aggiornamenti necessari.

L’autenticazione senza attrito (con meno rischi di abbandono del carrello e di pagamenti falliti) può anche essere il risultato del rispetto delle regole di comunicazione tra le soluzioni di pagamento e le banche dei clienti, compreso lo scambio automatico di informazioni, quali gli indirizzi di consegna e di fatturazione. La PSD2 prevede infatti un elenco di informazioni obbligatorie, fornite dalle soluzioni di pagamento, e necessarie per autorizzare un'autenticazione senza attrito.

La banca deve fornire ai propri clienti la modalità di autenticazione più adatta per fare acquisti online in tutta sicurezza. In particolare, l’autenticazione può avvenire tramite l’applicazione mobile della propria banca. Oppure la convalida della transazione avverrà tramite la combinazione di due codici (un codice monouso, ricevuto via SMS o messaggio vocale, e un codice statico fornito dalla banca). Se l’acquirente non ha uno smartphone, la banca potrà dotarlo di un dispositivo per autenticarsi in modo sicuro, come ad esempio un generatore di codici, una chiave USB o un lettore di codici QR.