PSD2:
le soluzioni studiate per gli esercenti

Una garanzia per esercenti e
consumatori

Nell’ambito della Direttiva PSD2, il regolamento tecnico introduce l’obbligo dell’autenticazione forte dell’utente (Strong Customer Authentication o SCA) in caso di pagamenti e-commerce e pagamenti elettronici presso il punto vendita.

PSD2

É la direttiva europea volta a incrementare la sicurezza del sistema dei pagamenti in linea con l’evoluzione tecnologica e informatica e la diffusione di nuovi servizi di pagamento

SCA

Strong Customer Authentication. è obbligo dell’autenticazione "forte" dell’utente in caso di pagamenti e-commerce e pagamenti elettronici

3DS 2.1

É il protocollo che garantisce la conformità alla PSD2 aumentando la sicurezza della transazione online e migliorando l’esperienza di acquisto del cliente, facilitandone l’autenticazione

Benefici e vantaggi per tutti

Diminuzione del rischio di attività fraudolente sui pagamenti online

Miglioramento dell’esperienza di acquisto dei clienti grazie ai sistemi di riconoscimento biometrici

Riduzione dell’abbandono del processo di acquisto ed aumento della conversion rate

PSD2

Strong Customer Authentication

L’autenticazione di un cliente deve basarsi su almeno due dei seguenti tre fattori:

  • Knowledge factor: qualcosa che solo il cliente conosce (es. una password, un PIN o una domanda di sicurezza)
  • Possession factor: qualcosa che solo il cliente possiede (es. un device, un numero di cellulare o una SIM)
  • Inherence factor: qualcosa che solo il cliente è (es. attributi biometrici)

Nel caso di un'operazione di pagamento elettronico a distanza, la SCA contempla anche elementi che collegano l'operazione, in maniera dinamica, ad uno specifico importo e beneficiario (cd. Dynamic Linking).

Esenzioni ed esclusioni

Dalla Direttiva PSD2 sono escluse alcune tipologie di transazioni, che quindi non prevedono obbligo di SCA.

  • Transazioni e-commerce a basso importo: transazioni sotto i 30 euro che sommate nell’arco di 24 ore non superano però 100 euro o cinque transazioni esenti
  • Transazioni e-commerce a basso rischio: operazioni il cui basso grado di rischio viene etichettato dopo un’accurata analisi delle informazioni da parte del proprio payment service provider
  • Pagamenti senza contatto fisico al punto vendita di modesta entità: transazioni sotto i 50 € che rispettano determinate condizioni di utilizzo
  • Transazioni e-commerce (e/o su POS fisico) ricorrenti con valore fisso: pagamenti periodici di medesimo importo disposti dall’acquirente. In questi casi la SCA sarà richiesta solo per la prima transazione, e non per le successive
  • Transazioni e-commerce (e/o su POS fisico) presso esercenti beneficiari di fiducia: pagamenti presso una lista di esercenti di fiducia identificati direttamente dal pagatore
  • Transazioni per corrispondenza o telefoniche (Mail Order e Telephone Order): le operazioni di pagamento disposte tramite posta o telefono, in quanto non vengono considerati come pagamenti elettronici
  • Transazioni innescate dall’esercente su mandato del Cliente (MIT – Merchant Initiated Transaction): operazioni effettuate dall'esercente dietro specifico mandato iniziale conferito dal cliente, per innescare periodicamente transazioni relative ad un accordo preesistente. In questo caso la SCA sarà richiesta solo per la prima transazione
  • Transazioni e-commerce (e/o su POS fisico) inter-regionali: operazioni di pagamento in cui l’emittente della carta risiede al di fuori dell’Europa. Se l’acquirente non appartiene agli Stati membri dell’Unione Europea non viene quindi applicata la SCA

3D Secure 2.1

  • consente di abilitare le modalità di autenticazione biometriche se previste dall’emittente della carta di pagamento
  • permette di trasmettere in sicurezza alcuni dati dei consumatori (ad esempio informazioni sul dispositivo o l’indirizzo di spedizione) consentendo all’emittente di migliorare le valutazioni di rischio delle transazioni
  • supporta nuovi modelli di pagamento come pagamenti in App e da Mobile
  • permette di gestire le esenzioni e esclusioni alla SCA

In molti casi le informazioni recuperate dal dispositivo dell'acquirente e quelle aggiuntive passate dal merchant sono sufficienti all’emittente per autenticare il titolare della carta senza ulteriori interazioni. In caso di transazioni a rischio elevato verrà richiesta l’autenticazione attiva del cliente.

PSD2

Nexi per i propri merchant

Nexi garantisce ai propri esercenti e-commerce e fisici la possibilità di gestire tutte le transazioni in coerenza con la normativa PSD

Nexi fornisce inoltre la possibilità di utilizzare un servizio di valutazione avanzata di rischio della specifica transazione (TRA) senza richiedere alcuna azione al proprio cliente

Merchant e-commerce

Il gateway di pagamento XPay è stato adeguato al protocollo 3D Secure 2.1, in modo che, per tutti gli esercenti che utilizzano le componenti standard di XPay, il passaggio sia completamente trasparente e senza impatti tecnici

Merchant fisici

Per chi ha un POS Nexi, è garantito l’adeguamento alla normativa e i necessari requisiti di sicurezza previsti senza necessità di alcun intervento da parte dell’esercente

Contratto acquiring

I merchant con contratto di acquiring con Nexi che utilizzano gateway e-commerce o POS fisici di parti terze, devono verificare che il proprio gestore si sia adeguato alle nuove regole, per cui Nexi ha fornito tutte le specifiche di adeguamento

Casi d'uso in base alle attività

Scopri come la Strong Customer Authentication si integra nel tuo flusso di pagamento, in base alla tua attività


Pagamenti e-commerce standard
ovvero transazioni di acquisto senza memorizzazione della carta


Pagamenti ricorrenti a importo fisso
come abbonamenti a palestre, corsi online o offline, abbonamenti TV


Pagamenti attivati dall’esercente
a importo o data variabile, come bollette, utenze, ricariche telefoniche


Pagamenti
one-click
cioè transazioni con consenso cliente per la memorizzazione dati carta

scarica la documentazione completa
Pagamenti e-commerce standard

(transazioni di acquisto di prodotti o servizi senza memorizzazione della carta) 

 

La maggior parte dei merchant e-commerce accetta singole transazioni senza memorizzare i dati della carta del cliente per eventuali pagamenti futuri. In questo caso la Strong Customer Authentication avviene grazie al 3D Secure 2.1 subito dopo che il cliente inserisce i dati della carta.

Nexi, attraverso XPay, può gestire le esenzioni previste: in questo modo è possibile che, nella maggior parte dei casi, i clienti non debbano autenticarsi. Se, invece, la transazione rientra tra le operazioni non esenti da SCA, occorre richiedere il 3D Secure per autenticare il cliente.

ORDINE CONFERMATO

Il cliente inserisce i dati della propria carta e le informazioni per la spedizione.
L’importo è di 100 € IVA inclusa.

AUTENTICAZIONE

Il cliente completa l’autenticazione con il 3DSecure, nella modalità definita dall’emittente (es. autenticazione biometrica con impronta digitale). Nel caso in cui, su richiesta del merchant, Nexi chieda l’esenzione e l’emittente della carta la accetti, al cliente non viene richiesta alcuna azione.
100 € autenticati con 3D Secure.

AUTORIZZAZIONE

Nexi richiede l’autorizzazione secondo le normali modalità
100 € autorizzati.

ADDEBITO

Nexi effettua l’addebito secondo le normali modalità
100 € addebitati.

Pagamenti ricorrenti a importo fisso

(es. abbonamenti a palestre, corsi, TV)

 

Molti merchant, come le palestre, le scuole o le società sportive, addebitano pagamenti importi periodici di ammontare fisso alla propria clientela sotto forma di abbonamento.

In questo caso, per la prima transazione che dà inizio all’abbonamento, è necessaria l’autenticazione 3D Secure, mentre per le successive, Nexi ne chiederà automaticamente l’esenzione, in linea con le norme previste dalla Direttiva. In questo modo il cliente non deve effettuare l’autenticazione per ogni addebito successivo al primo.

Ricordiamo che per poter effettuare pagamenti ricorrenti, il merchant deve far sottoscrivere al cliente specifiche condizioni e deve effettuare l’autenticazione con 3D Secure durante la registrazione o in occasione del primo pagamento.

ISCRIZIONE O PRIMA TRANSAZIONE

Il cliente fornisce i dati della propria carta per attivare l’abbonamento.
L’importo è di 30 € mensili.

AUTENTICAZIONE

Il cliente completa l’autenticazione con il 3DSecure, nella modalità definita dall’emittente (es. autenticazione biometrica con impronta digitale).
30 € autenticati con 3D Secure.

AUTORIZZAZIONE

Nexi richiede l’autorizzazione secondo le normali modalità
30 € autorizzati.

ADDEBITO

Nexi effettua l’addebito secondo le normali modalità
30 € addebitati.

SUCCESSIVE TRANSAZIONI

Il cliente continua ad usufruire del proprio abbonamento 

⑤ a > AUTORIZZAZIONE: Nexi richiede l’autorizzazione secondo le normali modalità, senza necessità di richiedere l’autenticazione
30 € autorizzati

⑤ b > ADDEBITO: Nexi effettua l’addebito secondo le normali modalità
30 € addebitati

Pagamenti attivati dall’esercente a importo o data variabile

(es. pagamento di bollette, utenze, autoricariche telefoniche)

 

Queste transazioni sono pagamenti innescati dal Merchant connotati da una delle seguenti caratteristiche:

  • Pagamenti ricorrenti con importi che possono variare da una scadenza all’altra a causa della fatturazione a consumo (es bollette)
  • Pagamenti ricorrenti che vengono innescati al verificarsi di un determinato avvenimento (es. raggiungimento di una soglio per le autoricariche telefoniche)

In questo caso, è necessaria l’autenticazione 3D Secure quando il cliente salva i dati della carta per impostare i pagamenti automatici. Per le transazioni successive, Nexi chiederà automaticamente l’esenzione, in linea con le norme previste dalla Direttiva. In questo modo il cliente non deve effettuare l’autenticazione per ogni addebito successivo.

Ricordiamo che per poter effettuare pagamenti di questo tipo, il merchant deve far sottoscrivere al cliente specifiche condizioni e deve effettuare l’autenticazione con 3D secure durante la registrazione o in occasione del primo pagamento.

REGISTRAZIONE

Il cliente si registra per pagare automaticamente una bolletta o per attivare un’autoricarica e salva i dati della propria Carta.

AUTENTICAZIONE

Il cliente conferma la fatturazione automatica attraverso l’autenticazione con il 3DSecure, nella modalità definita dall’emittente (es. autenticazione biometrica con impronta digitale).

RICEZIONE BOLLETTA o RAGGIUNGIMENTO SOGLIA

Il cliente riceve una comunicazione dal merchant che lo informa del pagamento programmato di 80 €.

AUTORIZZAZIONE

Nexi richiede l’autorizzazione chiedendo l’esenzione all’emittente della carta.
80 € autorizzati.

ADDEBITO

Nexi effettua l’addebito secondo o le normali modalità.
80 € addebitati.

Pagamenti one-click

(transazioni innescate dal cliente che ha dato consenso per la memorizzazione dei dati della carta)

 

Molti esercenti, per garantire un’esperienza di pagamento semplice e fluida, consentono ai propri clienti, durante il primo o i successivi pagamenti, di salvare i dati della carta in modo da non doverli inserire nuovamente per i pagamenti successivi (tokenizzazione).

In questo caso, la Strong Customer Authentication avviene grazie al 3D Secure 2.1 subito dopo che il cliente inserisce i dati della carta per la prima transazione. Per le successive transazioni, poiché Nexi, attraverso XPay, gestisce automaticamente le esenzioni previste dalla normativa, è possibile che, nella maggior parte dei casi, i clienti non debbano autenticarsi.

PRIMO ORDINE

Il cliente inserisce i dati della propria carta e li memorizza accettando le condizioni pubblicate dal Merchant.
L’importo è di 100 € IVA inclusa.

AUTENTICAZIONE

Il cliente completa l’autenticazione con il 3DSecure, nella modalità definita dall’emittente (es. autenticazione biometrica con impronta digitale). Nel caso in cui, su richiesta del merchant, Nexi chieda l’esenzione e l’emittente della carta la accetti, al cliente non viene richiesta alcuna azione..
100 € autenticati con 3D Secure.

AUTORIZZAZIONE

Nexi richiede l’autorizzazione secondo le normali modalità.
100 € autorizzati.

ADDEBITO

Nexi effettua l’addebito secondo le normali modalità.
100 € addebitati.

ORDINE SUCCESSIVO

Il cliente conferma l'ordine senza inserire i dati della Carta, già memorizzati.

⑤ a. AUTENTICAZIONE: Nexi chiede in automatico l’esenzione, che l’emittente della carta può accettare o meno

⑤ b. AUTORIZZAZIONE: Nexi richiede l'autorizzazione secondo le normali modalità

⑤ c. ADDEBITO: Nexi effettua l’addebito secondo le normali modalità

Dettaglio esenzioni
Possibilità di applicazione a cura dell’acquirer Possibilità di applicazione a cura dell’issuer
  • Transaction Risk Analysis (TRA), modello di analisi secondo i criteri normativi delle operazioni a distanza a basso rischio e applicabile nei seguenti casi vincolati a KPI di frode lorda:

    13 bps -> importo trx esente < 100 €

    6 bps -> importo trx esente < 250 €

    1 bps -> importo trx esente < 500 €

    (Rif: artt. 18 -21 RTS)

  • SI per i pagamenti e-commerce
  • SI per i pagamenti e-commerce
  • Operazioni di modesta entità (importo individuale < di 30€ e ulteriori condizioni), cioè:

    l'importo individuale dell'operazione non supera i 30 € e l'importo cumulativo delle precedenti operazioni di pagamento elettronico a distanza a partire dalla data dell'ultima applicazione dell'autenticazione forte del cliente non supera i 100 €

    OPPURE

    l'importo individuale dell'operazione non supera i 30 € e il numero di operazioni consecutive di pagamento elettronico a distanza non è superiore a cinque a partire dalla data dell'ultima applicazione dell'autenticazione forte del cliente

    (Rif: art. 16 RTS)

  • SI per i pagamenti e-commerce
  • SI per i pagamenti e-commerce
  • Pagamenti senza contatto fisico al punto vendita di modesta entità (importo individuale < di 50 € e ulteriori condizioni) l'importo individuale dell'operazione non supera i 50 € e l'importo cumulativo delle precedenti operazioni di pagamento elettronico contactless a partire dalla data dell'ultima applicazione dell'autenticazione forte del cliente non supera i 150 €

    OPPURE

    l'importo individuale dell'operazione non supera i 50 € e il numero di operazioni consecutive di pagamento elettronico contactless non è superiore a cinque a partire dalla data dell'ultima applicazione dell'autenticazione forte del cliente

    NB: Il limite dei 50 € in molti casi potrebbe essere diverso perché definito a livello di software del POS (attualmente < 25 € sul mercato Italiano)

    (Rif: art. 11 RTS)

  • NO
  • SI per i pagamenti contactless su POS fisico
  • Operazioni ricorrenti pagamenti periodici di medesimo importo disposti dal pagatore

    (Rif: art 14 RTS)

  • SI per i pagamenti e-commerce
  • SI per i pagamenti e-commerce
  • Beneficiari di fiducia, cd. Merchant Whitelisting creata dal pagatore

    Consiste nell’inserimento del Merchant a cura del Titolare, tramite SCA, in una lista di beneficiari di fiducia, per cui non è richiesta la SCA per le relative operazioni di pagamento; la SCA viene richiesta anche per la variazione della lista a cura del beneficiario

    (Rif: art. 13 RTS)

  • NO
  • SI per i pagamenti e-commerce
Possibilità di applicazione a cura dell’acquirer
  • Transaction Risk Analysis (TRA), modello di analisi secondo i criteri normativi delle operazioni a distanza a basso rischio e applicabile nei seguenti casi vincolati a KPI di frode lorda:

    13 bps -> importo trx esente < 100 €

    6 bps -> importo trx esente < 250 €

    1 bps -> importo trx esente < 500 €

    (Rif: artt. 18 -21 RTS)

  • SI per i pagamenti e-commerce
  • Operazioni di modesta entità (importo individuale < di 30€ e ulteriori condizioni), cioè:

    l'importo individuale dell'operazione non supera i 30 € e l'importo cumulativo delle precedenti operazioni di pagamento elettronico a distanza a partire dalla data dell'ultima applicazione dell'autenticazione forte del cliente non supera i 100 €

    OPPURE

    l'importo individuale dell'operazione non supera i 30 € e il numero di operazioni consecutive di pagamento elettronico a distanza non è superiore a cinque a partire dalla data dell'ultima applicazione dell'autenticazione forte del cliente

    (Rif: art. 16 RTS)

  • SI per i pagamenti e-commerce
  • Pagamenti senza contatto fisico al punto vendita di modesta entità (importo individuale < di 50 € e ulteriori condizioni) l'importo individuale dell'operazione non supera i 50 € e l'importo cumulativo delle precedenti operazioni di pagamento elettronico contactless a partire dalla data dell'ultima applicazione dell'autenticazione forte del cliente non supera i 150 €

    OPPURE

    l'importo individuale dell'operazione non supera i 50 € e il numero di operazioni consecutive di pagamento elettronico contactless non è superiore a cinque a partire dalla data dell'ultima applicazione dell'autenticazione forte del cliente

    NB: Il limite dei 50 € in molti casi potrebbe essere diverso perché definito a livello di software del POS (attualmente < 25 € sul mercato Italiano)

    (Rif: art. 11 RTS)

  • NO
  • Operazioni ricorrenti pagamenti periodici di medesimo importo disposti dal pagatore

    (Rif: art 14 RTS)

  • SI per i pagamenti e-commerce
  • Beneficiari di fiducia, cd. Merchant Whitelisting creata dal pagatore

    Consiste nell’inserimento del Merchant a cura del Titolare, tramite SCA, in una lista di beneficiari di fiducia, per cui non è richiesta la SCA per le relative operazioni di pagamento; la SCA viene richiesta anche per la variazione della lista a cura del beneficiario

    (Rif: art. 13 RTS)

  • NO
Possibilità di applicazione a cura dell’issuer
  • Transaction Risk Analysis (TRA), modello di analisi secondo i criteri normativi delle operazioni a distanza a basso rischio e applicabile nei seguenti casi vincolati a KPI di frode lorda:

    13 bps -> importo trx esente < 100 €

    6 bps -> importo trx esente < 250 €

    1 bps -> importo trx esente < 500 €

    (Rif: artt. 18 -21 RTS)

  • SI per i pagamenti e-commerce
  • Operazioni di modesta entità (importo individuale < di 30€ e ulteriori condizioni), cioè:

    l'importo individuale dell'operazione non supera i 30 € e l'importo cumulativo delle precedenti operazioni di pagamento elettronico a distanza a partire dalla data dell'ultima applicazione dell'autenticazione forte del cliente non supera i 100 €

    OPPURE

    l'importo individuale dell'operazione non supera i 30 € e il numero di operazioni consecutive di pagamento elettronico a distanza non è superiore a cinque a partire dalla data dell'ultima applicazione dell'autenticazione forte del cliente

    (Rif: art. 16 RTS)

  • SI per i pagamenti e-commerce
  • Pagamenti senza contatto fisico al punto vendita di modesta entità (importo individuale < di 50 € e ulteriori condizioni) l'importo individuale dell'operazione non supera i 50 € e l'importo cumulativo delle precedenti operazioni di pagamento elettronico contactless a partire dalla data dell'ultima applicazione dell'autenticazione forte del cliente non supera i 150 €

    OPPURE

    l'importo individuale dell'operazione non supera i 50 € e il numero di operazioni consecutive di pagamento elettronico contactless non è superiore a cinque a partire dalla data dell'ultima applicazione dell'autenticazione forte del cliente

    NB: Il limite dei 50 € in molti casi potrebbe essere diverso perché definito a livello di software del POS (attualmente < 25 € sul mercato Italiano)

    (Rif: art. 11 RTS)

  • SI per i pagamenti contactless su POS fisico
  • Operazioni ricorrenti pagamenti periodici di medesimo importo disposti dal pagatore

    (Rif: art 14 RTS)

  • SI per i pagamenti e-commerce
  • Beneficiari di fiducia, cd. Merchant Whitelisting creata dal pagatore

    Consiste nell’inserimento del Merchant a cura del Titolare, tramite SCA, in una lista di beneficiari di fiducia, per cui non è richiesta la SCA per le relative operazioni di pagamento; la SCA viene richiesta anche per la variazione della lista a cura del beneficiario

    (Rif: art. 13 RTS)

  • SI per i pagamenti e-commerce