La Direttiva Europea PSD2 sui servizi di pagamento ha introdotto norme specifiche sulla sicurezza dei pagamenti elettronici, tra le quali rientrano le norme in materia di autenticazione forte del cliente (c.d. Strong Customer Authentication o SCA).
La Strong Customer Authentication consente ai prestatori di servizi di pagamento di verificare l’identità del cliente quando effettua transazioni con Carta (online o in negozio) e si basa sull’uso di un minimo di due dei tre seguenti elementi (appunto necessari per autenticare il Titolare della Carta):
Possesso
Qualcosa che il cliente possiede, ad esempio un telefono cellulare.
Conoscenza
Qualcosa che solo l’utente conosce, ad esempio una password.
Inerenza
Qualcosa che l’utente è, ad esempio l’identificazione biometrica attraverso impronte digitali, riconoscimento facciale o scansione dell’iride.
.
Le transazioni con Carta effettuate presso un punto vendita fisico, di importo superiore a €50*, devono sempre essere autenticate dal Titolare tramite Chip&Pin. In caso contrario, non sarà possibile processare il pagamento.
In quali altri casi è richiesta l’autenticazione Chip&Pin?
La Direttiva europea PSD2 consente che, a determinate condizioni, le transazioni contactless di importo inferiore a €50* possano essere processate anche senza inserimento del PIN da parte del Titolare.
Tuttavia, una volta che venga raggiunta una spesa cumulativa con la stessa Carta pari o superiore a €150 tramite transazioni contactless consecutive (ciascuna di importo comunque inferiore a €50*), il Titolare di Carta dovrà necessariamente essere autenticato attraverso la modalità Chip&Pin.
Quali transazioni vengono declinate?
Transazioni con lettura della banda magnetica
Le transazioni con Carta che prevedono la lettura della banda magnetica (magstripe) non soddisfano i requisiti di sicurezza previsti dalla direttiva PSD2 e dunque, a seguito dell’entrata in vigore della nuova disciplina, non possono essere più accettate. In ogni caso, inoltre, la firma autografa del Titolare non costituisce un fattore di autenticazione valido ai sensi della direttiva PSD2.
Quali azioni devo intraprendere?
È necessario garantire che tutte le transazioni effettuate di persona e superiori a €50* siano autenticate tramite Chip&Pin e accertarsi che i propri terminali POS supportino le transazioni con Chip&Pin.
* L’effettiva implementazione della soglia di €50 è subordinata al necessario adeguamento tecnico da parte del tuo gestore POS e ai limiti impostati dal soggetto emittente, che possono essere anche inferiori alla soglia di €50 stabilita dalla Direttiva PSD2.
Per le operazioni di pagamento effettuate online dai Titolari utilizzando la propria Carta (e-commerce), i Prestatori di servizi di pagamento sono tenuti ad introdurre forme di autenticazione rafforzata della clientela (Strong Customer Authentication), al fine di aumentare la sicurezza delle transazioni e ridurre le frodi. Rientra in tale contesto anche la necessità di ricorrere a specifici protocolli di sicurezza rafforzata per la gestione delle transazioni online, come il protocollo di sicurezza EMV® 3-D Secure (3D Secure).
Al fine di ottemperare alle nuove disposizioni europee e per consentire la continuità nell’erogazione del servizio di pagamento, gli esercenti convenzionati con American Express dovranno abilitare entro e non oltre il 31 dicembre 2020 il sistema di sicurezza 3D Secure di American Express – denominato Safekey – nei loro esercizi di e‑commerce. In caso di mancato utilizzo di Safekey, a partire dal 1° gennaio 2021 le transazioni e‑commerce saranno declinate.
Quali transazioni saranno declinate?
Transazioni non autenticate tramite SafeKey
A partire dal 1° gennaio 2021 le transazioni e-commerce non autenticate tramite SafeKey saranno declinate.
Quali azioni devo intraprendere?
È necessario garantire che il proprio sito web e/o la propria App di e‑commerce dispongano della tecnologia 3D Secure per la gestione delle transazioni. Attiva Safekey il prima possibile e comunque entro e non oltre il 31 dicembre 2020: dal 1° gennaio 2021 American Express, in linea con la normativa vigente, sarà infatti tenuta a declinare le transazioni online effettuate senza utilizzare il protocollo 3D Secure. Contatta oggi stesso il tuo fornitore di servizi di pagamento per attivare Safekey.
Attenzione: informazione importante
Per adeguarsi alla normativa, alcuni Regolatori europei hanno stabilito piani di progressivo adeguamento ai nuovi requisiti, che prevedono alcune scadenze già nel corso dell’anno 2020, richiedendo ai fornitori di servizi di pagamento di declinare eventuali transazioni online non esenti effettuate presso un Esercizio Commerciale facente parte dello Spazio Economico Europeo (SEE), qualora queste non vengano effettuate attraverso il predetto sistema 3D Secure e nel rispetto dei principi in materia di autenticazione forte della clientela.
Ad esempio, la Banca Nazionale del Belgio e la Banca di Francia hanno disposto la progressiva riduzione delle soglie di valore al di sopra delle quali i fornitori di servizi di pagamento sono tenuti a declinare le transazioni non autenticate con SCA. Tali soglie di valore si applicano a tutte le transazioni online – escluse quelle oggetto di esplicita esenzione o esclusione normativa – non autenticate mediante sistema 3D Secure ed effettuate da Titolari di Carte emesse in Belgio e in Francia nell’ambito dello SEE, indipendentemente dall’ubicazione fisica dell’Esercizio commerciale presso cui la transazione viene effettuata.
Al fine di dare corretta attuazione ai requisiti specifici adottati in Belgio e in Francia, American Express sarà pertanto tenuta a declinare le transazioni online effettuate da Titolari di Carte emesse in Belgio e in Francia e processate dagli Esercizi commerciali senza utilizzare Safekey, sistema 3DSecure di American Express.
Puoi trovare informazioni sulle disposizioni della Banca Nazionale del Belgio cliccando qui , mentre per le disposizioni della Banca di Francia clicca qui.
Ai sensi della Direttiva PSD2 sulla sicurezza dei pagamenti elettronici, alcuni tipi di transazioni sono esenti dall’autenticazione forte.
1. Transazioni online di importo ridotto
- American Express richiede l’utilizzo di SafeKey per ogni singola transazione online. In tal modo, la responsabilità in caso di eventuale frode non ricadrà sull’esercente.
- In conformità con le disposizioni normative vigenti e con i limiti da queste previsti, è consentita al prestatore di servizi di pagamento la possibilità di non applicare l’autenticazione forte in caso di transazioni di importo particolarmente ridotto.
2. Esercenti preferiti
- I Titolari di Carta possono aggiungere o rimuovere esercenti dalla propria lista i siti web di e-commerce preferiti attraverso la SafeKey Express List di American Express, gestita da American Express e dal Titolare della Carta.
- Qualora il Titolare di Carta effettui un acquisto presso un sito web inserito tra i suoi “preferiti” non sarà necessaria, di regola, l’autenticazione forte.
- Per maggiori informazioni, consulta www.americanexpress.it/safekey.
3. Analisi dei rischi collegati alle transazioni
- Le transazioni potranno essere esentate dall’applicazione dell’autenticazione forte qualora presentino un livello di rischio particolarmente basso, sulla base dei parametri individuati dalla normativa applicabile e delle informazioni a disposizione di American Express.
- La transazione, se online, dovrà comunque essere processata tramite Safekey: American Express determinerà il livello di rischio e avvierà le azioni necessarie per autenticare il Titolare di Carta.
4. Esenzione Corporate
- La PSD2 prevede una ulteriore forma di esenzione (c.d. “Corporate Exemption”), per pagamenti effettuati attraverso procedure di pagamento o protocolli dedicati, disponibili solo per le aziende.
- American Express applicherà tale esenzione laddove possibile ai suoi vari prodotti di pagamento di tipo Corporate.
- In caso di transazioni online, SafeKey determinerà se il prodotto coinvolto nella transazione richieda l’autenticazione forte o meno.
1. Ordini tramite posta o telefono
- Ai sensi della direttiva PSD2, gli ordini effettuati tramite posta o telefono (mail order/telephone order) sono esenti dall’autenticazione forte, a condizione che l’esercente trasmetta ad American Express i corretti codici per identificare in modo chiaro la transazione come effettuata tramite posta o telefono.
2. Transazioni avviate dal commerciante
- Le transazioni di pagamento avviate dall’esercente anziché dal Titolare di Carta non sono soggette all’autenticazione forte, poiché il Titolare della Carta ha autorizzato l’esercente ad avviare la transazione (dunque previo accordo tra l’esercente e il Titolare della Carta).
- Per maggiori informazioni su tutti i tipi di transazioni avviate dall’esercente non soggette all’autenticazione forte, consulta il nostro sito web dedicato agli esercenti.
3. Competenza geografica (UE/non SEE)
- L’autenticazione forte del cliente riguarderà in via principale le transazioni effettuate tra esercenti e clienti appartenenti allo Spazio Economico Europeo (SEE). In caso di transazioni in cui uno fra l’esercente e il cliente sia collocato al di fuori dello Spazio Economico Europeo, le regole dell’autenticazione forte saranno applicate secondo il criterio del Best effort.
4. Pedaggi e parcheggi
- Saranno esenti da autenticazione forte tutte le transazioni avviate presso terminali per tariffe di pedaggio o di parcheggio.
Per maggiori informazioni riguardo alla posizione di American Express sulle transazioni esenti, consulta la pagina web www.americanexpress.com/merchantspecs.