3-D Secure e PSD2: come è cambiata la protezione degli acquisti on-line

Gli ultimi due anni sono stati caratterizzati da un consistente miglioramento della sicurezza delle transazioni su Internet, grazie all’introduzione della direttiva europea PSD2 per la protezione degli acquisti online anche in Italia. In particolare, i circuiti di carte di credito Visa e Mastercard hanno a disposizione un sistema di verifica per le transazioni su Internet denominato 3-D secure, pensato per rendere la vita più complicata per i truffatori esperti in clonazioni di carte di credito. Il circuito American Express ha un proprio sistema (SafeKey) basato sulla medesima concezione. Ciascun detentore di carte di credito o di app per pagamenti digitali, se habitué dell’ecommerce, non può non essersi imbattuto in questo tipo di protocollo durante una transazione su un portale di acquisti. Queste novità nella sicurezza dei pagamenti digitali dovrebbero contribuire a erodere l'atavica diffidenza dei consumatori italiani in merito agli acquisti su Internet, e i dati degli ultimi due anni rispetto all'ecommerce sembrano confermarlo. Ma cosa sono esattamente la direttiva PSD2 e il 3-D Secure per la protezione degli acquisti on-line?

Normativa PSD2: cos’è e cosa contiene

La normativa PSD2 non riguarda soltanto la protezione degli acquisti on-line, ma è una norma del 2018 (divenuta operativa nel 2019 relativamente alle app di home banking e pagamenti elettronici scaricabili sul tuo smartphone) che introduce significativi cambiamenti in generale nei servizi bancari di pagamento on-line. La Payment Services Directive 2 sostituisce la precedente PSD, e va nella direzione dell'integrazione nei sistemi di pagamento, con l'obiettivo di aumentare la trasparenza nei rapporti che regolamentano i pagamenti, nonché la concorrenza tra operatori del settore, realizzando il concetto di "Open banking": questo significa, ad esempio, la possibilità di gestire da un'unica app vari conti correnti. Questa norma ha consentito, tra le altre cose, l'ingresso nel mercato di Third Party Payment Service Provider (o TPP), cioè operatori che, se autorizzati dall'utente, possono gestire i conti correnti, cosa che precedentemente poteva fare solo l'istituto di credito in cui risiedeva il conto. Ma ciò che ha riguardato tutti gli utenti di app di home banking e pagamenti elettronici a partire dal 14 settembre 2019 è l'introduzione dell'autenticazione forte attraverso 2 fattori di riconoscimento, ad esempio un PIN via sms da inserire dopo esserti loggato con le tue credenziali, nel caso in cui esegui pagamenti o operazioni via app, oppure un'autenticazione biometrica (impronta digitale o riconoscimento facciale per se hai un device abilitato), una delle novità della PSD2 2.0, cioè la versione più recente della normativa. L'entrata in vigore effettiva per tutti è stata prorogata al 1° gennaio 2021.
   

3d-secure, la protezione degli acquisti online di Visa, Mastercard

Attualmente, circa il 60% delle carte di credito diffuse in Italia appartiene al circuito VISA, mentre Mastercard occupa circa il 30% della quota di mercato. Parlare quindi di un sistema di protezione degli acquisti che riguarda questi due circuiti significa parlare della grande maggioranza dei consumatori. Ma in cosa consiste esattamente questo sistema di sicurezza? Come stabilito dalla normativa PSD2, questo codice rappresenta un elemento di autenticazione forte in quanto rappresenta un secondo fattore di riconoscimento nel caso di un acquisto o comunque una transazione on-line. Anzitutto devi avere in mano la carta, oppure la gestisci attraverso un’app (PayPal, per fare l’esempio più famoso): successivamente, al momento dell’acquisto, per verificare che sia davvero tu, ti viene inviato un SMS con un codice casuale numerico da inserire nell’apposita maschera che trovi al momento del pagamento sul sito in cui stai navigando (si dovrebbe parlare più propriamente, infatti, di 3d secure code). Per quanto riguarda le carte American Express, vi è naturalmente anche per queste un sistema di verifica, basato sulla tecnologia 3D Secure, cioè la SafeKey, adottata da molti siti online e che si presenta con modalità del tutto analoghe a quelle degli altri circuiti (una maschera in cui inserire l’eventuale codice inviato per sms).

 

3d secure e l’esonero di responsabilità: cos’è la liability shift

Tra le novità più significative di questo dispositivo di sicurezza c’è l’esonero di responsabilità (in inglese liability shift) dell’esercente che aderisce al 3D secure: ciò significa che, in caso di transazione contestata da parte del titolare di una carta, l’esercente viene sollevato da qualsiasi responsabilità, che passa alla società emittente della carta. Se il titolare dimostra che la transazione è avvenuta a sua insaputa, l’esercente viene indennizzato dalla Società che ha emesso la carta, mentre al titolare la transazione viene stornata. Questo rende conveniente per tutti (al di là della futura obbligatorietà) ricorrere a questo sistema di verifica, facendo del 3d-secure un efficace sistema di protezione degli acquisti online.