• User

    E-commerce: PSD2 e Strong Customer Authentication

    Shopify, stripe e tutte le altre piattaforme che utilizzo stanno già provvedendo agli aggiornamenti: il punto che sollevi però è giusto, nei siti che gestisco con 3D secure attivo ho alte percentuali di abbandono. Speriamo che si riesca a far adeguare tutti i consumatori nel più breve tempo possibile


  • Bannato Super User

    Buongiorno

    Potete fornire maggiori informazioni sui cambiamenti che avveranno ?

    Home banking che uso ha modificato la procedura per effettuare i pagamenti ma è probabilmente piu semplice, prima si autorizzava con una codice ottenuto con una dispositivo che generava una pin temporaneo, adesso invece si autorizzano i pagamento tramite un codice fisso + codice ricevuto via sms dunque è piu semplice effettuare i pagamenti.

    Per quanto riguarda gli ecommerce cosa cambiera ?

    Potete fare degli esempi dei cambiamenti ?

    Ringrazio


  • Moderatore

    Ciao a tutti,
    l'introduzione della **Strong Customer Authentication (SCA) + ****Payment Services Directive 2 (PSD2) **porta di fatto tutti i siti a dover obbligare il cliente ad utilizzare il 3D Secure.
    Detto questo:

    • tutti i metodi di pagamento che sono "fuori" dal sito (e che effettuano redirect nel checkout) solitamente avevano già il 3D secure. Questa normativa non impatta lato e-commerce (merchant) ma lato gateway di pagamento.
    • la normativa "colpisce" solo i metodi di pagamento con carta di credito. Es. i pagamenti con account tipo paypal non rientrano in quella categoria
    • l'impatto più grande si ha per i pagamenti con carta che NON richiedevano 3D secure (quindi Braintree, Stripe) e carte ricaricabili (vedi postepay)

    COSA FARE

    Lato tecnico:
    (in caso di cms) aggiornamento dell'estensione del metodo di pagamento
    (tutti gli altri casi) aggiornamento delle chiamate API verso il gateway di pagamento secondo le nuove specifiche

    In generale il lavoro è più lato gateway di pagamento che lato ecommerce.

    PROSPETTIVE

    L'unico modo per diminuire il tasso di abbandono è cercare di far salvare i dati della carta nel sito (solitamente tramite token).
    In questo modo al secondo acquisto non verrà richiesto il 3D Secure (vedi Amazon).

    L'SCA di per sè non è un gran problema perchè per transazioni "a basso rischio" (tipo sotto i 30 euro) non viene richiesto il 3D scure ma il PSD2 obbliga che il cliente venga identificato con almeno 2 di queste 3 cose:

    • Something the customer knows: password or PIN they set
    • Something the customers has: phone or hardware token for authentication
    • Something the customer is: fingerprint, face recognition

    Inoltre viene introdotto il concetto di "contesto" (dati che il sito ecommerce può inviare al gateway di pagamento per identificare il cliente).
    Non mi è ancora chiaro se il contesto può ridurre l'uso del 3D secure perchè rende il cliente come identificato. Magari qualcuno che ne sa di più può scriverlo per condividerlo con tutti.

    CONCLUSIONI

    Personalmente sembra un po' di rivivere il discorso GDPR: tanto caos ma poche specifiche chiare.
    Sembrerebbe che i metodi di pagamento che avranno più benefici con questa normativa sono Apple Pay, Google Pay, Paypal (e anche Satispay - italiana) in quanto hanno il cliente "semi-identificato".


    Approfondimenti:

    https://community.magento.com/t5/Magento-DevBlog/3D-Secure-2-0-changes/ba-p/136460

    https://usa.visa.com/dam/VCOM/global/visa-everywhere/documents/visa-3d-secure-2-program-infographic.pdf


  • User

    Giuseppe, non ho ben capito il passaggio sui pagamenti sotto i 30?, che differenza passa tra 3d secure e psd2? Sembrano sistemi di identificazione tutto sommato simili


  • Moderatore

    @FedericoC said:

    Giuseppe, non ho ben capito il passaggio sui pagamenti sotto i 30€, che differenza passa tra 3d secure e psd2? Sembrano sistemi di identificazione tutto sommato simili

    Ciao Federico,
    la differenza è che la** PSD2 è la direttiva** che non riguarda solo l'e-commerce ma anche il sistema bancario.
    Relativamente all'e-commerce e alle transazioni con carta di credito la direttiva impone una **SCA, quindi una tecnica **(3D Secure) con l'aggiunta di un'autenticazione più mirata (2 su 3 della lista)

    • Something the customer knows: password or PIN they set
    • Something the customers has: phone or hardware token for authentication
    • Something the customer is: fingerprint, face recognition

    Questo significa che ad esempio il codice 3D secure con il vecchio token fisico con i numerini non basta più.
    Bisogna avere un token ma anche un pin per prendere il token (come il pin del cellulare). Questo comporta l'eliminazione dei token fisici.

    E' un argomento abbastanza complesso a cui non sono andato troppo nel dettaglio purtroppo perchè non specifico della mia attività.
    Il discorso dei 30 euro è limitato alla SCA (e non alla direttiva) tipo il bancomat contactless: si dà per "non rischiosa" una transazione con cifra bassa e quindi non ti viene chiesto il pin.
    Quindi in america dove la PSD2 non c'è, le transazioni sotto i 30 dollari non richiedono il 3d secure.

    (30 è un numero variabile in base al gateway di pagamento)

    ESEMPIO FUTURA TRANSAZIONE ECOMMERCE

    Sono nel checkout:

    • scelgo carta di credito come pagamento
    • ipotizzo che il sistema mi faccia fare un redirect al gateway di pagamento (oppure nei sistemi più avanzati mi mostra una input per inserire il 3d secure)
    • per ottenere il codice non mi basta più il token fisico o l'sms, dovrò aprire l'applicazione sul cellulare (previa login) che mi genera il token
    • inserisco il token
    • concludo l'ordine

    Solo nel caso in cui il sistema mi permette di salvare il numero carta allora al secondo acquisto non avrò bisogno di inserire il 3d secure ma mi farà concludere l'ordine senza aver fatto nulla (ovviamente l'utente deve essere registrato al sito).


    Capisco che possa essere considerato come un massacro per le vendite ma è anche la via molto più sicura rispetto a prima contro le frodi.
    C'è da dire che ciò porterà ad una evoluzione con sistemi di pagamento a wallet (quindi paypal, apple pay, google pay, satispay etc...)

    Questa direttiva impatta anche Amazon perchè dovrà far ri-autenticare tutte le carte ai clienti (almeno la prima volta). Se i clienti ci riescono con Amazon perchè non dovrebbero riuscirci con gli e-commerce classici? (la procedura è la stessa).


  • User

    Tutto chiaro, grazie, avevo interpretato male quello che avevi scritto.

    Qui ho trovato una spiegazione molto efficace e semplice della questione, per chi volesse approfondire ulteriormente: https://stripe.com/it/payments/strong-customer-authentication

    Personalmente la ritengo un' ottima cosa che sul lungo periodo favorirà le transazioni: aumentando la sicurezza dei pagamenti ci si sentirà più tranquilli anche ad acquistare da siti che non sono Amazon


  • User

    Come stanno andando le vendite in carta, riscontrate problemi? Personalmente, ho qualche cliente che lamenta vendite perse


  • Moderatore

    Ciao
    aggiungo questa risorsa che mostra anche un altro aspetto del problema e che potrebbe ripercuotersi su proprietari di Shop mal configurati.
    https://www.ilsole24ore.com/art/cybersecurity-tutti-rischi-nuova-normativa-bancaria-spd2-ACCHLol


  • Moderatore

    Aggiungo un ottimo video sul discorso PSD2 di Matteo Flora (esperto in sicurezza informatica e reputazione online)