Linee Guida Netcomm sugli standard tecnici di regolamentazione in tema di autenticazione forte del cliente e di comunicazione sicura

INTRODUZIONE  AGLI  STANDARD  TECNICI  DI  REGOLAMENTAZIONE  IN  TEMA  DI AUTENTICAZIONE  FORTE  DEL  CLIENTE  E  DI  COMUNICAZIONE  SICURA,  AI  SENSI  DELLA DIRETTIVA (UE) 2366/2015 (PSD2).

1)  QUAL È LA FINALITÀ DEGLI STANDARD TECNICI DI REGOLAMENTAZIONE?

2)  COS’È E IN COSA CONSISTE LA STRONG CUSTOMER AUTHENTICATION?

3)  È POSSIBILE UTILIZZARE UN SINGOLO DISPOSITIVO PER L'AUTENTICAZIONE?

4)  È CONSENTITA L'AUTENTICAZIONE DELEGATA SU UNO SMARTPHONE?

5)  È CONSENTITA L'AUTENTICAZIONE DELEGATA A UN COMMERCIANTE?

6)  ESENZIONI PER L'AUTENTICAZIONE FORTE DEL CLIENTE

a)  Transazioni ricorrenti.

b)  Transazioni di basso valore

c)  Beneficiari attendibili o White-listing

d)  Tassi di frode e analisi del rischio della transazione

e)  Altre tipologie di esenzioni.

7)  COME OPERANO LE "TRANSAZIONI AVVIATE DAGLI ESERCIZI COMMERCIALI"?

8)  CARD ON FILE.

9)  COS'È IL COLLEGAMENTO DINAMICO?

10)  A COSA DEVONO PRESTARE ATTENZIONE GLI ESERCIZI COMMERCIALI?

11)  QUALI SONO I PROSSIMI PASSI CHIAVE PER GLI ESERCIZI COMMERCIALI?

12)  IL PROTOCOLLO DI SICUREZZA EMV3-D SECURE (EMV 3DS)

13)  QUALI  AZIONI  SONO  CONSIGLIATE  AI  MERCHANT  IN  VISTA  DELL’ENTRATA  IN  VIGORE DELLE NUOVE REGOLE?

 

SCOPRI IL WEBINAR

INTRODUZIONE  AGLI  STANDARD  TECNICI  DI  REGOLAMENTAZIONE  IN  TEMA  DI AUTENTICAZIONE  FORTE  DEL  CLIENTE  E  DI  COMUNICAZIONE  SICURA,  AI  SENSI  DELLA DIRETTIVA (UE) 2366/2015 (PSD2).

Il  14  settembre  2019  entreranno  in  vigore  nuovi  standard  tecnici  di  regolamentazione sull’autenticazione forte  del  cliente  (indicate  qui di seguito  anche  con  l’acronimo  inglese  as  RTS  on SCA  and  CSC  da:  “Regulatory  Technical  Standards  on  Strong  Customer  Authentication  as  RTS  on  SCA  and CSC”) in applicazione del Regolamento Delegato  UE/389/2018 del 27 novembre 2017, che integra la Direttiva  UE/2015/2366  per  quanto  concerne  le  norme  tecniche  di  regolamentazione  per l’autenticazione forte del cliente e gli standard aperti di comunicazione. Le RTS on SCA and CSC definiscono specifici requisiti che assicurano autenticazione e comunicazione sicure tra i diversi attori dell’ecosistema dei pagamenti. Il principio alla base dell’introduzione dell’obbligo di autenticazione forte del cliente è di incrementare il  livello  di  sicurezza  dei  pagamenti  elettronici  assicurando  al  tempo  stesso  la  protezione dell’utente.  Gli  standard  tecnici  stabiliscono  l’ambito  di  applicazione,  i  requisiti  e  le  eccezioni all’applicazione dell’autenticazione forte per i pagamenti elettronici. Il presente documento intende quindi illustrare le principali novità che la normativa ha introdotto e i passi da intraprendere per cogliere le opportunità offerte.

1)  QUAL È LA FINALITÀ DEGLI STANDARD TECNICI DI REGOLAMENTAZIONE?

La finalità è garantire la protezione dell’Utente durante le transazioni svolte online; la sua applicazione è infatti prevista nei seguenti tre casi:

1.  Quando un cliente accede al proprio account di pagamento online

2.  Quando un cliente effettua un pagamento elettronico

3.  Quando un cliente esegue un'azione attraverso il canale remoto che può comportare un rischio di frode. I  requisiti  si  applicano  ai  pagamenti  che  sono  stati  avviati  dal  pagatore,  collegandosi  con  il  proprio conto di pagamento. I pagamenti avviati dai venditori sono quindi esclusi (es. mandati Sepa Direct Debit (SDD).

2)  COS’È E IN COSA CONSISTE LA STRONG CUSTOMER AUTHENTICATION?

Gli Standard Tecnici di Regolamentazione (RTS) definiscono l’autenticazione forte del cliente (SCA) come un  processo di autenticazione che si realizza in presenza di almeno  due dei seguenti tre fattori:

1.  Conoscenza - Qualcosa che solo l'utente conosce (ad esempio, un PIN o una password). Da  notare  che,  l'Autorità  bancaria  europea  ritiene  che  il  numero  di  carta  con  CVV  e  data  di scadenza, nonché un ID utente  non possano essere considerati come elementi che soddisfano  il requisito della "conoscenza".

2.  Inerenza  -  Qualcosa che l'utente “è”. Possiamo ritenere tale, un elemento inerente alla biometria, inclusi i modelli comportamentali, il riconoscimento vocale ...).

3.  Possesso  –  Qualcosa che solo l'utente possiede (ad esempio, un telefono cellulare o un token)  -Secondo l'EBA, per un dispositivo da considerare in possesso, ci deve essere un mezzo affidabile per confermare questo possesso, ad esempio generando una ricezione di una convalida dinamica. Secondo l'EBA, una One Time Password (OTP) inviata via SMS a un telefono cellulare si qualifica come un fattore di possesso.  È importante ricordare che l’OTP via SMS, così come il token  fisico,  non  ritenuti  conformi  a  partire  dal  14  settembre  2019  in  quanto  esposti  a  essere intercettati (man in the middle) e non rispettano il criterio del payee & amount specific. L'RTS  richiede  che  i  fattori  selezionati  debbano  essere  reciprocamente  indipendenti  in  quanto  la violazione di uno non deve e non può compromette l'affidabilità dell'altro (articolo 9 RTS). L'EBA ha inoltre  chiarito  che  i  due  fattori  di  autenticazione  richiesti  devono  appartenere  a  categorie  diverse (pertanto non potremo avere due elementi di inerenza o solo due elementi di possesso).

3)  È POSSIBILE UTILIZZARE UN SINGOLO DISPOSITIVO PER L'AUTENTICAZIONE?

È consentito l'uso di un singolo dispositivo per l'autenticazione, come  ad esempio lo smartphone, il quale potrà quindi essere utilizzato contemporaneamente per l'autenticazione del titolare della carta  che per il completamento delle transazioni. Il  rischio  connesso  all'uso  di  dispositivi  multifunzione  (ad  esempio  smartphone  e  tablet)  dovrebbe tuttavia  essere mitigato attraverso l'uso di ambienti di esecuzione protetti separati.  In tali casi occorrerà prevedere  dei  meccanismi  di  sicurezza  per  garantire  che  il  software  o  il  dispositivo  non  siano  stati alterati dal beneficiario o da una terza parte.

4)  È CONSENTITA L'AUTENTICAZIONE DELEGATA SU UNO SMARTPHONE?

L’utilizzo  di  un  dispositivo  mobile  può  essere  un  elemento  senz’altro  valido  per  implementare  il collegamento  dinamico,  sia  mediante  specifiche  App per  il  Mobile  Banking  che  attraverso sistemi  di SMS-OTP. In questo caso i dati della transazione sono trasferiti dal “server” della banca all’App di mobile banking attraverso messaggi di notifica crittografati che garantiscono la sicurezza dei messaggi; mediante l’App presente sul dispositivo, l’utente è in grado di verificare i dati della transazione, di autenticarsi per quella specifica operazione e di restituire l’informazione autorizzando il pagamento. Tali  soluzioni  sono  rese  possibili  grazie  all’utilizzo  di  dispositivi  (ad  esempio  smartphone)  che includono  un  CDCVM  (Consumer  Device  Cardholder  Verification  Method)  per  accedere  al

dispositivo. Questa  è  una  grande  opportunità  di  sviluppo  di  nuove  soluzioni  sempre  più  customer  oriented,  che consentono di essere  utilizzati dai consumatori per autenticarsi per un pagamento, in particolare per i pagamenti NFC da mobile, poiché la maggior parte di queste transazioni avviene tramite portafogli xPay (ad esempio, Apple Pay).

5)  È CONSENTITA L'AUTENTICAZIONE DELEGATA A UN MERCHANT?

I Prestatori di Servizi di Pagamento abilitati ad emettere strumenti di pagamento basati su carta  (come ad esempio banche Issuer oppure istituti di pagamento autorizzati all’emissione di carte di pagamento)

possono autorizzare un esercizio commerciale ad offrire soluzioni di pagamento basate sui circuiti delle carte  di  credito,  come  nel  caso  di  società  che  operano  nella  grande  distribuzione  organizzata,  a

condizione che vengano rispettati una serie di requisiti. A seguito dell’entrata in vigore delle nuove norme, i PSP potranno fare affidamento sulle credenziali di sicurezza  rilasciate  dall’esercizio  commerciale  al  titolare  della  carta  di  credito  per  l’autenticazione,  a condizione che le credenziali siano  conformi ai requisiti di autenticazione forte del cliente previsti dagli standard tecnici (ad esempio, se è previsto un requisito di autenticazione biometrica sicura).

Inoltre,  tale  attività  potrà  essere  consentita  solo  nel  caso  di  attività  commerciali  a  basso  rischio  e  a fronte  di  utilizzo  di  carte  di  credito  digitalizzate  e  tokenizzate  nella  soluzione  CoF  dell’esercente.  In presenza di tali condizioni e previo rilascio di una delega espressa, il PSP potrà delegare l’esercente ad

offrire il servizio di pagamento.  Gli  esercizi  commerciali  interessati  dovrebbero  contattare  i  provider  per  verificare  i  programmi  di delega che verranno applicati.

6)  ESENZIONI PER L'AUTENTICAZIONE FORTE DEL CLIENTE

I nuovi standard tecnici di regolamentazione  prevedono una serie ipotesi e situazioni al verificarsi delle quali  non  è  richiesta  l’autenticazione  forte  del  cliente.  Le  ipotesi  sono  brevemente  riportate  qui  di seguito. La valutazione della necessità o meno di procedere alla SCA è demandata ai prestatori dei servizi di pagamento.

1.  Transazioni ricorrenti. Se un pagatore è solito applicare a specifici clienti “transazioni ricorrenti”, intendendo come tali operazioni  di  pagamento  che  prevedono  sempre  un  determinato  importo  e  uno  determinato beneficiario, il  fornitore di servizi di pagamento  può decidere di applicare sistemi di identificazione forte del cliente solo in occasione della prima operazione (pertanto, quando la serie di pagamenti viene creata) oppure nel caso in cui intervengano variazioni (ad esempio modifica dell’importo). Per le transazioni ricorrenti create prima dell’applicazione delle RTS sulla SCA che soddisfano i criteri sopra indicati l’autenticazione forte del cliente dovrebbe essere richiesta solo nel caso in cui alcuni elementi della transazione vengano modificati. Come  accennato  in  precedenza,  le  transazioni  ricorrenti  che  sono  transazioni  avviate  dal commerciante sono al di fuori dell'ambito dell'RTS e non richiedono SCA.

2.  Transazioni di basso valore Può  essere  applicata  l’esenzione  dall’obbligo  di  applicare  meccanismi  di  autenticazione  forte  del cliente nel caso di transazioni di modico valore che rispondono ad una delle seguenti ipotesi:

  • Valore della transazione inferiore a € 30,00;
  • L'ammontare cumulativo della transazione precedente all'ultima autenticazione forte del cliente è inferiore a € 100,00;
  • Sono state effettuate fino ad un massimo di cinque transazioni con valore inferiore a € 30,00, oppure con un valore complessivo di massimo a € 100,00.

3.  Beneficiari attendibili o Trusted beneficiaries / White-listing Non  è  necessario  applicare  un  meccanismo  di  autenticazione  forte  del  cliente  nel  caso  in  cui  il soggetto  è  incluso  in  un  elenco  di  beneficiari  affidabili.  Tuttavia,  qualora  il  beneficiario  intenda creare  o  modificare  l’elenco.  L’esenzione  può  essere  autorizzata  solo  dai  prestatori  di  servizi  di pagamento.  Occorre  tuttavia  precisare  che,  in  vista  dell’entrata  in  vigore  delle  regole  tecniche, alcuni provider potranno non riconoscere tali esenzioni; gli esercizi commerciali dovrebbero quindi fare affidamento su un’altra tipologia di esenzione

4.  Tassi di frode e analisi del rischio della transazione. Tale ipotesi di esenzione consente ai prestatori di servizi di pagamento di non applicare la Strong Customer  Authentication per le transazioni che presentano un basso livello di rischio di frode.  Le condizioni  di  applicazione  di  tale  esenzione  sono  dettagliate  negli  standard  tecnici  di regolamentazione  rilasciate  dall’EBA  e  riguardano  le transazioni  fino  ad  un  valore  massimo  di € 500,00.  È  importante  sottolineare  che  l’applicazione  o  meno  di  tale  esenzione  non  può  essere demandata  all’esercizio  commerciale  bensì  all’Acquirer  (ovvero  il  prestatore  del  servizio  di

pagamento che sottoscrive un contratto di convenzionamento con l’esercente in modo da accettare i  pagamenti  con  carta  effettuati  sul  proprio  terminale).  Sarà  pertanto  l'Acquirer  ad  applicare l'esenzione e ad essere, conseguentemente, responsabile per la transazione.

5.  Altre tipologie di esenzioni. Le RTS prevedono una serie di altre esenzioni in relazione a transazioni che ineriscono:

  • il trasferimento sicuro in caso di pagamenti effettuati in ambito aziendale,
  • servizi di accesso alle informazioni sul conto di pagamento
  • il trasferimento di importi su un conto intestato al medesimo titolare e nell’ambito dello stesso prestatore.

7)  COME OPERANO LE "TRANSAZIONI AVVIATE DAGLI ESERCIZI COMMERCIALI"?

I pagamenti elettronici che sono avviati dal pagatore solo sulla base di (1) un mandato iniziale (il quale è  comunque  soggetto  alla  SCA)  da  parte  del  pagatore  che  autorizza  il  beneficiario  ad  avviare  i pagamenti periodici e (2) un  accordo preesistente  tra il pagatore e il beneficiario per la fornitura di prodotti o servizi non sono soggetti a SCA.

L'EBA  ha  infatti  chiarito  che  i  pagamenti  basati  su  un  accordo  (permanente)  tra  un  cliente  e  un commerciante, in base al quale il cliente autorizza il commerciante ad avviare transazioni successive in relazione  alla  consegna  concordata  di  beni  o  servizi,  possono  essere  considerati  come  transazioni avviate  dai  beneficiari  a  condizione  che  tali  pagamenti  non  dipendano  da  un'azione  specifica  del pagatore per far scattare l'avvio del pagamento da parte del beneficiario. Tuttavia, qualora un accordo  permanente tra un cliente e un commerciante comporti una successiva fatturazione da parte del commerciante senza che lo stesso abbia ricevuto il mandato dal cliente per l'avvio dei pagamenti successivi, tali pagamenti non possono essere considerati pagamen ti avviati dal beneficiario.

8)  CARD ON FILE.

I servizi di pagamento “Card on File” rappresentano un importante soluzione messa a disposizione da un esercente finalizzato a migliorare l’esperienza di acquisto del cliente nella fase del pagamento, nello store  fisico o online, in tal modo il cliente non dovrà digitare ogni volta le informazioni della propria carta di credito essendo già memorizzate; la “one click experience” o “invisible payments” costituisce infatti un importante elemento per ogni e-commerce. I  dati  della  carta  di  credito  del  cliente  sono  memorizzati  all’interno  di  database  sicuri  del  merchant oppure  di  specifici  gateway  di  pagamento  che  gestiscono  il  servizio.  L'RTS  non  contiene  esenzioni specifiche  per  le  transazioni  Card  on  File  e  pertanto  meccanismi  di  autenticazione  forte  del  cliente dovranno essere applicati per ogni transazione (salvo specifici casi di esenzione).

Eventuali “white-list” sono particolarmente rilevanti per autorizzare pagamenti “one click”.

9)  COS'È IL COLLEGAMENTO DINAMICO?

Il  collegamento  dinamico  è  uno  dei  requisiti  richiesti  dalle  norme  di  regolamentazione  in  tema  di autenticazione  forte  del  cliente  e  di  sicurezza  nelle  comunicazioni.  Tale  requisito  richiede  che  in relazione alle transazioni effettuate da remoto, ogni processo di autenticazione debba essere riferito ad

una  specifica  transazione,  che  sarà  identificata  in  relazione  ad  un  importo  determinato  e  ad  un beneficiario specifico; il codice di autenticazione dovrà quindi essere legato a tali informazioni. Questo  requisito,  di  autenticazione  vincolata  al  commerciante  e  all'importo,  mira  a  garantire  che  un codice di autenticazione valido venga utilizzato una sola volta e per l'operazione specifica per la quale viene  richiesta  l'autenticazione  (articolo  5  RTS).  Sino  ad  ora  potevano  essere  utilizzati  i  token  i  cui codici  generati  di  fatto  non  erano  (nella  maggior  parte  dei  casi)  dinamicamente  legati  alla  singola transazione,  come  previsto  dalla  nuova  normativa  che  richiede,  come  anzidetto,  un  collegamento dinamico, ovvero un legame inscindibile tra la singola transazione e il codice autorizzativo.

10)  A COSA DEVONO PRESTARE ATTENZIONE GLI ESERCIZI COMMERCIALI?

L’introduzione dei nuovi standard a partire dal 14 settembre 2019 può avere ripercussioni sui tassi di conversione delle vendite degli operatori Europa. L’autenticazione forte del cliente potrebbe impattare sul  modo  in  cui  i  consumatori  si  autenticano  online  e,  conseguentemente,  sulla  loro  esperienza  di

acquisto sui negozi digitali. A partire da settembre le modalità di gestione, da parte dei retailers, degli aspetti di autenticazione sui loro siti e l’applicazione di eccezioni per offrire agli utenti un’esperienza di pagamento sicura ,  costituirà uno dei fattori chiave per la crescita dell’e-Commerce in Europa.

Le  esenzioni  elencate  nelle  RTS  e  il  rapido  sviluppo  delle  tecnologie  di  autenticazione,  come  la biometria, possono garantire una buona esperienza del cliente garantendo al tempo stesso la sicurezza delle transazioni.

11)  QUALI SONO I PROSSIMI PASSI CHIAVE PER GLI ESERCIZI COMMERCIALI?

1.  Informarsi. Gli esercizi commerciali dovrebbero essere consapevoli dei cambiamenti imminenti e interagire con altri settori che si occupano di autenticazione dei clienti forte, inclusi gli operatori che operano  nei  circuiti  di  pagamento  (payment  schemes),  emittenti  e  acquirer.  I  Merchant  devono informarsi  sulle  soluzioni  che  verranno  rese  disponibili  e  sui  passaggi  da  seguire  per  prepararsi coinvolgendo i propri fornitori di servizi di pagamento.

2.  Gli  esercizi  commerciali  dovrebbero  utilizzare  protocolli  di  sicurezza  EMV  3-DS poiché  è probabile che i tassi di approvazione della transazione diminuiscano quando non viene utilizzata l'autenticazione.  Alcuni  emittenti  potrebbero  anche  rifiutare  sistematicamente  le  transazioni  che non  prevedono  meccanismi  di  autenticazione  basati  sul  3D  Secure  per  il  timore  di  non  essere conformi  alle  disposizioni  della  direttiva  pagamenti  e  alle  regole  tecniche  sopra  citate.  Inoltre, dovrebbero richiedere la possibilità di implementare il protocollo  3DS 2.2  in quanto è l’unico in grado di gestire tutte le esenzioni dall’applicazione della SCA previste dalle RTS.

3.  Nel caso in cui non è previsto un meccanismo di autenticazione basato su 3D Secure –  poiché, ad esempio, è applicata un'esenzione  –  e la transazione è rifiutata perché il cliente non è autenticato, l’esercente dovrebbe  chiedere al cliente di ri-autenticare tramite 3DS, adottando pertanto sistemi 3DS.

4.  I  Merchant  dovrebbero  assicurare  la  coerenza  e  l'unicità  del  nome.  Le  migliori  prestazioni  dei processi  di  autenticazione  e  autorizzazione  si  ottengono  quando  il  nome  del  commerciante  è coerente.  I  Merchant  possono  beneficiare  in  modo  ottimale  delle  esenzioni  con  elenchi  bianchi (trusted beneficiaries /white listing) quando possono essere riconosciuti con un nome univoco.

EMV 3-DS: rappresenta uno standard globalmente riconosciuto, sviluppato da Europay, MasterCard e Visa, per l’utilizzo di  smart card,  terminali POS e ATM per l’autenticazione di transazioni con carte di credito e debito , supporta l’autenticazione basata su  3D Secure, utilizzato in particolare per le transazioni effettuate mediante  app con integrazione di portafogli digitali e transazioni online basate su browser.

12)  IL PROTOCOLLO DI SICUREZZA EMV3-D SECURE (EMV 3DS)

Il  protocollo  di  sicurezza  EMV  3DS  2.0  rappresenta  l'evoluzione  dell'attuale  interfaccia  di autenticazione (3DS 1.0) in uno standard che:

✓  Consente di effettuare transazioni e scambiare in sicurezza dati dei consumatori, come ad esempio informazioni  inerenti  al  dispositivo,  l’indirizzo  di  spedizione  e  di  fatturazione,  etc.,  consentendo all'emittente  di  applicare  esenzioni  dall’applicazione  della  Strong  Customer  Authenticationmigliorando la fruibilità dei servizi;

✓  Supporta nuovi modelli di pagamento, come i pagamenti in-app e da mobile.

✓  Supporta nuovi servizi innovativi che migliorano la customer experience, come ad esempio: o  Card-on-File  (CoF):  come  esaminato  in  precedenza,  tale  soluzione  consente  al  cliente  di salvare i dati della carta di credito nel sito Web o nell'applicazione dell’esercente velocizzando i processi di pagamento, che si traducono in un “one-click”

o  Wallet di pagamento

o  Tokenizzazione della carta di credito: il token sostituisce il numero reale della carta di credito che viene memorizzata, riducendo i rischi di transazioni non autorizzate. Come indicato nelle pagine che precedono, a partire dal 14 settembre 2019  entreranno in vigore nuovi standard  tecnici  di  regolamentazione  sull’autenticazione  forte  del  cliente  per  tutte  le  transazioni  di pagamento  effettuate  da  remoto,  incluso  l'e-commerce,  a  meno  che  non  si  verifichino  le  ipotesi  di applicazione di un'esenzione sopra illustrate. Suggeriamo pertanto agli esercizi commerciali di verificare il rispetto dei requisiti e del protocollo EMV3-D Secure 2.0 (EMV 3DS 2.0) per evitare che gli emittenti rifiutino le transazioni di e-commerce. Attraverso l’utilizzo degli standard previsti dall’EMV 3DS  2.0, i venditori online saranno in grado di raggiungere  livelli  di  prestazioni  (e  riduzione  dei  rischi)  simili  a  quelle  applicate  nei  negozi  fisici;  tali risultati  potranno  essere  ottenuti  consentendo  ai  prestatori  di  servizi  di  pagamento  di  applicare meccanismi di autenticazione forte del cliente ad ogni acquisto online e fornendo loro dati sufficienti per  applicare  le  eventuali  esenzioni.  I  merchant  dovrebbero  quindi  supportare  le  richieste  diapplicazione di standard EMV 3DS 2.0.

 

EMV 3DS2.0 sarà obbligatorio per i rivenditori europei entro settembre 2019 e globalmente a dicembre 2019.

Attualmente coesistono i protocolli  EMV 3DS2.0, 2.1, 2.2, quest’ultimo è l’unico a consentire tutte le esenzioni dell’applicazione della SCA previste dalle RTS. 

 

13)   QUALI AZIONI SONO CONSIGLIATE AI MERCHANT IN VISTA DELL’ENTRATA IN VIGORE  DELLE NUOVE REGOLE?

1.  Gli  esercizi  commerciali  dovrebbero  avvalersi  di  Payment  Service  Provider  o  3DS  Server  che implementano e gestiscono interfacce di autenticazione che utilizzano protocolli di sicurezza EMV 3DS e 3DS 1.0 e rigettare fornitori che non supportano tali protocolli

2.  Gli esercizi commerciali dovrebbero prepararsi ad acquisire le  transazioni incrementali  e i dati dei titolari di carta di credito (come ad esempio l’indirizzo  di fatturazione e di spedizione, l’e-mail, il numero  di  cellulare  o  ID  dispositivo)  e  inviarli  al  proprio  provider  che  potrebbe  richiedere  la codifica  per  una  nuova  API  (Application  Programming  Interface)  o  simili  forniti  dallo  stesso provider. A  tal  fine,  i  Merchant  devono  garantire  che  i  loro  clienti  siano  adeguatamente  informati.  È pertanto importante che il sito e-commerce descriva i termini e le condizioni applicate dal sito e-commerce sulla modalità di raccolta e di condivisione dei dati del consumatore nel rispetto  della  normativa  vigente  rilasciando,  ad  esempio,  informative  privacy  aggiornate  e adeguate, secondo quanto previsto dal Regolamento generale sulla protezione dei dati (GDPR).

3.  I Merchant  devono attuare una politica di autenticazione, in linea con quanto previsto dal proprio provider  e  dal  provider  del  Cliente,  con  particolare  riguardo  all’adozione  delle  eccezioni  ed  ai rispondenti livelli di frode applicabili.

4.  I  Merchant  dovrebbero chiedere ai loro provider di allinearli ai protocolli previsti dall’EMV 3DS per l’utilizzo delle carte di credito.

5.  I  siti  web  di  e-commerce  dovranno  apportare  modifiche  ai  propri  siti  Web  adeguandoli  ai protocolli EMV 3DS e delle RTS.

6.  I  Merchant  integrano  le  funzionalità  di  EMV  3DS  per  offrire  un'esperienza  ottimale  al consumatore finale, rinnovando la parte di autenticazione dell'app nell'interfaccia utente nativa (UI) al fine di offrire all’utente la stessa interfaccia dell'app del Merchant.

7.  I Merchant  devono applicare la  SCA al primo pagamento ricorrente. Al fine di aumentare i tassi di approvazione,  si  raccomanda  che  per  ogni  pagamento  successivo  venga  inviata  all'emittente  una richiesta di autenticazione EMV 3DS con riferimento allo SCA iniziale per evitare che il titolare della carta sia invitato ad autenticarsi.

8.  In caso di pagamenti ricorrenti per importi variabili o pagamenti in cui l'importo finale non è noto, l'esercente  dovrà  comunicare  chiaramente  e  spiegare  al  consumatore  finale  i  motivi  per  cui l'importo autenticato potrebbe essere diverso dall'importo dell'autorizzazione finale.

9.  Si consiglia ai  Merchant  di inviare sempre richieste di autenticazione, in particolare con emittenti che rifiutano le autorizzazioni senza un'autenticazione preventiva. Il presente documento rappresenta uno strumento informativo messo a disposizione da Netcomm per  supportare gli  operatori  e  i  consumatori  e  per  acquisire  maggiore  consapevolezza  della  normativa,  in  vista  dell’imminente entrata in vigore delle regole tecniche (14.09.2019); in ogni caso non devono essere intese come una consulenza.

N.B. Il presente documento rappresenta uno strumento informativo messo a disposizione da Netcomm per supportare  gli  operatori  e  i  consumatori  e  per  acquisire  maggiore  consapevolezza  della  normativa,  in  vista  dell’imminente  entrata in vigore delle regole tecniche (14.09.2019); in ogni caso non devono essere intese come una consulenza

SCARICA IL PDF

14/06/2019
Linee Guida Netcomm sugli standard tecnici di regolamentazione in tema di autenticazione forte del cliente e di comunicazione sicura