Gateway di Pagamento 3D Secure: Come il 3DS2 Protegge i Merchant dalle Frodi
Il 3D Secure è un protocollo di autenticazione sviluppato dai circuiti di pagamento che aggiunge un livello di verifica dell'identità alle transazioni online con carta. Quando un cliente paga attraverso un gateway abilitato al 3D Secure, la sua banca emittente verifica la transazione prima che venga autorizzata, tramite un controllo in background senza attrito o richiedendo al cliente l'autenticazione tramite la sua app bancaria. Per i merchant, il 3D Secure offre due vantaggi critici: riduce significativamente le perdite per frode sulle transazioni online e trasferisce la responsabilità dei chargeback per contestazioni di frode dal merchant alla banca emittente. Questa guida spiega come funziona il 3D Secure, come la versione 2 differisce dalla versione 1 e come implementare il 3DS2 tramite RoxPay.
Cos'è il 3D Secure e Come Funziona
Il 3D Secure (3DS) è un protocollo di autenticazione per le transazioni card-not-present. I tre domini nel nome si riferiscono al dominio del merchant, al dominio dell'acquirente e al dominio di interoperabilità (la rete del circuito di pagamento e la banca emittente). Insieme, queste tre parti partecipano alla verifica che la persona che avvia la transazione sia il titolare autorizzato della carta.
Flusso di una transazione con 3DS:
Il cliente inserisce i dati della carta al checkout e invia il pagamento. Il gateway del merchant invia la transazione con una richiesta di autenticazione 3DS. Il circuito instrada la richiesta all'Access Control Server della banca emittente. L'emittente esegue una valutazione del rischio sulla transazione. Se la valutazione indica un rischio basso (flusso senza attrito), la transazione viene autenticata senza interazione del cliente. Se il rischio supera la soglia frictionless, viene richiesto al cliente di autenticarsi, tipicamente approvando una notifica push nell'app bancaria, inserendo un codice monouso o fornendo una conferma biometrica. Il risultato dell'autenticazione viene restituito al gateway del merchant.
Il liability shift: Quando una transazione viene autenticata con successo via 3DS e il titolare della carta la contesta successivamente come fraudolenta, la responsabilità del chargeback si sposta dal merchant alla banca emittente. La banca ha approvato la transazione autenticata e non può quindi impugnarla come non autorizzata. Questo è il principale beneficio commerciale del 3DS per i merchant.
Per i merchant che operano un gateway di pagamento high risk, l'implementazione del 3DS2 è particolarmente importante perché le categorie ad alto rischio tendono ad avere tassi di frode e friendly fraud elevati, rendendo la protezione dalla responsabilità commercialmente significativa.
3DS1 vs 3DS2: Cosa è Cambiato e Perché è Importante
La specifica originale del 3D Secure (3DS1) fu introdotta nei primi anni 2000. Pur fornendo un meccanismo di liability shift, presentava gravi problemi di usabilità e conversione che i merchant percepivano come abbandono del carrello nella fase di autenticazione. Il 3DS2 (EMV 3DS) è stato sviluppato per risolvere questi problemi.
Problemi del 3DS1:
Il 3DS1 richiedeva un redirect alla pagina di autenticazione dell'emittente, spesso mal progettata e confusa per i clienti. Il modello a password statica utilizzato da molti emittenti (Verified by Visa, MasterCard SecureCode) era facile da dimenticare e creava attrito a ogni transazione. Sui dispositivi mobili, il flusso basato su redirect e popup era particolarmente problematico. Molti merchant disabilitavano il 3DS1 proprio perché la fase di autenticazione causava più abbandoni delle transazioni rispetto alle perdite per frode che cercavano di prevenire.
Miglioramenti del 3DS2:
Il 3DS2 introduce un modello ricco di condivisione dei dati. Il gateway del merchant invia fino a 150 punti dati con la richiesta di autenticazione, inclusi fingerprint del dispositivo, caratteristiche del browser, storico degli ordini e segnali comportamentali. L'emittente usa questi dati per prendere una decisione sul rischio. Per le transazioni a basso rischio, l'emittente può concedere un'autenticazione frictionless, il che significa che al cliente non viene mai chiesto di fare nulla.
Metodi di autenticazione nel 3DS2: Quando l'autenticazione è necessaria, il 3DS2 supporta metodi moderni: notifiche push a un'app bancaria con conferma biometrica, codici monouso via SMS e autenticazione in-app senza redirect.
PSD2 e Strong Customer Authentication: La Direttiva UE sui Servizi di Pagamento Rivista (PSD2) impone la Strong Customer Authentication (SCA) per la maggior parte delle transazioni card-not-present europee. Il 3DS2 è il meccanismo principale per la conformità SCA. I merchant che non supportano il 3DS2 si trovano di fronte a soft decline da parte degli emittenti che richiedono la SCA ma non possono completarla perché il gateway non passa i dati di autenticazione 3DS2.
Come il 3D Secure Riduce la Responsabilità per Chargeback dei Merchant
Il liability shift fornito dall'autenticazione 3D Secure è il meccanismo attraverso cui i merchant riducono le perdite da chargeback sulle contestazioni di frode.
Come funziona il liability shift in pratica: Un cliente completa un acquisto e si autentica via 3DS2 (ad esempio approvando una notifica push nell'app bancaria). La transazione viene elaborata e i beni vengono consegnati. Un mese dopo, il cliente contatta la sua banca emittente affermando che la transazione era non autorizzata. La banca avvia un chargeback con un codice motivo di frode.
Quando il gateway del merchant presenta la risposta, include il record di autenticazione 3DS2: l'Authentication Transaction ID (ATID), lo stato dell'autenticazione (autenticata) e il valore ECI che indica l'autenticazione completa. Questo record dimostra che la stessa banca emittente del titolare della carta ha autenticato la transazione. In pratica, ciò porta all'annullamento del chargeback nella grande maggioranza dei casi.
Transazioni che non beneficiano del liability shift: Non tutti gli esiti del 3DS2 forniscono il liability shift. Una transazione che passa attraverso il processo di autenticazione ma risulta in uno stato di autenticazione "attempted" offre una protezione limitata rispetto a un risultato di autenticazione completa. Il liability shift si applica con maggiore forza alle transazioni con un risultato di autenticazione riuscito e un valore ECI di 05 (Visa) o 02 (Mastercard).
Esenzioni e responsabilità: Alcune esenzioni del 3DS2 (transazioni di basso valore sotto i 30 euro, elenchi di beneficiari fidati, transazioni ricorrenti) consentono alle transazioni di procedere senza SCA. La posizione di responsabilità per le transazioni basate su esenzione varia in base al tipo di esenzione.
Quando il 3D Secure è Obbligatorio vs Opzionale
Ai sensi del mandato di Strong Customer Authentication della PSD2, il 3D Secure è obbligatorio per la maggior parte delle transazioni card-not-present europee, ma una serie di esenzioni e scenari fuori ambito definiscono quando la SCA non si applica.
Quando il 3DS è obbligatorio (si applica la SCA):
Tutti i pagamenti standard card-not-present avviati dal cliente (transazioni avviate dal cliente, o CIT) per importi superiori alla soglia di basso valore sono soggetti a SCA. La posizione predefinita è che la SCA è obbligatoria; le esenzioni sono le eccezioni.
Esenzioni che consentono transazioni senza 3DS:
Transazioni di basso valore: le transazioni sotto i 30 euro possono beneficiare di un'esenzione per basso valore. Tuttavia, gli emittenti tengono traccia degli importi cumulativi; una volta che cinque esenzioni consecutive di basso valore sono state applicate o l'importo cumulativo supera i 100 euro, la SCA è richiesta per la transazione successiva.
Transaction Risk Analysis (TRA): Gli emittenti e gli acquirenti possono applicare esenzioni TRA alle transazioni che valutano come a basso rischio in base alle percentuali di frode.
Transazioni ricorrenti: Il pagamento iniziale in una serie ricorrente richiede la SCA. Le successive transazioni avviate dal merchant (MIT) nello stesso mandato ricorrente possono procedere senza SCA, a condizione che la transazione iniziale sia stata autenticata.
Fuori ambito per la SCA: Le transazioni avviate dal merchant senza interazione del cliente (MIT), le transazioni in cui una parte è al di fuori del SEE (transazioni con una sola gamba) e le transazioni con carta aziendale sono fuori ambito per la SCA PSD2 in circostanze specifiche.
Implementare il 3DS2 con RoxPay
Il gateway di pagamento RoxPay supporta nativamente il 3DS2. L'implementazione è gestita nell'ambito dell'architettura di integrazione esistente, senza necessità di un provider 3DS separato o di un contratto aggiuntivo.
Approccio Drop-in UI: Se utilizzi la drop-in UI di RoxPay (inserimento della carta basato su JavaScript), il 3DS2 è gestito automaticamente. Quando l'emittente richiede l'autenticazione, la libreria gestisce il redirect all'ambiente di autenticazione dell'emittente, gestisce la risposta e continua il flusso di pagamento senza codice aggiuntivo lato merchant.
Approccio integrazione API: Per i merchant che utilizzano un'integrazione API diretta, i dati di autenticazione 3DS2 vengono passati tramite i parametri del payment intent. L'API restituisce il risultato dell'autenticazione e l'azione richiesta per il frontend del merchant. La documentazione completa è disponibile su app.roxpay.eu/api/v4/docs.
Ottimizzazione del tasso frictionless: RoxPay passa il massimo dei dati disponibili nella richiesta di autenticazione 3DS2 per supportare alti tassi frictionless. L'autenticazione frictionless significa che al cliente non viene mai chiesto di confermare nulla; l'emittente approva la transazione in background. Più alto è il tasso frictionless, migliore è l'impatto sulla conversione del 3DS2.
Test in sandbox: Il sandbox RoxPay fornisce scenari di test per ogni esito del 3DS2: autenticazione frictionless, autenticazione con sfida, fallimento dell'autenticazione e carta non iscritta. Testa tutti gli scenari prima di andare live.
Per avviare la tua domanda RoxPay e iniziare a testare il 3DS2 nel sandbox, la registrazione richiede meno di dieci minuti e le credenziali sandbox vengono rilasciate immediatamente. RoxPay è certificato PCI DSS Level 1 (QS83A47X629) e ISO 27001.
Domande Frequenti
Il 3D Secure riduce i tassi di conversione?
Il 3DS2 con una corretta implementazione ha un impatto minimo sulla conversione rispetto al 3DS1. Il flusso di autenticazione frictionless, in cui l'emittente autentica la transazione in background senza l'intervento del cliente, rappresenta l'80-90% delle transazioni autenticate per i merchant ben configurati. Le restanti transazioni che richiedono una sfida (tipicamente notifica push dell'app bancaria o OTP) vedono un certo abbandono, ma significativamente inferiore al quello sperimentato con il modello di redirect e password statica del 3DS1.
Cos'è il valore ECI nell'autenticazione 3DS?
Il valore ECI (Electronic Commerce Indicator) in una risposta di autenticazione 3DS indica il livello di autenticazione raggiunto. ECI 05 (Visa) o 02 (Mastercard) significa che l'autenticazione completa è stata eseguita e fornisce il pieno liability shift. ECI 06 o 01 significa che la carta ha tentato l'autenticazione ma l'emittente non la supportava, fornendo un liability shift limitato. ECI 07 significa che l'autenticazione non è stata eseguita; non si applica alcun liability shift.
Cosa succede se un cliente fallisce l'autenticazione 3D Secure?
Se il cliente non riesce a completare la sfida 3DS2 (annulla la notifica push dell'app bancaria, inserisce l'OTP sbagliato o lascia scadere la sessione), l'autenticazione fallisce e il pagamento non viene elaborato. Il gateway dovrebbe visualizzare un messaggio di errore chiaro e consentire al cliente di riprovare o utilizzare un metodo di pagamento diverso. L'autenticazione fallita non è un chargeback; la transazione semplicemente non viene autorizzata.
Potrebbe interessarti
Gateway Pagamento Alto Rischio
Elaborazione pagamenti sicura per settori ad alto rischio con routing multi-acquirer e protezione chargeback.
Soluzioni Pagamento Piccole Imprese
Prezzi IC++ trasparenti, POS Smart gratuito e attivazione in 24 ore per piccole imprese.
Integrazioni Pagamento E-commerce
Plugin one-click per Shopify, WooCommerce, Magento e PrestaShop con accesso API completo.
Ottimizza i tuoi pagamenti oggi
RoxPay supporta nativamente il 3DS2 con ottimizzazione del tasso frictionless, liability shift per le transazioni autenticate e test completo in sandbox. Certificato PCI DSS Level 1, prezzi IC++ da 0,45%.
✓ Nessun costo fisso mensile · ✓ Attivazione in 24 ore · ✓ Supporto tecnico dedicato
