Direttiva sui servizi di pagamento (PSD2)
e autenticazione forte del cliente (SCA)
Tutto ciò che occorre sapere
Il 14 settembre 2019 entrerà in vigore una nuova Direttiva europea (Payment Services Directive II, PSD2), che introduce l’autenticazione forte del cliente (strong customer authentication, SCA) allo scopo di rendere i pagamenti online più sicuri all’interno dello Spazio economico europeo. Ciò potrebbe avere delle ripercussioni sui pagamenti online degli ospiti, nel caso in cui i metodi di pagamento non vengano resi conformi tempestivamente.
Questo nuovo regolamento mira a rendere i pagamenti più sicuri e trasparenti, e aiuta a proteggere gli albergatori da eventuali perdite dovute ai reclami derivanti da truffe.
SiteMinder è pronto a implementare la SCA quando il regolamento entrerà in vigore, e continueremo a migliorare la piattaforma di pagamento per renderla ancora più facile da usare.
Normativa complessa? Vediamola da vicino per capire che impatto avrà su strutture alberghiere e ospiti.
Qual è l’obiettivo della Direttiva PSD2?
La normativa mira a incrementare la sicurezza dei pagamenti online, allo scopo di tutelare gli ospiti e offrire, al contempo, le stesse opportunità a prestatori di servizi di pagamento (payment service provider, PSP) nuovi o già esistenti. Tali prestatori, quali ad esempio banche, emittenti di carte di credito e servizi tecnologici, dovranno quindi modificare in modo sostanziale i processi attualmente in uso. Le modifiche riguarderanno, più in generale, chiunque effettui o riceva pagamenti online, ad esempio le agenzie di viaggio online (online travel agent, OTA), i motori di prenotazione e i sistemi di gestione della proprietà.
Cosa si intende con SCA?
La sigla SCA sta per strong customer authentication, ovvero “autenticazione forte del cliente”; all’interno della Direttiva PSD2, il termine indica un processo più rigoroso di convalida dei pagamenti online. Questo tipo di autenticazione verrà richiesto nel caso in cui sia l’emittente della carta di credito che il conto corrente su cui vengono versati i pagamenti si trovano sul territorio dello Spazio economico europeo (SEE).
Per essere conformi alla Direttiva PSD2, agli ospiti verrà chiesto di approvare i pagamenti online tramite due fattori di autenticazione, la cosiddetta autenticazione a due fattori (two-factor authentication, 2FA). Tra questi troviamo:
- informazioni note esclusivamente all’utente, quali PIN, password o altro codice;
- beni personali dell’utente, ad esempio la carta di credito o il cellulare;
- informazioni biometriche ottenute tramite strumenti quali riconoscimento del volto, impronta digitale o scansione dell’iride.
Informazioni esclusive
(password o PIN)
Oggetti personali
(cellulare o carta di credito)
Informazioni biometriche
(impronta digitale o riconoscimento del volto)
3D Secure è un altro termine che ricorre spesso; si tratta di un metodo utilizzato dai prestatori di servizi di pagamento per garantire l’autenticazione forte del cliente. Nel complesso indica un insieme di regole che offre una maggiore protezione a venditori e clienti durante le transazioni online. Per finalizzare una transazione che utilizza 3D Secure, al momento del pagamento si verrà reindirizzati alla pagina della banca di riferimento per procedere con l’autorizzazione. In base alle nuove disposizioni previste dalla Direttiva PSD2, i prestatori di servizi di pagamento dovranno implementare il sistema 3DS2.
Con l’introduzione dell’autenticazione forte del cliente, cosa cambierà per albergatori e ospiti?
La Direttiva sui servizi di pagamento (PSD2) avrà un impatto sul settore di viaggi e turismo, in particolare per quanto riguarda le “prenotazioni hotel collect“. Poiché sarà necessaria l’autenticazione a due fattori, molte transazioni che riguardano gli hotel saranno affette dai cambiamenti della Direttiva, sia nella fase iniziale (che va dalla data di prenotazione a quella del soggiorno) che in quella successiva alla data di check-out.
Prima dell’entrata in vigore della Direttiva PSD2, all’agenzia di viaggio online (OTA) o al motore di prenotazione online bastava acquisire i dati della carta di credito dell’utente per autorizzare il pagamento, senza necessità di ulteriori convalide dei dati della carta o della persona che effettua il pagamento.
Con la Direttiva PSD2, invece, lo scenario cambierà.
A partire dal 14 settembre 2019, infatti, OTA e motori di prenotazione dovranno effettuare il passaggio necessario per l’autenticazione SCA durante l’acquisizione dei dati della carta di credito, indipendentemente dal fatto che il pagamento venga corrisposto in fase di prenotazione o in un secondo momento (anticipo posticipato, penali per la cancellazione, no show). Per poter completare la transazione tramite carta (transazione avviata dal venditore), i dati della carta di credito dell’utente e la conferma di avvenuta autenticazione SCA devono passare attraverso una serie di intermediari quali OTA, motori di prenotazione e gateway di pagamento. Di conseguenza i pagamenti online potrebbero non andare a buon fine, nel caso in cui i dati della carta siano stati acquisiti senza eseguire l’autenticazione SCA e se la conferma di tale passaggio non è disponibile al momento dell’addebito sulla carta.
Cosa possono fare gli hotel per prepararsi all’arrivo dell’autenticazione SCA?
Sebbene i prestatori di servizi di pagamento quali banche e gateway di pagamento debbano facilitare il processo di autenticazione degli utenti, quest’ultimo coinvolgerà in modo significativo anche le transazioni degli hotel. Consigliamo quindi di valutare i processi di pagamento in uso, per avere un’idea più precisa di cosa potrebbe cambiare con l’arrivo dell’autenticazione SCA. Ecco alcuni aspetti da tenere in considerazione:
- Verificare che il gateway di pagamento sia in grado di autenticare in modo sicuro i dati della carta dell’utente durante il pagamento online.
- Se è una OTA a riscuotere il pagamento, contattala per confermare che sia pronta a implementare la SCA, in quanto responsabile dell’autenticazione dei pagamenti.
- Le transazioni avviate dal venditore che utilizzano dati di carte già memorizzate tecnicamente non rientrano nei parametri dell’autenticazione SCA. Tuttavia, se tale autenticazione non è stata eseguita in fase di acquisizione dei dati della carta, e se la conferma di avvenuta autenticazione SCA non è stata trasmessa al prestatore del servizio di pagamento, la transazione potrebbe non andare a buon fine in futuro, in assenza della carta. Per evitare che ciò avvenga e garantire che il denaro venga trasferito correttamente, l’ideale è che gli ospiti effettuino il pagamento al momento della prenotazione. Ciò comprende anche l’addebito di un eventuale anticipo, nonché penali di cancellazione e no show.
- Regolare i pagamenti in presenza dell’ospite, tramite le transazioni con carta che utilizzano chip e PIN.
- C’è il rischio che questi pagamenti non possano essere effettuati utilizzando una carta archiviata sul sistema. Per questo motivo, al momento del check-in è opportuno effettuare un’autorizzazione preventiva a copertura dell’intera spesa di soggiorno e di altre spese adoperando, ad esempio, la modalità con chip and PIN). In questo modo è possibile addebitare i costi all’ospite, anche in caso di allontanamento di quest’ultimo o di spese extra.
Non sai cosa fare per prepararti all’arrivo della nuova normativa?
Guarda questo video e fai il punto della situazione sulle conseguenze della Direttiva PSD2.
Il contributo di SiteMinder
I pagamenti elaborati tramite il motore di prenotazione SiteMinder (TheBookingButton) soddisfano i requisiti dettati dall’autenticazione forte del cliente nei mercati in cui la nostra soluzione per i pagamenti è attiva. `L’espansione di tale soluzione in altri territori dello SEE è prevista entro il 2020.
Il Channel Manager di SiteMinder è pronto a implementare la SCA quando il regolamento entrerà in vigore, e continueremo a migliorare la piattaforma di pagamento per renderla ancora più facile da usare.
ContattiDomande frequenti
La Direttiva sui servizi di pagamento (PSD2) è una normativa che è stata approvata all’interno dello Spazio economico europeo (SEE) per incrementare la sicurezza dei pagamenti online e tutelare sia venditori che utenti. La Direttiva ha l’obiettivo di limitare il rischio di truffa all’interno dell’area in questione, soprattutto nei casi in cui il venditore non si trovi in presenza del titolare della carta (come avviene quando un ospite effettua un pagamento online).
Un requisito importante della Direttiva PDS2 è l’autenticazione forte del cliente (SCA), che entrerà in vigore ufficialmente il 14 settembre 2019.
L’autenticazione SCA richiede ai prestatori di servizi di pagamento di verificare che l’utente che effettua un pagamento online sia legittimato a farlo. Ad esempio, i venditori online dovranno confermare che l’ospite che effettua la prenotazione online sia il titolare della carta di credito. Il passaggio di autenticazione generalmente è integrato nel processo di pagamento online e avviene tramite due o più elementi tra quelli a seguire:
- informazioni in possesso dell’utente (ad es. una password);
- beni personali dell’utente (ad es. il cellulare) e;
- caratteristiche personali dell’utente (ad es. l’impronta digitale o la scansione dell’iride).
L’autenticazione SCA viene effettuata tramite un processo che si chiama 3D Secure (3DS). Questo viene generalmente avviato da parte della banca di appartenenza del titolare della carta per verificare che quest’ultimo abbia richiesto la transazione (generalmente avviene tramite l’invio di un codice al cellulare dell’utente). L’intero processo è stato perfezionato con l’introduzione della modalità 3DS2, che diminuisce l’impatto del processo sull’esperienza online del cliente.
Comprendere bene quali sono i passaggi che riguardano i pagamenti è fondamentale per garantire la conformità alle nuove disposizioni. In linea generale, è richiesta la conformità alla Direttiva PSD2 durante i seguenti passaggi:
- Pagamenti al momento della prenotazione – il pagamento totale o parziale alla prenotazione può richiedere l’autenticazione SCA dell’utente mentre la sessione è in corso.
- Pagamenti ritardati – pagamenti precedenti al check-in, penali di cancellazione e no show.
- Regolamento dei pagamenti in fase di check-out – saldo di pagamenti in sospeso che riguardano cibo o altre spese.
- Pagamenti successivi al soggiorno – allontanamento ospite, costi minibar posticipati ed eventuali danni.
Una delle sfide che molti hotel si trovano ad affrontare riguarda la memorizzazione dei dati di pagamento inseriti da parte dell’ospite durante la fase di prenotazione per consentire alla struttura di processare il pagamento in un secondo momento, ad esempio quando l’utente abbandona la sessione o non è online. Ciò rende complicato l’addebito di anticipo, saldo, spese extra e penali di cancellazione e no show, in quanto difficilmente l’ospite sarà disponibile per l’autenticazione SCA. I pagamenti tramite carte memorizzate rischiano di essere declinati dalla banca di riferimento, nel caso in cui non venga effettuata l’autenticazione SCA. Per evitare inconvenienti, è opportuno acquisire i dati della carta dell’ospite in fase di check-in, tramite un metodo di pagamento autorizzato e chiedere un’autorizzazione preventiva all’ospite per poter processare il pagamento in un secondo momento.
- soluzioni tecnologiche quali motore di prenotazione online o sistema di gestione della proprietà che abbiano un gateway di pagamento online autorizzato;
- transazioni tramite POS con l’utilizzo di chip e PIN, in quanto questi sono in possesso dell’utente;
- pagamenti tramite Apple Pay, in quanto avvengono tramite il cellulare dell’utente e prevedono l’utilizzo dell’impronta digitale o del riconoscimento del volto.
Le normative che regolano i pagamenti degli hotel sono sempre più rigide, allo scopo di ridurre le truffe relative alle carte di credito. A seguito dell’implementazione dell’autenticazione SCA, si corre il rischio che le transazioni che non risultano conformi vengano declinate, causando così una diminuzione del tasso di conversione, occupazione oltre che dei profitti. Un altro problema riguarda la gestione di cancellazioni e no show, poiché le penali vengono generalmente addebitate sulle carte memorizzate e ciò non sarà più consentito.
L’intero settore si sta attivando per adeguarsi ai requisiti dell’autenticazione SCA e SiteMinder sta lavorando al fianco dei suoi partner commerciali quali agenzie di viaggio online, sistemi di gestione della proprietà e gateway di pagamento per garantire ai propri prodotti la conformità con le nuove disposizioni.
Lo scopo ultimo della Direttiva PSD2 e dell’autenticazione SCA è quello di tutelare utenti, ospiti e aziende. Nonostante all’inizio il tasso di conversione potrebbe diminuire, i vantaggi nel lungo termine saranno di gran lunga superiori a qualche piccolo intoppo iniziale.
Per evitare inconvenienti nell’attesa che la conformità alle disposizioni sia totale, è opportuno tenere in considerazione processi di pagamento alternativi che non prevedono l’autenticazione SCA o metodi che rendano più semplice l’implementazione della stessa. Ecco alcuni suggerimenti:
- optare per i pagamenti di persona (in presenza quindi di carta di credito e PIN);
- optare per i pagamenti anticipati tramite il motore di prenotazione (per evitare il rischio di non poter utilizzare le carte memorizzate) o;
- distribuire l’inventario su OTA che forniscono una carta virtuale (poiché queste non rientrano tra i parametri del regolamento).
Le eccezioni principali riguardano:
- Transazioni di valore basso – le transazioni di importo inferiore a 30 € rientrano tra le eccezioni previste e non richiedono l’autorizzazione SCA. Tuttavia, non è possibile effettuare più di cinque transazioni consecutive o che superino un totale di 100 €. Se vengono raggiunti tali limiti sarà necessario effettuare l’autenticazione SCA.
- Lista bianca – dopo avere effettuato il primo pagamento tramite autorizzazione SCA, il cliente può inserire un determinato venditore alla lista bianca in modo tale che per le transazioni successive non sia necessaria tale autorizzazione. Per attivare la funzionalità della lista bianca i venditori devono implementare il sistema 2DS2 (vedere glossario).
- Pagamenti aziendali e carte di credito virtuali – le carte di credito aziendali che non risultano a nome del titolare della carta e le carte di credito virtuali non richiedono l’autorizzazione SCA.
- Transazioni avviate dal venditore – i pagamenti effettuati tramite le carte memorizzate, quando il cliente non è presente durante il processo di pagamento (a sessione terminata), rientrano tra le transazioni avviate dal venditore. Tali pagamenti tecnicamente non richiedono l’autorizzazione SCA, di fatto definire un pagamento come “transazione avviata dal venditore” equivale a una richiesta di eccezione. Come avviene per qualsiasi altra eccezione, sarà responsabilità della banca decidere se per una determinata transazione è necessaria l’autenticazione o meno.
Transazioni telefoniche tramite dispositivo mobile (mail order/telephone order, MOTO) – al momento questo tipo di transazione è escluso, data la difficoltà nell’eseguire un’autenticazione a due fattori tramite telefono, fax o e-mail.
Le OTA potranno effettuare l’autenticazione SCA al momento della prenotazione, tramite l’acquisizione dei dati della carta.
Nel periodo che precede l’entrata in vigore della Direttiva, prevista per il 14 settembre 2019, le OTA forniranno a clienti e partner consigli utili e supporto relativo all’implementazione della Direttiva PSD2. Molte di queste probabilmente opteranno per modalità di pagamento “tramite OTA”, per quanto riguarda i clienti all’interno dello SEE e forniranno alle strutture ricettive una carta di credito virtuale piuttosto che i dati della carta di credito dell’ospite. Le carte di credito virtuali non richiedono l’autorizzazione SCA per cui questa soluzione, seppure per alcuni non sia l’ideale, potrebbe avere dei vantaggi.
È opportuno contattare le agenzie di viaggio online partner e assicurarsi che stiano collaborando con i prestatori di servizi di pagamento per garantire la conformità dei processi entro il 14 settembre.
L’autorità garante della condotta finanziaria del Regno Unito (FCA) ha previsto un “periodo di implementazione” di 18 mesi per l’implementazione dell’autenticazione SCA, a decorrere dal 14 settembre 2019. Ciò significa che in quell’arco di tempo non verranno presi provvedimenti nei confronti di banche e prestatori di servizi di pagamento nel Regno Unito che non abbiano i requisiti previsti dall’autenticazione SCA. Tale autenticazione verrà resa obbligatoria al termine del periodo di 18 mesi. Inoltre, poiché la decisione di accettare o declinare un pagamento spetta alla banca di appartenenza del titolare della carta, se questa si trova al di fuori del Regno Unito (come nel caso di un viaggiatore proveniente da un altro Paese europeo), è possibile che il pagamento venga declinato in quanto non conforme ai requisiti SCA.
Se la struttura si trova in uno dei Paesi appartenenti allo Spazio economico europeo (SEE) molto probabilmente i nuovi regolamenti la riguarderanno. L’autenticazione SCA verrà richiesta solo nel caso in cui sia l’emittente della carta dell’utente che la banca di riferimento si trovano in uno dei Paesi dello Spazio economico europeo.
Con molta probabilità processi simili a quelli previsti da PSD2 e SCA verranno implementati in molti altri Paesi nel corso dei prossimi anni.
You can find more information about PSD2 and SCA at
- Il parere dell’Autorità bancaria europea su SCA e PSD2
- La guida di Stripe all’autenticazione forte del cliente
- Il comunicato stampa della Commissione Europea
Consigliamo di contattare il prestatore di servizi di pagamento per verificare che la conformità sia effettiva a partire dal 14 settembre.
Definizioni
PSD2 | la Direttiva sui servizi di pagamento 2 (Payment Services Directive II) è stata introdotta dall’Unione Europea allo scopo di unificare e creare un mercato unico per tutti i pagamenti europei. |
SCA | l’autenticazione forte del cliente (strong customer authentication) è un requisito previsto dalla Direttiva PSD2 che rende i pagamenti online più sicuri, evitando il rischio di truffe. |
3DS | (indicato anche come 3D Secure) è il processo di autenticazione utilizzato dalle banche per verificare il titolare di una carta. Tale passaggio generalmente avviene tramite l’invio di un codice sul dispositivo mobile dell’utente, da inserire sulla pagina per approvare la transazione. |
3DS2 | è la versione aggiornata del processo 3DS che offre un’esperienza più semplice per l’ospite. Si tratta dello standard a cui devono fare riferimento i nuovi prestatori di servizi di pagamento per essere conformi alla Direttiva PSD2. |
UE | l’Unione Europea, costituita da 28 stati membri. |
SEE | lo Spazio economico europeo che include i Paesi dell’UE oltre a Norvegia, Islanda e Liechtenstein. |
SEPA | normativa dell’area unica dei pagamenti in euro (single euro payments area) stabilita dall’autorità bancaria europea riguardante standard e regolamenti tecnici sui servizi di pagamento e le relative infrastrutture in Europa. |
MIT | transazioni avviate dal commerciante (merchant initiated transaction) per addebitare il pagamento a nome del cliente, in sua assenza. |
VCC | Virtual Credit Cards – carta di credito virtuale (virtual credit card) che riporta un numero utilizzato per gli acquisti online, prevalentemente per transazioni uniche. |
MOTO | ordini e prenotazioni tramite e-mail o telefono (mail order/telephone order). |
OLO | le transazioni cosiddette one leg-out presentano una delle seguenti caratteristiche:
|