Direttiva sui servizi di pagamento (PSD2)
e autenticazione forte del cliente (SCA)

La Direttiva sui servizi di pagamento (PSD2) è una normativa che è stata approvata all’interno dello Spazio economico europeo (SEE) per incrementare la sicurezza dei pagamenti online e tutelare sia venditori che utenti. La Direttiva ha l’obiettivo di limitare il rischio di truffa all’interno dell’area in questione, soprattutto nei casi in cui il venditore non si trovi in presenza del titolare della carta (come avviene quando un ospite effettua un pagamento online).

Un requisito importante della Direttiva PDS2 è l’autenticazione forte del cliente (SCA), che entrerà in vigore ufficialmente il 14 settembre 2019.

L’autenticazione SCA richiede ai prestatori di servizi di pagamento di verificare che l’utente che effettua un pagamento online sia legittimato a farlo. Ad esempio, i venditori online dovranno confermare che l’ospite che effettua la prenotazione online sia il titolare della carta di credito. Il passaggio di autenticazione generalmente è integrato nel processo di pagamento online e avviene tramite due o più elementi tra quelli a seguire:

• informazioni in possesso dell’utente (ad es. una password);
• beni personali dell’utente (ad es. il cellulare) e;
• caratteristiche personali dell’utente (ad es. l’impronta digitale o la scansione dell’iride).

L’autenticazione SCA viene effettuata tramite un processo che si chiama 3D Secure (3DS). Questo viene generalmente avviato da parte della banca di appartenenza del titolare della carta per verificare che quest’ultimo abbia richiesto la transazione (generalmente avviene tramite l’invio di un codice al cellulare dell’utente). L’intero processo è stato perfezionato con l’introduzione della modalità 3DS2, che diminuisce l’impatto del processo sull’esperienza online del cliente.

Comprendere bene quali sono i passaggi che riguardano i pagamenti è fondamentale per garantire la conformità alle nuove disposizioni. In linea generale, è richiesta la conformità alla Direttiva PSD2 durante i seguenti passaggi:

• Pagamenti al momento della prenotazione – il pagamento totale o parziale alla prenotazione può richiedere l’autenticazione SCA dell’utente mentre la sessione è in corso.
• Pagamenti ritardati – pagamenti precedenti al check-in, penali di cancellazione e no show.
• Regolamento dei pagamenti in fase di check-out – saldo di pagamenti in sospeso che riguardano cibo o altre spese.
• Pagamenti successivi al soggiorno – allontanamento ospite, costi minibar posticipati ed eventuali danni.

Una delle sfide che molti hotel si trovano ad affrontare riguarda la memorizzazione dei dati di pagamento inseriti da parte dell’ospite durante la fase di prenotazione per consentire alla struttura di processare il pagamento in un secondo momento, ad esempio quando l’utente abbandona la sessione o non è online. Ciò rende complicato l’addebito di anticipo, saldo, spese extra e penali di cancellazione e no show, in quanto difficilmente l’ospite sarà disponibile per l’autenticazione SCA. I pagamenti tramite carte memorizzate rischiano di essere declinati dalla banca di riferimento, nel caso in cui non venga effettuata l’autenticazione SCA. Per evitare inconvenienti, è opportuno acquisire i dati della carta dell’ospite in fase di check-in, tramite un metodo di pagamento autorizzato e chiedere un’autorizzazione preventiva all’ospite per poter processare il pagamento in un secondo momento.

• soluzioni tecnologiche quali motore di prenotazione online o sistema di gestione della proprietà che abbiano un gateway di pagamento online autorizzato;
• transazioni tramite POS con l’utilizzo di chip e PIN, in quanto questi sono in possesso dell’utente;
• pagamenti tramite Apple Pay, in quanto avvengono tramite il cellulare dell’utente e prevedono l’utilizzo dell’impronta digitale o del riconoscimento del volto.

Le normative che regolano i pagamenti degli hotel sono sempre più rigide, allo scopo di ridurre le truffe relative alle carte di credito. A seguito dell’implementazione dell’autenticazione SCA, si corre il rischio che le transazioni che non risultano conformi vengano declinate, causando così una diminuzione del tasso di conversione, occupazione oltre che dei profitti. Un altro problema riguarda la gestione di cancellazioni e no show, poiché le penali vengono generalmente addebitate sulle carte memorizzate e ciò non sarà più consentito.

L’intero settore si sta attivando per adeguarsi ai requisiti dell’autenticazione SCA e SiteMinder sta lavorando al fianco dei suoi partner commerciali quali agenzie di viaggio online, sistemi di gestione della proprietà e gateway di pagamento per garantire ai propri prodotti la conformità con le nuove disposizioni.

Lo scopo ultimo della Direttiva PSD2 e dell’autenticazione SCA è quello di tutelare utenti, ospiti e aziende. Nonostante all’inizio il tasso di conversione potrebbe diminuire, i vantaggi nel lungo termine saranno di gran lunga superiori a qualche piccolo intoppo iniziale.

Per evitare inconvenienti nell’attesa che la conformità alle disposizioni sia totale, è opportuno tenere in considerazione processi di pagamento alternativi che non prevedono l’autenticazione SCA o metodi che rendano più semplice l’implementazione della stessa. Ecco alcuni suggerimenti:

• optare per i pagamenti di persona (in presenza quindi di carta di credito e PIN);
• optare per i pagamenti anticipati tramite il motore di prenotazione (per evitare il rischio di non poter utilizzare le carte memorizzate) o;
• distribuire l’inventario su OTA che forniscono una carta virtuale (poiché queste non rientrano tra i parametri del regolamento).

Le eccezioni principali riguardano:

• Transazioni di valore basso – le transazioni di importo inferiore a 30 € rientrano tra le eccezioni previste e non richiedono l’autorizzazione SCA. Tuttavia, non è possibile effettuare più di cinque transazioni consecutive o che superino un totale di 100 €. Se vengono raggiunti tali limiti sarà necessario effettuare l’autenticazione SCA.
• Lista bianca – dopo avere effettuato il primo pagamento tramite autorizzazione SCA, il cliente può inserire un determinato venditore alla lista bianca in modo tale che per le transazioni successive non sia necessaria tale autorizzazione. Per attivare la funzionalità della lista bianca i venditori devono implementare il sistema 2DS2 (vedere glossario).
• Pagamenti aziendali e carte di credito virtuali – le carte di credito aziendali che non risultano a nome del titolare della carta e le carte di credito virtuali non richiedono l’autorizzazione SCA.
• Transazioni avviate dal venditore – i pagamenti effettuati tramite le carte memorizzate, quando il cliente non è presente durante il processo di pagamento (a sessione terminata), rientrano tra le transazioni avviate dal venditore. Tali pagamenti tecnicamente non richiedono l’autorizzazione SCA, di fatto definire un pagamento come “transazione avviata dal venditore” equivale a una richiesta di eccezione. Come avviene per qualsiasi altra eccezione, sarà responsabilità della banca decidere se per una determinata transazione è necessaria l’autenticazione o meno.

Transazioni telefoniche tramite dispositivo mobile (mail order/telephone order, MOTO) – al momento questo tipo di transazione è escluso, data la difficoltà nell’eseguire un’autenticazione a due fattori tramite telefono, fax o e-mail.

Le OTA potranno effettuare l’autenticazione SCA al momento della prenotazione, tramite l’acquisizione dei dati della carta.

Nel periodo che precede l’entrata in vigore della Direttiva, prevista per il 14 settembre 2019, le OTA forniranno a clienti e partner consigli utili e supporto relativo all’implementazione della Direttiva PSD2. Molte di queste probabilmente opteranno per modalità di pagamento “tramite OTA”, per quanto riguarda i clienti all’interno dello SEE e forniranno alle strutture ricettive una carta di credito virtuale piuttosto che i dati della carta di credito dell’ospite. Le carte di credito virtuali non richiedono l’autorizzazione SCA per cui questa soluzione, seppure per alcuni non sia l’ideale, potrebbe avere dei vantaggi.

È opportuno contattare le agenzie di viaggio online partner e assicurarsi che stiano collaborando con i prestatori di servizi di pagamento per garantire la conformità dei processi entro il 14 settembre.

L’autorità garante della condotta finanziaria del Regno Unito (FCA) ha previsto un “periodo di implementazione” di 18 mesi per l’implementazione dell’autenticazione SCA, a decorrere dal 14 settembre 2019. Ciò significa che in quell’arco di tempo non verranno presi provvedimenti nei confronti di banche e prestatori di servizi di pagamento nel Regno Unito che non abbiano i requisiti previsti dall’autenticazione SCA. Tale autenticazione verrà resa obbligatoria al termine del periodo di 18 mesi. Inoltre, poiché la decisione di accettare o declinare un pagamento spetta alla banca di appartenenza del titolare della carta, se questa si trova al di fuori del Regno Unito (come nel caso di un viaggiatore proveniente da un altro Paese europeo), è possibile che il pagamento venga declinato in quanto non conforme ai requisiti SCA.

Se la struttura si trova in uno dei Paesi appartenenti allo Spazio economico europeo (SEE) molto probabilmente i nuovi regolamenti la riguarderanno. L’autenticazione SCA verrà richiesta solo nel caso in cui sia l’emittente della carta dell’utente che la banca di riferimento si trovano in uno dei Paesi dello Spazio economico europeo.

Con molta probabilità processi simili a quelli previsti da PSD2 e SCA verranno implementati in molti altri Paesi nel corso dei prossimi anni.

You can find more information about PSD2 and SCA at

• ● Il parere dell’Autorità bancaria europea su SCA e PSD2
• La guida di Stripe all’autenticazione forte del cliente
• Il comunicato stampa della Commissione Europea

Consigliamo di contattare il prestatore di servizi di pagamento per verificare che la conformità sia effettiva a partire dal 14 settembre.