• Cos’è la PSD2?
    La seconda direttiva UE sui servizi di pagamento (2015/2366 Second Payment Services Directive, PSD2) è entrata in vigore nel gennaio 2018, allo scopo di garantire la protezione dei consumatori su tutti i tipi di pagamento, promuovendo una visione sui pagamenti ancora più aperta e competitiva. Agendo come fornitore di servizi di pagamento, Payglobe si reputa di essere certificato conforme alla PSD2 dal 29 maggio 2018. 

    Uno dei requisiti chiave della PSD2 è legato all’autenticazione forte del cliente (Strong Customer Authentication, SCA) che sarà richiesta per tutte le transazioni elettroniche nell’UE dal settembre 2019. La SCA richiederà ai titolari di carte di credito di autenticarsi con almeno DUE dei seguenti tre metodi: 
    • Qualcosa che conoscono (PIN, password,...) 
    • Qualcosa che possiedono (lettore di carte, telefonino,…) 
    • Qualcosa della loro persona (riconoscimento vocale, impronta digitale,… 
    In pratica questo significa che i tuoi clienti non potranno più effettuare un pagamento online con carta di pagamento usando solo le informazioni delle loro carte. Al loro posto dovranno, per esempio, verificare la propria identità con la app di una banca collegata al proprio telefono e che richiede una password o un’impronta digitale per approvare l’acquisto. 

    Maggiori informazioni su PSD2 potranno essere trovate qui: https://www.europeanpaymentscouncil.eu/sites/default/files/infographic/2018-04/EPC_Infographic_PSD2_April%202018.pdf

  • In che modo la PSD2 avrà effetto su di me in veste di commerciante?

    Dal 14 settembre le regole dell’autenticazione forte del cliente (SCA) diverranno effettive per tutti i pagamenti digitali in Europa. In questo momento le banche, i fornitori di servizi di pagamento e le reti di carte di pagamento sono tutti al lavoro sulle soluzioni tecniche per conformarsi ai requisiti della PSD2. Per accettare i pagamenti dopo il 14 settembre, dovrai verificare che queste soluzioni tecniche funzionino per il tuo negozio online.

    Per accettare i pagamenti dalle più grandi reti mondiali di carte, Visa, Mastercard e Amex, sarà necessario aver implementato la soluzione di sicurezza 3D Secure nel tuo negozio online. 3D Secure viene utilizzata fin dal 2001 per migliorare la sicurezza delle transazioni online delle carte di pagamento, e ora è stata sviluppata una nuova versione che faciliterà i requisiti dell’autenticazione forte del cliente (SCA) della PSD2.

    Payglobe consiglia di utilizzare 3-D Secure, perché aiuta a prevenire le truffe e protegge anche dalle responsabilità per eventuali frodi. Dal 14 settembre sarà anche un requisito per accettare i pagamenti delle principali carte.

  • Cos’è la nuova 3-D Secure v2.1?

    La versione 2 di Secure è l’evoluzione dei programmi dell’attuale versione 1 di 3-D Secure: verificata da Visa, Mastercard SecureCode, AmericanExpress SafeKey, Diners/Discover ProtectBuy e JCB J/Secure. Si basa su una specifica stilata da EMVco. La presenza di EMVCo facilita l’interoperabilità a livello mondiale e l’accettazione delle transazioni di pagamento sicure. È supervisionata dai sei membri costituenti l’organizzazione di EMVCo - American Express, Discover, JCB, Mastercard, UnionPay e Visa - ed è supportata da dozzine di banche, commercianti, incaricati, vendor e altri operatori del settore che partecipano come associati di EMVCo. 

    Nella versione 2 una delle principali differenze è che l’emittente utilizza i molti punti-dati emergenti dalla transazione per determinarne i rischi (analisi basata sul rischio). Nelle transazioni a basso rischio gli emittenti non sarà chiesta conferma della transazione (ad esempio non sarà inviato un SMS al titolare della carta), anche se la transazione (senza attrito) viene autenticata. Al contrario, nelle transazioni ad alto rischio gli emittenti chiederanno al titolare della carta l’autenticazione con un SMS o con mezzi biometrici (richiesta di conferma). 

    Oltre a questo, l’autenticazione forte del cliente (SCA) richiesta in Europa a partire dal 14 settembre 2019 come specificato nella PSD2 darà luogo a un sostanziale aumento del numero di transazioni che richiedono l’uso dell’autenticazione 3-D Secure. L’utilizzo della versione 2 di 3-D Secure dovrebbe limitare al massimo i possibili effetti negativi sulla conversione. In breve, la versione 2 di 3-D Secure significa che: 
    • Dovrai implementare 3-D Secure prima del 14 settembre 2019 se le tue transazioni rientrano nelle direttive SCA PSD2 dell’EU (nel caso in cui 3-D Secure non sia già supportato). 
    • Ti sarà consigliato (e ad alcuni sarà richiesto) di inviare altri punti-dati per supportare la valutazione del rischio eseguita dall’emittente nel caso della versione 2 di 3-D Secure
    • Potrebbe essere necessario aggiornare la tua normativa sulla privacy relativamente al GDPR, perché potresti condividere altri punti-dati con terze parti 
    • I consumatori avranno una user experience molto migliore

    Il mercato si aspetta che una sostanziale percentuale delle transazioni che utilizzano la versione 2 di 3-D Secure seguirà il flusso senza attrito, perché non viene richiesta nessuna aggiunta da parte del titolare della carta rispetto agli attuali flussi di cassa eseguiti senza 3-D Secure. Ciò significa che puoi beneficiare di un maggiore livello di sicurezza e responsabilità fornito dai programmi 3-D Secure, mentre la conversione nel processo di checkout non dovrebbe avere un impatto negativo.

  • Che differenza c’è tra esenzione ed esclusione?
    Le esclusioni sono transazioni ESTERNE all’applicazione delle normative SCA della PSD2:
    • Ordini per posta/ordini telefonici 
    • Il PSP del beneficiario (ovvero l’acquirente del commerciante) o il PSP del pagatore (ovvero l’emittente del metodo di pagamento dell’acquirente) si trova fuori dalla zona SEE (Spazio Economico Europeo) 
    • Carte di pagamento prepagate anonime fino a 150 € (articolo 63) 
    • MIT - Merchant Initiated Transactions 
    Le esenzioni sono transazioni INTERNE all’applicazione delle normative SCA della PSD2: 
    • Transazioni di basso valore 
    • Quote associative 
    • Analisi del rischio 
    • Whitelisting
  • Cosa sono le esenzioni per la SCA?
    Per rendere la vita più facile ai commercianti e ai consumatori, la PSD2 permette ad alcuni l’esenzione dall’autenticazione forte del cliente (SCA) È importante notare che tutte le transazioni che si qualificano per l’esenzione non saranno esentate automaticamente. Per esempio, nel caso delle transazioni con carte di pagamento è la banca emittente della carta che decide se l’esenzione venga approvata o meno. Quindi, anche se una transazione si qualifica per l’esenzione, il cliente potrebbe dover effettuare anche l’autenticazione forte se la banca emittente della carta sceglie di richiederlo. 
    • Transazioni di basso valore: molto probabilmente sono queste sono le esenzioni maggiormente utilizzate. L’esenzione stabilisce che se un cliente effettua un acquisto minore di 30 euro può essere esentato dall’eseguire l’autenticazione forte. Tale esenzione è limitata e se un cliente effettua cinque transazioni di questo genere in fila o raggiunge un valore maggiore di 100 euro, l’autenticazione forte del cliente verrà sempre richiesta. 
    • Sottoscrizioni: altro tipo di transazione che può essere esentato sono i pagamenti ricorrenti e in abbonamento, in cui l’importo di ogni transazione è lo stesso. Per queste transazioni l’autenticazione forte del cliente sarà richiesta solo quando il cliente sottoscrive l’abbonamento iniziale e non per ogni singola transazione. 
    • Analisi del rischio: le esenzioni possono essere concesse anche sulla base della cosiddetta “analisi del rischio della transazione”. Questo significa che un fornitore di servizi di pagamento come Payglobe, può essere autorizzato a concedere esenzioni per le transazioni considerate “a basso rischio”, secondo i requisiti degli standard tecnici della PSD2. Tale esenzione ha dei limiti quando si parla del valore della transazione e può essere applicata solo se il fornitore dei servizi di pagamento ha un tasso di frode per quel tipo specifico di transazione sufficientemente basso. 
    • Whitelisting: un tipo finale di esenzione è dedicato ai destinatari autorizzati. Whitelisting significa che un cliente può registrare determinati destinatari di pagamenti come “affidabili” con la banca emittente della loro carta. Per questo non dovranno eseguire l’autenticazione forte del cliente quando pagano a quel destinatario specifico, soggetto al contratto della banca emittente.
  • Quando sarà pronto Payglobe?

    L’ABE (Autorità bancaria europea) e le banche nazionali di ogni Nazione interessata hanno concordato un periodo di tolleranza (almeno fino a marzo 2020). Ciò darà a tutti gli attori del settore eCommerce l’opportunità di chiarire tutti i dettagli relativi a questa nuova normativa. Tuttavia, consigliamo vivamente di attivare il 3DS nei propri account il prima possibile.

    Il nostro ambiente TEST è pronto, quindi consigliamo di iniziare a provare la tua integrazione il prima possibile.

  • La funzionalità Credentials/Card on file (COF) fa parte dell’elenco di esclusioni/esenzioni?

    COF in breve: il cliente avvia una prima transazione con un commerciante con 3D-S (CIT). A partire da questa prima esperienza di transazione, il commerciante ha la possibilità di eseguire transazioni ricorrenti (in abbonamento o con approvazione del cliente -> tokenizzazione), contrassegnate come transazioni MIT.

    Le transazioni MIT rappresentano una delle esenzioni previste all’interno della soluzione 3DSv2, a condizione che soddisfino le seguenti condizioni cumulative:

    • transazioni successive a una CIT iniziale 
    • CIT eseguita con un’autenticazione obbligatoria
    • Viene stabilito un collegamento ID dinamico tra la CIT iniziale e le transazioni MIT successive
    Dopo l’autenticazione iniziale, possono essere applicate esenzioni/esclusioni:
    • Sia a causa di esenzioni legali ricorrenti applicabili ad abbonamenti con periodicità e importo di tipo fisso (si consiglia ai commercianti di autenticarsi per l’importo totale + fornire dettagli sul numero di pagamenti concordati con i titolari di carte di credito)
    • Sia perché altri tipi di transazioni vengono esclusi dall’ambito SCA... a esclusivo rischio del commerciante in caso di chargeback (protezione limitata all’importo autenticato) E con necessità da parte dell’emittente di accettare l’assunzione di tale rischio:
      • COF non programmata: il principio delle transazioni successive viene concordato con il titolare della carta di credito, ma l’importo e/o la periodicità non è di tipo fisso
      • Pratiche del settore: incrementale, no show, ecc...

    Per il periodo di transizione, gli schemi prevedono un ID predefinito da utilizzare per MIT successive create prima dell’introduzione di 3DS v2.

  • Cosa devo fare per conformarmi ai requisiti della PSD2 e SCA?
    Innanzitutto, è necessario accertarsi che il protocollo 3-DS sia abilitato nel tuo negozio online per tutti i metodi di pagamento (Visa, MasterCard, American Express, Carte Bancaire, JCB). Assicurati di verificare tale impostazione. In caso contrario, richiedine l’attivazione al nostro Supporto.

    Dal momento che il protocollo 3-D Secure versione 2 (3DSv2) intende garantire l’attivazione dell’autenticazione forte del cliente (SCA) alla banca emittente, quest’ultima deve valutare più accuratamente il rischio connesso alla transazione. Di conseguenza, la specifica 3DSv2 contiene molti elementi dati. Se già utilizzi il nostro strumento di prevenzione delle frodi, avrai il vantaggio di ritrovarne alcuni già all’interno del nostro screening antifrode!  Naturalmente, alcuni sono nuovi e specifici per 3-D Secure v2. In sintesi, gli elementi dati possono essere classificati nel modo seguente:
    • Informazioni obbligatorie - dati del browser:
        • Integrazione con carrelli? 
          Ti invitiamo ad andare nel carrello (marketplace) per installare l’ultima versione del plugin Payglobe o a contattare direttamente il tuo fornitore.
        • Se stai utilizzando la nostra pagina eCommerce, le informazioni obbligatorie vengono raccolte da Payglobe. Di seguito puoi andare direttamente alle informazioni raccomandate.
        • Se stai utilizzando la tua pagina di pagamento, dovrai raccogliere personalmente le informazioni obbligatorie come riportato di seguito. Per consultare le indicazioni sulla procedura da seguire e l’esempio di uno script Java ti invitiamo a visitare la nostra pagina di supporto.
    • Informazioni raccomandate - possono essere verosimilmente utilizzate come parte dello screening per la prevenzione delle frodi:
        • Nome del titolare della carta (CN)
        • Email (EMAIL)
        • Indirizzo IP (REMOTE_ADDR)
        • Numero di telefono (Mpi.WorkPhone.subscriber, Mpi.HomePhone.subscriber ...)
        • Indirizzo di fatturazione (ECOM_BILLTO_POSTAL_CITY, ECOM_BILLTO_POSTAL_COUNTRYCODE, ECOM_BILLTO_POSTAL_STREET_LINE1 ...)
        • Indirizzo di spedizione (ECOM_SHIPTO_POSTAL_CITY, ECOM_SHIPTO_POSTAL_COUNTRYCODE, ECOM_SHIPTO_POSTAL_STREET_LINE1 ...)
      • I parametri raccomandati/opzionali devono essere forniti per beneficiare del flusso senza attriti che può aumentare la conversione.
    • Informazioni opzionali - dati titolare carta di credito/account estesi secondo la definizione di EMVCo:
        • Mpi.cardholderAccountAgeIndicator
        • Mpi.cardholderAccountChange
        • Mpi.cardholderAccountPasswordChange
        • Mpi.suspiciousAccountActivityDetected
        • Mpi.threeDSRequestorChallengeIndicator

    Le nostre API esistenti già catturano numerosi elementi dati, ma ne stiamo aggiungendo molti altri nuovi. Il motivo è che crediamo che chiunque graviti nell’ecosistema dei pagamenti possa trarre vantaggio da una maggiore sicurezza, con il minimo impatto negativo sull’esperienza del consumatore. I pagamenti si basano sulla fiducia: fornendo più dati, le parti coinvolte hanno più facilità a fidarsi le une delle altre, senza che siano richiesti ulteriori sforzi per l’autenticazione del consumatore. Quasi tutti gli elementi dati aggiunti di recente sono opzionali, ma ti consigliamo di fornirne il maggior numero possibile. Ciò aumenta la probabilità che le tue transazioni seguano il flusso senza attriti, mentre tu beneficerai di un maggiore livello di responsabilità. Se utilizzi la pagina di pagamento ospitata da Payglobe, acquisiremo automaticamente i dati relativi al browser.

    Il livello di modifiche richieste varia in base al tipo di integrazione con Payglobe.

  • Puoi iniziare con l'implementazione e il test?

    Sì, puoi iniziare a testare, Ingenico utilizza nella piattaforma di test, un simulatore per creare tutti i diversi scenari.

    Le carte di pagamento di prova sono disponibili e possono essere trovate sul sito di supporto, così come nell'ambiente di prova (Configurzione > Informazione tecniche > Info di test)

  • Come posso ottenere dati aggiuntivi sulla SCA?

    Se usi la nostra pagina Payglobe, Payglobe si prenderà cura di tutti i campi obbligatori.

    Se sei integrato in DirectLink, significa che gestisci la tua pagina di pagamento, e per questo caso abbiamo un esempio di Javascript per raccogliere i dati obbligatori e questo è disponibile nella pagina di supporto.

  • Potremmo fornire l'autenticazione sicura eseguita su un altro MPI rispetto al Payglobe uno?
    No, questo non è possibile e non è nemmeno pianificato di farlo.
  • Cosa accade se il commerciante non invia i campi obbligatori V2?

    Questo scenario è possibile esclusivamente in caso di integrazione solo tramite DirectLink (pagina del commerciante/FlexCheckOut), dal momento che nella pagina di pagamento ospitata da Payglobe, Payglobe raccoglie i dati obbligatori.

    Innanzitutto, Payglobe identificherà il flusso da indirizzare a v1 o v2 in base ai numeri delle carte.

    Se la carta è registrata V2, sono possibili i seguenti scenari: 

    Dati obbligatori:

    • Se vengono trasmessi dati errati, la transazione viene bloccata
    • In mancanza di alcuni dati, Payglobe indirizzerà la transazione al flusso v1
    • Se non viene trasmesso alcun dato, la transazione NON viene bloccata ma deviata verso il flusso v1
    Dati raccomandati o opzionali:
    • se non viene trasmesso alcun dato, la transazione NON viene bloccata, ma non può beneficiare dell’esenzione.
  • Cosa devo sapere su PSD2 e sulla condivisione dei dati personali (GDPR)?
    3DSv2 sta invitando i commercianti a inviare informazioni aggiuntive (obbligatorie / raccomandate..). Tutto quello che devi sapere come commerciante su questo argomento può essere trovato qui:



  • La mia certificazione PCI ha meno di 1 anno. Devo refarlo di nuovo se cambio il mio acquirer?
    Il tuo certificato PCI è valido per un anno ed è conforme per qualsiasi acquirente.
  • Cosa succede se l’emittente non è pronto?
    In casi simili, Payglobe gestirà automaticamente un fallback a 3-D Secure v1.
  • Cosa succede se 3-D Secure non è attivato nell’account del commerciante?
    Se l’emittente applica il nuovo set di regole PSD2 e 3DS non è attivo nell’account del commerciante, la transazione verrà rifiutata. Pertanto, è necessario accertarsi che 3DS sia attivo per ogni marchio negli account.
  • Cosa succede se il commerciante richiede 3-D Secure e la banca emittente non lo attiva?
    A meno che l’autenticazione non sia una fase obbligatoria (ad esempio, in caso di registrazione di una carta o di transazione iniziale di una serie di transazioni ricorrenti), gli emittenti possono decidere di saltare l’autenticazione. In tale scenario, l’emittente sarà responsabile in caso di chargeback.
  • Quante carte saranno compatibili con 3DSv2 entro il 14 settembre 2019?
    Non sono disponibili informazioni al riguardo, dato che gli emittenti non hanno ancora fornito dati affidabili. MasterCard sta attualmente conducendo sondaggi in Europa, ma i risultati possono variare notevolmente a seconda della Nazione.  Lo stato continuerà a evolversi fino a settembre. A gennaio 2019, solo i 2/3 degli emittenti hanno completato la certificazione EMVCo v2.1. In questo elenco di emittenti, il supporto delle esenzioni ha oscillato tra l’80% (ricorrente) e il 50% (whitelist).
  • Come posso scoprire se una transazione è stata eseguita con Secure v1 o v2?
    Oltre al rilascio della piattaforma a luglio, abbiamo migliorato i dettagli della nostra panoramica sulle transazioni. Ora, le singole transazioni accessibili contengono informazioni dettagliate relative a quale flusso (3Dsv2 o 3DS v1 legacy) è stato applicato. Ulteriori informazioni sono disponibili nelle nostre note per la versione 04.133 nel backoffice tramite Support (Supporto) > Platform Releases (Versioni piattaforma) > Release 04.133 (Versione 04.133) dei rapporti elettronico.

    I valori possibili per VERSION_3DS sono

    V1 (per 3DS v1)
    V2C (per Flusso 3DS v2 Challenge)
    V2F (per Flusso 3DS v2 Frictionless) 

    Per aggiungere questo parametro ai download dei file delle transazioni, seguire le istruzioni come mostrato in questo video:

  • Quando sarà pronto Payglobe per 3DS v2.2?
    Non è ancora possibile fornire una sequenza temporale per l’introduzione di questa versione 3DS. A seconda degli ulteriori sviluppi e della maturità della v2.1 sul mercato, speriamo di rilasciare la v2.2 intorno al terzo trimestre del 2020.
  • Una carta 3DS V2 presenterà lo stesso ritardo in termini di risposta o un ritardo maggiore?
    Poiché 3DSv2 introduce un’autenticazione frictionless, il tempo di elaborazione di una transazione potrebbe essere ridotto. Al contrario, se viene richiesta un’autenticazione forte del cliente (SCA), il tempo di elaborazione potrebbe essere maggiore.
  • Qual è la sequenza temporale per l’introduzione di 3DSv2 in Francia?
    Come questo è definito dalla prontezza dell’acquirente, la disponibilità di 3DSv2 dipende dal singolo acquirente. 
    La maggior parte degli acquirenti francesi supporterà l’autenticazione forte del cliente (SCA) entro il 14 settembre 2019, ma non le esenzioni. L’introduzione delle esenzioni sarà resa disponibile dai singoli acquirenti tra ottobre 2019 e marzo 2020.
  • Che cosa significa “aggiungere valore alla carta”?
    “Aggiungere valore alla carta” fa riferimento al caso in cui un fornitore di portafogli utilizza il protocollo 3DS per aggiungere una carta al proprio portafoglio. Questa opzione sarà implementata dal rispettivo fornitore di portafogli.
  • Che differenza c’è tra 3DS v2.1 e v2.2?

    L’ultima versione della specifica include:

    • Ulteriore promozione del flusso senza attriti
      1. Migliore comunicazione tra commercianti ed emittenti per massimizzare le esenzioni disponibili per la SCA.
      2. Espansione degli elementi dati esistenti per promuovere la comunicazione degli eventi di autenticazione pre-checkout e supportare gli standard FIDO Alliance
    • Due nuove funzioni che forniscono capacità di autenticazione offline per diversi scenari di transazione, incluse le transazioni MOTO (ordini per corrispondenza e telefonici):
      1. L’aggiunta dei pagamenti avviati dal richiedente (3RI) 3DS. Ciò fornisce a un commerciante l’abilità di iniziare una transazione anche se il titolare di carta di credito non è presente. Questo canale precedentemente supportava solamente transazioni non di pagamento per la v2.1.0
      2. L’inclusione del nuovo metodo di autenticazione denominato “autenticazione separata”. Ciò consente l’autenticazione del titolare di carta di credito qualora il titolare sia offline. Tuttavia, questo metodo di autenticazione può essere utilizzato anche se il titolare di carta è online tramite canali browser e app
    • Miglioramenti delle user experience e dei flussi di cassa
    • Miglioramenti al processo di inserimento nella cache EMV 3DS tramite elementi dati aggiuntivi nei cicli PReq/PRes
© 2019 Payglobe s.r.l