
Dal 1° gennaio 2021 è divenuto obbligatorio per gli ecommerce aumentare la sicurezza dei pagamenti online dotandosi di servizi di pagamento che applicano la SCA (‘Strong Customer Authentication’) ovvero l’autenticazione forte del cliente.
Imposta dalla Direttiva (UE) 2015/2366 (PSD2), ha come obiettivo quello di rendere più sicuri i pagamenti elettronici a distanza con una procedura rafforzata di identificazione e autorizzazione del cliente.
Con questo articolo vedremo cosa cambia con la SCA nei pagamenti ecommerce.
Indice
| SCA nei pagamenti online: che cos’è
Per Autenticazione forte del cliente (SCA) si intende l’autenticazione basata su due o più fattori.
I fattori sono classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza in modo individuale l’utente).
Questi fattori sono indipendenti l’uno dall’altro cosicché se uno di questi fattori viene compromesso (es. per furto della carta di credito), gli altri garantiscono la sicurezza dei pagamenti online.
Identificando così gli utenti si riducono i rischi di frode.

| Quando si applica la SCA per gli ecommerce
Lo scopo della SCA quindi è quello di rafforzare le procedure di sicurezza dei servizi di pagamento online, affinché questi avvengano in un ambiente sicuro.
La SCA è obbligatoria per i pagamenti avviati dal cliente sul territorio dell’Unione Europea.
Non è obbligatoria per gli addebiti diretti ricorrenti (es. abbonamenti), se non per il primo pagamento.
In questi casi non si applica la SCA:
- pagamenti in remoto di modesta entità (fino a 30 euro; su base cumulativa fino a 100 euro o fino a 5 transazioni consecutive, dall’ultima applicazione della SCA);
- pagamenti classificati a basso rischio;
- pagamenti verso beneficiari attendibili (segnalati come tali dal cliente alla propria banca).
| SCA per ecommerce: da quando in vigore
La SCA nei pagamenti online doveva applicarsi già a partire dal 14 settembre 2019, ma è stata posticipata l’attuazione fino al 31 dicembre 2020.
Il 21 giugno 2019, infatti, l’EBA (European Banking Authority) ha riconosciuto agli Stati Membri la possibilità di concedere ulteriore tempo agli emittenti e agli acquirers, per consentire il completamento degli interventi e l’adozione di nuovi sistemi di autenticazione.
Il 16 ottobre 2019 l’EBA ha poi reso noto di aver fissato al 31 dicembre 2020 la scadenza del periodo di flessibilità, così la Banca d’Italia ha concesso una proroga fino al 31 dicembre 2020 per conformarsi alla SCA.
| SCA ed ecommerce: i fattori di sicurezza
La SCA introduce dei requisiti di sicurezza dei pagamenti online che richiedono il concorso di più fattori di sicurezza quali:
- la conoscenza: qualcosa che solo il cliente sa (password, PIN ecc.);
- il possesso: qualcosa che solo il cliente ha (smartphone ecc);
- l’inerenza: qualcosa che solo il cliente è (riconoscimento biometrico: facciale o impronte digitali).
Due o più di questi fattori devono essere verificati nel momento in cui viene autorizzata l’operazione di pagamento online.
L’EBA, con il documento dell’Opinion del 21 giugno 2019 ha chiarito le caratteristiche di questi tre fattori.
– Per conoscenza deve intendersi: password o pin.
Non rientrano in questa categoria gli indirizzi email; l’ID utente; i dati della carta di pagamento (PAN, CVV e data di scadenza) e OTP SMS (che è un fattore di possesso).
– Per possesso può intendersi anche un metodo che si basa su applicazioni mobili, browser web o lo scambio di chiavi.
– Per inerenza deve intendersi quello relativo al dato biometrico (es. le impronte digitali, le misure del volto) o gli elementi biometrici cd. comportamentali (es. pressione dei tasti, angolo di tenuta del dispositivo, frequenza cardiaca ecc.).
| SCA e pagamenti ecommerce: cosa fare
Cosa deve fare l’ecommerce per essere a norma?
Deve adottare sistemi di pagamento in linea con normativa sulla SCA.
Ciò significa che quando si attiva il servizio di acquiring virtuale (il servizio per l’accettazione dei pagamenti con carta di credito), bisogna verificare che vengano attuati i protocolli di sicurezza richiesti dalla normativa sulla SCA.
Ad esempio, VISA, MASTERCARD e PayPal hanno implementato il Protocollo 3D Secure che permette ai clienti di completare i pagamenti online in linea con la normativa SCA.
| SCA e pagamenti ecommerce: conclusioni
Ricapitolando, possiamo dire che:
- la direttiva PSD2 ha introdotto la SCA, un sistema per rendere più sicuri i pagamenti online;
- la SCA è obbligatoria per gli ecommerce;
- questo sistema prevede che per autorizzare un’operazione online concorrano almeno due fattori tra quelli relativi a: conoscenza, possesso ed inerenza;
- la SCA si applica per i pagamenti effettuati dall’utente (e non quelli di addebito diretto, se non in relazione al primo pagamento dell’utente);
- la SCA non è obbligatoria per pagamenti di importi inferiori a 30 euro;
- i merchant devono verificare che il servizio di acquiring prescelto si sia adeguato alla normativa SCA.
| Cosa può fare per te l’Avvocato dell’Ecommerce
I profili normativi da considerare nel mondo dell’ecommerce sono tanti. Ed il rischio di sanzioni e problemi legali non è così remoto.
Sono l’Avvocato dell’Ecommerce e posso aiutarti nell’assistenza e nella consulenza legale per ecommerce e business digitali.
Fornisco consulenza legale in materia di contratti per ecommerce ed altre attività digitali, compliance legale dei siti web, adeguamento alla normativa ecommerce, registrazione marchi, adeguamento siti al GDPR.