La direttiva europea sui servizi di pagamento (DSP2) impone da diversi anni l’autenticazione forte per le transazioni online con carta. Nel 2025, il quadro normativo si stringe ulteriormente. I commercianti che continuano a operare senza 3D Secure sfruttano esenzioni previste dalla legge, ma queste margini di manovra si riducono trimestre dopo trimestre sotto la pressione dei regolatori e delle reti di carte.
Trasferimento di responsabilità per frode: cosa sottovalutano i commercianti
Il meccanismo meno visibile per un e-commerce che rifiuta il 3D Secure riguarda il liability shift. Da quando Visa e Mastercard hanno aggiornato i loro programmi di responsabilità tra il 2023 e il 2025, un commerciante senza 3D Secure sostiene da solo il costo dei chargeback fraudolenti. L’acquirente e l’emittente della carta non coprono più la frode se l’autenticazione forte non è stata attivata.
Vedi anche : Scopri le migliori soluzioni per guardare film e serie in streaming nel 2024
Concretamente, un sito che gestisce un volume significativo di transazioni senza autenticazione accumula insoluti che la sua banca acquirente non copre più. Oltre a una certa soglia di chargeback, le reti di carte applicano programmi di monitoraggio accompagnati da penalità finanziarie crescenti. Diversi commercianti europei hanno visto aumentare notevolmente le loro spese di elaborazione dopo essere stati posti sotto monitoraggio da Visa o Mastercard.
La situazione dei siti senza 3D Secure nel 2025 rimane legale finché le esenzioni sono correttamente documentate, ma il costo finanziario reale supera spesso il risparmio presunto sul tasso di conversione.
Vedi anche : Consigli e suggerimenti imprescindibili per realizzare con successo tutti i vostri progetti domestici
Esenzioni SCA nel 2025: un quadro sempre più monitorato
La normativa europea prevede diversi casi in cui l’autenticazione forte può essere bypassata: transazioni di basso importo, analisi del rischio in tempo reale (TRA), beneficiari di fiducia iscritti in lista bianca, o pagamenti ricorrenti dopo una prima autenticazione. Queste esenzioni esistono per preservare la fluidità del percorso di acquisto.
L’Autorità bancaria europea (EBA) ha pubblicato alla fine del 2024 diversi aggiornamenti delle sue FAQ sulla DSP2. Il messaggio è diretto: le esenzioni devono rimanere minoritarie, documentate e monitorate. I fornitori di servizi di pagamento (PSP) che lasciano passare un volume troppo elevato di transazioni esentate si espongono a controlli rafforzati e a ingiunzioni di limitare l’uso dei percorsi senza autenticazione.
Per un commerciante, ciò significa che anche se il suo PSP accetta oggi di instradare alcune transazioni senza 3D Secure tramite l’esenzione TRA, nulla garantisce che questa possibilità sarà mantenuta tra sei mesi. I PSP aggiustano le loro soglie in base alla pressione normativa.
Le esenzioni ancora utilizzabili e le loro condizioni
- Le transazioni di basso importo (generalmente al di sotto di una soglia fissata dalla rete) rimangono esentate, ma si applica un tetto cumulativo. Oltre, l’autenticazione forte diventa nuovamente obbligatoria.
- L’analisi del rischio in tempo reale (TRA) consente al PSP di bypassare il 3D Secure se il suo tasso di frode globale rimane al di sotto di un certo livello. Un PSP il cui tasso di frode aumenta perde questa facoltà.
- La lista bianca (beneficiari di fiducia) si basa su una decisione del titolare della carta presso la sua banca. Il commerciante non ha alcun controllo diretto su questa iscrizione.
Frode sui pagamenti internet senza autenticazione forte: i dati sul campo
La Banca di Francia, nel rapporto annuale 2024 dell’Osservatorio della sicurezza dei mezzi di pagamento, evidenzia una tendenza netta. La frode sui pagamenti internet con carta aumenta dove l’autenticazione forte non è applicata sistematicamente. Le transazioni protette da 3D Secure 2.x mostrano un tasso di frode nettamente inferiore rispetto al resto.
Questa constatazione spinge i regolatori francesi a sconsigliare le configurazioni senza 3DS al di là di casi d’uso molto mirati. I feedback sul campo divergono sull’ampiezza esatta del differenziale di frode a seconda dei settori, ma la direzione è chiara: meno autenticazione produce più frode.
Per i commercianti, il rischio non è solo finanziario. Un tasso di frode elevato degrada la reputazione del sito presso gli emittenti di carte, che possono decidere di rifiutare sistematicamente le transazioni provenienti da questo commerciante, anche quelle con autenticazione. Il cerchio diventa quindi difficile da invertire.
DSP3 e pagamento online: cosa si prepara dopo il 2025
La Commissione europea sta lavorando sulla DSP3, che dovrebbe sostituire la DSP2 nei prossimi anni. Le discussioni in corso riguardano un inasprimento degli obblighi di autenticazione e una riduzione dell’ambito delle esenzioni.
Si delineano diverse orientamenti:
- Un inquadramento più rigoroso dell’esenzione TRA, con soglie di frode più basse per i PSP che desiderano beneficiarne.
- Un’armonizzazione europea delle pratiche di esenzione, che oggi varia da un paese all’altro a seconda dell’interpretazione dei regolatori nazionali.
- L’integrazione di nuovi metodi di autenticazione (biometria comportamentale, token di sessione) che potrebbero rendere il 3D Secure meno visibile per l’utente mantenendo comunque il livello di sicurezza.
Se la DSP3 segue l’attuale traiettoria, i siti che funzionano senza alcuna forma di autenticazione forte diventeranno un’anomalia normativa piuttosto che una semplice strategia commerciale. I commercianti che non anticipano questo cambiamento rischiano di dover adattare la loro infrastruttura di pagamento in fretta.
Conversione e sicurezza: la falsa opposizione
L’argomento storico contro il 3D Secure si basava sulla frizione che aggiungeva al percorso di acquisto. Con la versione 2.x del protocollo, questa frizione è notevolmente diminuita. L’autenticazione avviene ora spesso in modo passivo, tramite l’analisi del terminale e del comportamento dell’acquirente, senza intervento visibile.
I dati disponibili non consentono di concludere che il 3D Secure 2.x degradi significativamente la conversione rispetto a un percorso senza autenticazione. Al contrario, l’assenza di 3D Secure genera chargeback che, invece, hanno un impatto misurabile sul margine.
Il calcolo economico è cambiato. Nel 2025, la questione per un commerciante non è più se possa fare a meno del 3D Secure, ma quanto tempo possa ancora farlo prima che i costi indiretti superino il beneficio presunto sul tasso di conversione.