PSD2 & WooCommerce: cosa devi sapere per il tuo negozio online

Michael Firnkes Ultimo aggiornamento 20.10.2020
6 Min.
WooCommerce PSD2
Ultimo aggiornamento 20.10.2020

Gestisci negozi online con WordPress ? O li organizzate per i vostri clienti? Allora dovresti conoscere la "Seconda direttiva europea sui servizi di pagamento", meglio conosciuta come PSD2. Prescrive nuove procedure per l'autenticazione del cliente nel processo di pagamento. Elenchiamo le raccomandazioni più importanti per l'azione e Plugins per WooCommerce.

tl;dr - non fatevi prendere dal panico.

Di norma, la PSD2 entra in gioco per te come proprietario di un negozio quando i tuoi clienti pagano con carta di credito. E anche in questo caso, il vostro fornitore di servizi è responsabile. Dovete solo assicurarvi che siano già conformi alla PSD2. Per essere sicuri, controllate anche tutte le altre opzioni di pagamento che offrite. Più su questo tra un momento.

Lo stesso vale per le agenzie e i freelance. Qui dovreste controllare il pagamentoPlugins o i fornitori associati che sono usati dai vostri clienti: Hanno convertito i loro processi alla PSD2? In caso contrario, tenete d'occhio le estensioni alternative. Puoi trovare informazioni complete su WooCommerce nel nostro e-book di 70+ pagine WooCommerce per i professionisti.

Nota

Questo post del blog non è un consiglio legale. Come hoster diWordPress , abbiamo affrontato noi stessi la PSD2. Tuttavia, non siamo avvocati. Quindi lasciatevi consigliare da uno studio legale adatto per il diritto online.

Cos'è PSD2 alias SCA? E chi ne risente?

Le nuove regole dell'UE per le operazioni di pagamento dovrebbero essere applicate dal 14 settembre 2019: la seconda direttiva europea sui servizi di pagamento, o PSD2 in breve. Questo include l'obbligo di autenticazione sicura del cliente per le offerte bancarie online. In inglese: Strong Customer Authentication (SCA).

L'introduzione delle nuove regole di pagamento su Internet è stata rinviata. "Temporaneamente", come si dice. Perché le autorità sono preoccupate che le aziende non siano ancora sufficientemente preparate per la direttiva. Eppure dovreste già implementare la direttiva o farla implementare. Più avanti su questo.

In sostanza, si tratta di rendere lo shopping su Internet più sicuro. L'autenticazione forte del cliente - o autenticazione a 2 fattori (2FA) - è quindi richiesta dalla legge. Molte banche hanno già cambiato i loro processi, e la vostra banca vi ha sicuramente già contattato.

Nei negozi online, questo riguarda soprattutto i pagamenti con carta di credito. A meno che non stiano già usando una procedura sicura come 3-D Secure o 3D-S. Ma attenzione: a causa della PSD2, anche qui è richiesta una procedura estesa, chiamata 3D Secure 2.0, o 3DS2 in breve.

Fino ad ora, i clienti dello shopping avevano spesso bisogno solo del loro numero di carta di credito e della cifra di controllo corrispondente per completare un acquisto. In futuro, saranno richiesti anche un numero di transazione (TAN), che viene inviato al telefono cellulare o allo smartphone, e una password. Sicuramente conoscete questa procedura dal vostro online banking. Le liste cartacee con numeri di transazione, iTAN in breve, non saranno più consentite in futuro.

Nota

L'acquisto in conto e tramite addebito diretto non sono interessati dalla PSD2. Vedere le spiegazioni dell'IT-Recht Kanzlei.

Cosa devi sapere come proprietario di un negozio o professionista WP?

In futuro, è necessario assicurarsi che venga utilizzata una procedura sicura quando si paga con carta di credito o altri servizi (PayPal, Stripe, Amazon Pay, Apple Pay, ecc.). Tuttavia, di solito non dovete implementare questo da soli; questo è il lavoro dei rispettivi fornitori di servizi. A meno che non usiate una soluzione molto esotica o autocostruita. Dovresti farlo controllare da uno studio legale adatto, specializzato in diritto online per quanto riguarda la PSD2.

Tutti i principali fornitori stanno lavorando febbrilmente per implementare la nuova politica. Controlla con i servizi che usi: Qual è la situazione qui? L'autenticazione è già conforme alla PSD2? Le nuove regole dell'UE stanno finalmente entrando in vigore e il tuo fornitore di servizi non è ancora pronto? Allora dovreste considerare di non offrire l'opzione di pagamento fino a quando non saranno stati fatti dei miglioramenti.

Ci sono anche modifiche a "Sofortüberweisung". Secondo il fornitore Klarna, la procedura riceverà un ulteriore passo di autenticazione, che sarà assunto dalla rispettiva banca. Dovresti osservare quale servizio di pagamento può essere usato in futuro e quanto bene, e se questo ha un impatto sulla tua conversione nel negozio.

Importante

I vostri fornitori trasmettono dati diversi da prima a causa della PSD2? O si integrano nuovi servizi di pagamento? Allora potreste dover adattare i vostri testi giuridici in WooCommerce.

Cosa dice WooCommerce ?

I creatori di WooCommerce dedicare un post separato del blog all'argomento. Secondo loro, la maggior parte dei fornitori di servizi di pagamento si basa su 3D Secure 2 per soddisfare i requisiti.

In generale, i servizi adeguati in futuro dovrebbero prendere in considerazione almeno due dei tre passi seguenti per assicurare la "Strong Customer Authentication":

  • Richiedere informazioni che solo il cliente conosce. Per esempio, la sua password o la risposta a una domanda di sicurezza.
  • Inviare l'autenticazione a un "processo controllato dal cliente". Questo può essere un token hardware o una notifica push sul tuo smartphone, secondo WooCommerce .
  • Uso di un identificatore fisico che è unico per il cliente. Per esempio, un'impronta digitale o Face ID.

Ti interessano i dettagli esatti? Quanto siano concreti i requisiti, cioè se la risposta a una domanda di sicurezza sia sufficiente, è determinato dai trattati dell'UE. Vedere la versione attuale degli "Standard normativi per l'autenticazione forte dei clienti".

A seconda dello stato dell'arte - e quali metodi sono più suscettibili di essere sfruttati dagli hacker - ci saranno probabilmente alcuni aggiustamenti a medio e lungo termine. La lotta per una maggiore sicurezza assomiglia sempre a un gioco del gatto e del topo.

Quali sono le possibilità di integrazione?

WooCommerce nomina alcuni fornitori o i loro WordPress -Plugins, che dovrebbero essere già "pronti per la PSD2". Abbiamo collegato le estensioni qui per voi:

Usate altri metodi e reti di pagamento oltre a quelli menzionati qui? Chiedete ai rispettivi sviluppatori se e quando la PSD2 sarà implementata. Se questo non è il caso, allora dovreste cercare un'alternativa Plugin o un servizio.

Siamo felici del vostro feedback

Avete già chiesto al vostro fornitore? O hai un consiglio Plugin per noi? Sentitevi liberi di condividere le vostre esperienze nei commenti.

Le regole della PSD2 si applicano anche ai pagamenti nel modello di abbonamento. Per esempio, se si lavora con Plugin WooCommerce Subscriptions per abilitare i pagamenti ricorrenti.

La PSD2 o la SCA si applicano anche ai commercianti al di fuori dell'UE?

Non dipende necessariamente dalla sede dei concessionari. Qui WooCommerce si esprime molto chiaramente:

L'SCA si applica anche se la banca o il processore acquirente si trova nello Spazio economico europeo (SEE) e lo strumento di pagamento del cliente è stato emesso nel SEE.

Lo Spazio economico europeo comprende tutti gli stati membri dell'Unione europea, nonché Islanda, Liechtenstein e Norvegia. Quindi un commerciante all'estero deve lavorare interamente con i fornitori di servizi nazionali, le banche e i clienti per evitare di essere colpito dalla PSD2 o dalla Strong Customer Authentication. Questo, tra le altre ragioni, è il motivo per cui i fornitori di servizi di pagamento internazionali hanno tanta fretta di conformarsi. L'appello europeo per una maggiore sicurezza online ha implicazioni globali.

I TAN via SMS rimarranno permessi?

Contemporaneamente alla PSD2, nei circoli specializzati si è sviluppata una discussione collaterale su quanto sia ancora sicuro il TAN via SMS (noto anche come mTAN). Vedi l'articolo Online banking e PSD2 su heise.de. Recentemente, ci sono stati un numero crescente di rapporti di tentativi di attacchi in cui il telefono cellulare o lo smartphone della vittima viene preso in consegna. Per esempio, tramite e-mail di phishing o app manipolate.

L'Ufficio federale per la sicurezza dell'informazione (BSI) scrive su questo:

Anche se la procedura mTan è pratica e facile da usare, purtroppo nasconde anche alcuni rischi. In determinate circostanze, i criminali possono intercettare o reindirizzare i messaggi SMS inviati per l'autenticazione ... Il BSI raccomanda quindi di non utilizzare procedure mTAN.

Nel quadro della PSD2, l'mTAN deve rimanere consentito fino ad ora. Tuttavia, le banche stanno già cercando delle alternative. Heise menziona pushTAN, chipTAN, photoTAN, appTAN e signaturTAN.

Cosa dovrebbe ottenere la PSD2?

La direttiva non mira solo a rendere più sicure le transazioni di pagamento (online). I promotori sperano anche che la concorrenza sul mercato si rafforzi. La italiani Bundesbank lo mette come segue nelle sue informazioni sulla PSD2:

Per esempio, i consumatori non devono accedere al sistema bancario online del loro istituto di credito quando fanno un acquisto su Internet, ma possono avviare il trasferimento tramite un servizio di avvio del pagamento offerto sul sito web del commerciante.

Vai avanti:

La PSD2 regola l'accesso di questi "terzi prestatori di servizi di pagamento" ai conti di pagamento presso i prestatori di servizi di pagamento titolari del conto. Tuttavia, l'accesso è concesso a questi fornitori solo se tu, in qualità di titolare dell'account, sei esplicitamente d'accordo.

In futuro, ci saranno molti più attori nel mercato dei pagamenti online. Le banche e gli istituti di credito stanno perdendo potere. L'integrazione di "terzi fornitori di servizi di pagamento" - che sono, tuttavia, sotto la supervisione e il controllo delle autorità di vigilanza nazionali - consente lo sviluppo di servizi e idee di business completamente nuovi. In Germania, questa autorità di vigilanza è l'Autorità federale di vigilanza finanziaria (BaFin).

Eccezioni alla PSD2

Diversi media e banche riferiscono di casi eccezionali in cui i fornitori di servizi di pagamento possono fare a meno di una forte autenticazione del cliente. Per esempio, un limite di 30 euro è menzionato per "operazioni di pagamento elettronico a distanza". Al di sotto di questa soglia, l'autenticazione bidirezionale non sarebbe necessariamente richiesta. Ulteriori informazioni possono essere trovate nel post del blog PSD2 e SCA dello studio legale Wilde Beuger Solmecke.

La BaFin stessa menziona una soglia di 50 euro, ma per i pagamenti con carta senza contatto. Per i pagamenti con carta su Internet, si esprime più vagamente. I fornitori di servizi di pagamento potrebbero effettuare qui una cosiddetta analisi del rischio di transazione. L'agenzia federale dice:

Ogni pagamento in arrivo è automaticamente controllato per determinare se il rischio di frode è basso ... Se le informazioni di pagamento disponibili per il prestatore di servizi di pagamento danno l'impressione di un aumento del rischio di frode, il prestatore di servizi di pagamento deve effettuare una forte autenticazione del cliente.

Le indicazioni di un aumento del rischio di frode dovrebbero essere, per esempio, una deviazione dai modelli di comportamento abituali del cliente. O una somiglianza con modelli di frode noti. Rilassamenti corrispondenti sono previsti anche nel B2B. E ci deve essere una whitelist in cui una banca può classificare i suoi clienti aziendali come destinatari di pagamento affidabili.

Tuttavia, come gestore di un negozio di solito non devi occuparti di tali limiti da solo, a condizione che si interponga un fornitore di servizi.

Altre fonti

Vuoi saperne di più su PSD2 aka SCA? Qui ci sono articoli adatti agli utenti e agli sviluppatori:

Puoi trovare altri consigli su WooCommerce nel nostro e-book di 70+ pagine WooCommerce per i professionisti: Negozi online con WordPress . Si rivolge a freelance, agenzie, professionisti WP, ma anche a principianti.

Avete domande su PSD2 e WooCommerce? Sentitevi liberi di usare la funzione di commento. Vuoi altri consigli su WordPress & WooCommerce? Allora seguici su Twitter, Facebook o tramite la nostra newsletter.

Foto per il contributo: William Iven

Articoli correlati

Commenti su questo articolo

Scrivi un commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati con *.