PSD2 & WooCommerce: Quello che devi sapere per il tuo negozio online

Michael Firnkes Ultimo aggiornamento il 20.10.2020
6 Min.
WooCommerce PSD2
Ultimo aggiornamento il 20.10.2020

Gestite negozi online con WordPress ? O li avete allestiti per i vostri clienti? Allora dovreste conoscere la "Seconda direttiva europea sui servizi di pagamento", meglio conosciuta come PSD2. Prescrive nuove procedure per l'autenticazione del cliente durante il processo di pagamento. Citiamo le raccomandazioni più importanti per l'azione e Pluginsper il WooCommerce.

Tl;dr - niente panico.

Di solito, PSD2 è particolarmente utile per voi come proprietario di un negozio quando i vostri clienti pagano con carta di credito. E anche in questo caso, il vostro fornitore di servizi ha un dovere. Tutto quello che dovete fare è assicurarvi che il vostro fornitore di servizi sia già conforme a PSD2. Per essere sicuri, controllate tutte le altre opzioni di pagamento che offrite. Ne parleremo tra un attimo.

Lo stesso vale per le agenzie e i liberi professionisti. Qui dovreste controllare il pagamentoPlugins o i fornitori associati utilizzati dai vostri clienti: Hanno cambiato i loro processi con PSD2? Altrimenti cercate estensioni alternative. Informazioni complete si WooCommercetrovano nel nostro e-book di oltre 70 pagine WooCommerce per i professionisti.

Nota

Questo post del blog non è un consiglio legale. Come WordPress hoster abbiamo studiato noi stessi il PSD2. Ma noi non siamo avvocati. Quindi fatevi consigliare da uno studio legale adatto per il diritto online.

Cos'è il PSD2 aka SCA? E di chi si tratta?

A partire dal 14 settembre 2019, le nuove norme UE dovrebbero applicarsi alle operazioni di pagamento: il Seconda direttiva europea sui servizi di pagamentoPSD2 in breve. Ciò include l'obbligo di autenticazione sicura del cliente per le offerte di online banking. In inglese: Strong Customer Authentication (SCA).

L'introduzione delle nuove regole di pagamento su Internet è stata ora anche se posticipata. "Temporaneamente", come si dice. Questo perché le autorità temono che le imprese non siano ancora sufficientemente preparate per la direttiva. Eppure dovreste attuare la direttiva ora o farla attuare. Ne parleremo più tardi.

L'obiettivo principale è quello di rendere più sicuro lo shopping su Internet. A Forte autenticazione del cliente - o anche l'autenticazione a 2 fattori (2FA) - è quindi richiesta per legge. Molte banche hanno già convertito i loro processi e la vostra banca vi ha sicuramente già contattato.

Per i negozi online ciò riguarda soprattutto i pagamenti con carta di credito. Se questi non sono già protetti da una procedura sicura come 3-D Secure o eseguire 3D-S. Ma attenzione: a causa della PSD2, anche in questo caso è necessaria una procedura estesa, chiamata 3D Secure 2.0corto 3DS2.

Finora, i clienti che facevano acquisti spesso avevano bisogno solo del numero di carta di credito e della relativa cifra di controllo per completare un acquisto. In futuro sarà richiesto anche un numero di transazione (TAN), che viene inviato al cellulare o allo smartphone, e una password. Probabilmente conoscete questa procedura dal vostro online banking. Le liste cartacee con i numeri di transazione, in breve iTAN, non saranno più consentite in futuro.

Nota

Gli acquisti in acconto e tramite addebito diretto non sono interessati dalla PSD2. Vedi le spiegazioni del IT-Recht Kanzlei.

Cosa devi sapere come operatore di negozio o professionista del WP?

In futuro, in caso di pagamento con carta di credito o altri servizi (PayPal, Stripe, Amazon Pay, Apple Pay, ecc.) è necessario assicurarsi che venga utilizzata una procedura sicura. Tuttavia, di solito non è necessario implementarlo da soli, i rispettivi fornitori di servizi sono richiesti in questo caso. A meno che non si utilizzi una soluzione molto esotica o fatta in casa. Dovreste farla controllare per PSD2 da uno studio legale specializzato in diritto online.

Tutti i principali fornitori stanno lavorando febbrilmente all'attuazione della nuova direttiva. Verificate con i servizi che utilizzate: Qual è la situazione qui? L'autenticazione è già conforme alla PSD2? Le nuove norme UE stanno finalmente entrando in vigore e il vostro fornitore di servizi non è ancora pronto? Poi si dovrebbe verificare di non offrire l'opzione di pagamento fino a quando non è migliorata.

Ci sono anche modifiche al "bonifico bancario istantaneo". La procedura riceve secondo il fornitore Klarna un'ulteriore fase di autenticazione che deve essere presa in carico dalla rispettiva banca. Dovreste osservare quale servizio di pagamento può essere utilizzato in futuro, e se questo influenzerà il vostro Conversione nel negozio.

Importante

I vostri provider trasmettono attraverso la PSD2 dati diversi rispetto a prima? Oppure integrate nuovi servizi di pagamento? Allora potreste dover cambiare il vostro Testi legali in WooCommerce Adattarsi.

Che ne diteWooCommerce?

I creatori di WooCommerce dedichiamo un il proprio post sul blog. Secondo lei, la maggior parte dei fornitori di servizi di pagamento si affida a 3D Secure 2 per soddisfare i requisiti.

In generale, i servizi appropriati dovrebbero prendere in considerazione almeno due delle tre fasi seguenti per garantire in futuro una "Strong Customer Authentication":

  • Richiesta di informazioni che solo il cliente conosce. Ad esempio la sua password o la risposta a una domanda di sicurezza.
  • L'invio di un'autenticazione ad un "processo controllato dal cliente". Questo può essere un token hardware ad alta voce WooCommerceo una notifica push al vostro smartphone.
  • Utilizzo di un identificatore fisico unico per il cliente. Ad esempio, un'impronta digitale o un Face ID.

Siete interessati ai dettagli? Quanto siano concreti i requisiti, ad esempio se la risposta a una domanda di sicurezza sia sufficiente, è stabilito dai trattati UE. Vedi il ultima edizione sugli "Standard normativi per l'autenticazione forte del cliente".

A seconda dello stato dell'arte - e delle tecniche più suscettibili di essere sfruttate dagli hacker - ci possono essere alcuni aggiustamenti da effettuare a medio e lungo termine. La lotta per una maggiore sicurezza è sempre come un gioco per il gatto e il topo.

Quali sono le possibilità di integrazione?

WooCommerce nomina alcuni provider o i loro WordPress -Plugins, che dovrebbero essere "PSD2 ready" già ora. Abbiamo collegato qui le estensioni per voi:

Utilizzate altri metodi e reti di pagamento oltre a quelli qui menzionati? Chiedete ai rispettivi sviluppatori se e quando verrà implementato PSD2. Se questo non è il caso, allora dovreste cercare un'alternativa Plugino un servizio.

Apprezziamo il vostro feedback

Avete già contattato il vostro fornitore? O hai una Plugindritta per noi? Condividi le tue esperienze nei commenti.

Le regole della PSD2 valgono anche per i pagamenti nel modello di abbonamento. Ad esempio, se si utilizza il Plugin WooCommerce Subscriptions lavorare per consentire i pagamenti ricorrenti.

La PSD2 o SCA si applica anche ai trader al di fuori dell'UE?

Non dipende necessariamente dalla sede legale dei concessionari. Questo è WooCommerceabbastanza chiaro:

La SCA si applica anche se la banca acquirente o l'elaboratore acquirente si trova nello Spazio economico europeo (SEE) e lo strumento di pagamento del cliente è stato emesso nel SEE.

Lo Spazio economico europeo comprende tutti gli Stati membri dell'Unione europea più Islanda, Liechtenstein e Norvegia. Un esercente all'estero deve quindi lavorare completamente con i fornitori di servizi, le banche e i clienti nazionali, in modo da non essere influenzato dalla PSD2 o dalla Strong Customer Authentication. Questo è uno dei motivi per cui i prestatori di servizi di pagamento internazionali hanno tanta fretta di soddisfare i requisiti. L'appello europeo per una maggiore sicurezza in rete ha implicazioni globali.

Il TAN via SMS rimarrà consentito?

Contemporaneamente a PSD2 si è sviluppata una discussione a margine nei circoli di esperti su quanto sia ancora sicuro il TAN via SMS (chiamato anche mTAN). Vedi l'articolo Online banking e PSD2 su heise.com. Perché ultimamente il numero di segnalazioni di tentativi di attacco in cui viene rilevato il cellulare o lo smartphone della vittima è in aumento. Ad esempio tramite mail di phishing o app manipolate.

Ufficio federale per la sicurezza dell'informazione (BSI) scrive di questo:

Sebbene la procedura mTan sia pratica e di facile utilizzo, purtroppo comporta anche alcuni rischi. In determinate circostanze, i criminali possono intercettare o reindirizzare i messaggi SMS inviati per l'autenticazione ... La BSI raccomanda pertanto di non utilizzare le procedure mTAN.

Nell'ambito di PSD2, l'mTAN deve rimanere consentito fino ad ora. Tuttavia, le banche sono già alla ricerca di alternative. Heise nomi pushTAN, chipTAN, photoTAN, appTAN e signatureTAN.

Cosa deve fare il PSD2?

La direttiva non mira solo a rendere più sicuro il traffico dei pagamenti (online). Gli iniziatori sperano anche che la concorrenza sul mercato diventi più forte. La italiani bank lo formula nella sua Informazioni sulla PSD2 come segue:

I consumatori non hanno bisogno di accedere al sistema bancario online della loro banca quando fanno acquisti su Internet, ad esempio, ma possono ordinare il bonifico tramite un servizio di avvio del pagamento offerto sul sito web del commerciante.

Continua:

La PSD2 disciplina l'accesso di questi "prestatori di servizi di pagamento terzi" ai conti di pagamento presso i prestatori di servizi di pagamento titolari del conto. Tuttavia, l'accesso è concesso a questi fornitori solo se l'utente, in qualità di titolare del conto, lo accetta esplicitamente.

In futuro ci saranno quindi molti più operatori sul mercato dei pagamenti online. Le banche e gli istituti di credito stanno perdendo potere. Il coinvolgimento di "prestatori di servizi di pagamento terzi" - che sono, tuttavia, sotto la supervisione e il controllo delle autorità nazionali di vigilanza - consentirà lo sviluppo di servizi e idee commerciali completamente nuovi. In Germania, questa autorità di vigilanza è il Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).

Eccezioni alla PSD2

Diversi media e banche riferiscono di casi eccezionali in cui i prestatori di servizi di pagamento possono rinunciare a un'autenticazione forte del cliente. Ad esempio, per le "operazioni di pagamento elettronico a distanza" è previsto un limite di 30 euro. Al di sotto di questa soglia, l'autenticazione bidirezionale non è necessariamente richiesta. Ulteriori informazioni si trovano nel post del blog PSD2 e SCA dello studio legale Wilde Beuger Solmecke.

Il sito BaFin stessa menziona una soglia di 50 euro, ma per i pagamenti con carta senza contatto Per i pagamenti con carta su Internet, si esprime in modo più vago. I prestatori di servizi di pagamento potrebbero effettuare qui una cosiddetta analisi del rischio di transazione. Questo è ciò che dice l'Agenzia Federale:

Ogni pagamento in entrata viene controllato automaticamente per determinare se il rischio di frode è basso ... Se le informazioni di pagamento a disposizione del prestatore di servizi di pagamento danno l'impressione di un aumento del rischio di frode, egli deve effettuare un'autenticazione forte del cliente.

Le indicazioni di un aumento del rischio di frode dovrebbero, ad esempio, essere una deviazione dai modelli di comportamento abituali del cliente. O una somiglianza con i modelli di frode conosciuti. Per il B2B sono previsti anche i relativi rilasci. E ci deve essere una whitelist sulla quale una banca possa classificare i propri clienti aziendali come beneficiari affidabili.

Tuttavia, voi, in quanto gestori di negozi, di solito non dovete preoccuparvi di tali limiti, se è coinvolto un fornitore di servizi.

Altre fonti

Volete saperne di più su PSD2 alias SCA? Qui troverete articoli tecnici adatti per utenti e sviluppatori:

Troverai ulteriori suggerimenti su WooCommerce nel nostro ebook di oltre 70 pagine WooCommerce per professionisti: negozi online con WordPress. Si rivolge a liberi professionisti, agenzie, professionisti di WP ma anche ai principianti.

Avete domande su PSD2 e WooCommerce? Sentitevi liberi di usare la funzione di commento. Volete altri consigli su WordPress & WooCommerce? Allora seguiteci Twitter, Facebook o nella nostra Newsletter.

Immagine: William Iven

Michael si occupa RAIDBOXES dei contenuti e della salute mentale. È attivo nella blogger e nella WordPress comunità dal 2007. Tra le altre cose come co-organizzatore di WordPress eventi, autore di libri e formatore di blog aziendali. Ama bloggare in modo incredibile, professionalmente ma anche privatamente. Michael lavora e scrive da remoto dalla soleggiata Friburgo.

Articoli correlati

Commenti su questo articolo

Scrivi un commento

Il tuo indirizzo mail non sarà pubblicato. I campi obbligatori sono contrassegnati con * marcato.