Gestisci negozi online con WordPress? Oppure li imposti tu per i tuoi clienti? Allora dovresti conoscere la "Seconda Direttiva Europea sui Servizi di Pagamento", meglio nota come PSD2. Il documento prescrive nuove procedure per l'autenticazione del cliente nel processo di pagamento. Ti elenchiamo le raccomandazioni e i plugin più importanti per WooCommerce. tl;dr - non farti prendere dal panico.

Di norma, la PSD2 entra in gioco per te come proprietario di un negozio quando i tuoi clienti pagano con carta di credito. E anche in questo caso, il vostro fornitore di servizi è responsabile. Dovete solo assicurarvi che siano già conformi alla PSD2. Per essere sicuri, controllate anche tutte le altre opzioni di pagamento che offrite. Più su questo tra un momento.

Lo stesso vale per le agenzie e i freelance. Qui dovreste controllare il pagamentoplugin o i fornitori associati che sono usati dai tuoi clienti: Hanno convertito i loro processi alla PSD2? In caso contrario, tenete d'occhio le estensioni alternative. Puoi trovare informazioni complete su WooCommerce nel nostro e-book di 70+ pagine WooCommerce per i professionisti.

Che cos'è la PSD2, alias SCA?

Le nuove regole dell'UE per le operazioni di pagamento dovrebbero essere applicate dal 14 settembre 2019: la seconda direttiva europea sui servizi di pagamento, o PSD2 in breve. Questo include l'obbligo di autenticazione sicura del cliente per le offerte bancarie online. In inglese: Strong Customer Authentication (SCA).

L'introduzione delle nuove regole di pagamento su internet è stata rinviata. "Temporaneamente", come si suol dire. Perché le autorità temono che le aziende non siano ancora sufficientemente preparate alla direttiva. Eppure dovresti già implementare o far implementare la direttiva. Maggiori informazioni in seguito.

In sostanza, si tratta di rendere lo shopping su Internet più sicuro. L'autenticazione forte del cliente - o autenticazione a 2 fattori (2FA) - è quindi richiesta dalla legge. Molte banche hanno già cambiato i loro processi, e la vostra banca vi ha sicuramente già contattato.

Nei negozi online, questo riguarda soprattutto i pagamenti con carta di credito. A meno che non stiano già usando una procedura sicura come 3-D Secure o 3D-S. Ma attenzione: a causa della PSD2, anche qui è richiesta una procedura estesa, chiamata 3D Secure 2.0, o 3DS2 in breve.

Fino ad ora, i clienti dello shopping avevano spesso bisogno solo del loro numero di carta di credito e della cifra di controllo corrispondente per completare un acquisto. In futuro, saranno richiesti anche un numero di transazione (TAN), che viene inviato al telefono cellulare o allo smartphone, e una password. Sicuramente conoscete questa procedura dal vostro online banking. Le liste cartacee con numeri di transazione, iTAN in breve, non saranno più consentite in futuro.

Cosa devi sapere?

In futuro, è necessario assicurarsi che venga utilizzata una procedura sicura quando si paga con carta di credito o altri servizi (PayPal, Stripe, Amazon Pay, Apple Pay, ecc.). Tuttavia, di solito non dovete implementare questo da soli; questo è il lavoro dei rispettivi fornitori di servizi. A meno che non usiate una soluzione molto esotica o autocostruita. Dovresti farlo controllare da uno studio legale adatto, specializzato in diritto online per quanto riguarda la PSD2.

Tutti i principali fornitori stanno lavorando febbrilmente per implementare la nuova politica. Controlla con i servizi che usi: Qual è la situazione qui? L'autenticazione è già conforme alla PSD2? Le nuove regole dell'UE stanno finalmente entrando in vigore e il tuo fornitore di servizi non è ancora pronto? Allora dovreste considerare di non offrire l'opzione di pagamento fino a quando non saranno stati fatti dei miglioramenti.

Ci sono anche modifiche alla "Sofortüberweisung". Secondo il fornitore Klarna, la procedura riceverà un'ulteriore fase di autenticazione che sarà gestita dalla rispettiva banca. Dovresti osservare quale servizio di pagamento può essere utilizzato in futuro e in che modo, e se questo ha un impatto sulla tua conversione nel negozio.

Cosa dice WooCommerce ?

I creatori di WooCommerce dedicare un post separato del blog all'argomento. Secondo loro, la maggior parte dei fornitori di servizi di pagamento si basa su 3D Secure 2 per soddisfare i requisiti.

In generale, i servizi adatti in futuro dovranno tenere conto di almeno due delle tre fasi seguenti per garantire la "Strong Customer Authentication":

• Richiedere informazioni che solo il cliente conosce. Per esempio, la sua password o la risposta a una domanda di sicurezza.
• Invio di un'autenticazione a un "processo controllato dal cliente". Secondo WooCommerce , questo può essere un token hardware o una notifica push allo smartphone.
• Utilizzo di un identificativo fisico unico per il cliente. Ad esempio, l'impronta digitale o il Face ID.

Ti interessano i dettagli esatti? I trattati dell'UE stabiliscono i requisiti specifici, ovvero se la risposta a una domanda di sicurezza è sufficiente. Consulta la versione attuale degli "Standard normativi per l'autenticazione forte dei clienti".

A seconda dello stato dell'arte - e dei metodi che hanno maggiori probabilità di essere sfruttati dagli hacker - probabilmente ci saranno degli aggiustamenti nel medio e lungo termine. La lotta per una maggiore sicurezza assomiglia sempre a un gioco del gatto e del topo.

Possibilità di integrazione

WooCommerce nomina alcuni fornitori e i loro plugin per WordPress che sono già "pronti per la PSD2". Abbiamo linkato le estensioni qui per te:

• Stripe WooCommerce Plugin.
• Amazon Pay per WooCommerce.
• Global Payments Gateway (per i pagamenti con carta di credito e attivo principalmente nel Regno Unito).
• PayPal tramite il gateway di pagamento Braintree per WooCommerce. Per altri PayPal-plugin si dovrebbe contattare il fornitore se PSD2 è già supportato come processo.
• Sage Pay

Usate altri metodi e reti di pagamento oltre a quelli menzionati qui? Chiedete ai rispettivi sviluppatori se e quando la PSD2 sarà implementata. Se questo non è il caso, allora dovreste cercare un'alternativa Plugin o un servizio.

Le regole della PSD2 si applicano anche ai pagamenti nel modello di abbonamento. Per esempio, se si lavora con Plugin WooCommerce Subscriptions per abilitare i pagamenti ricorrenti.

La PSD2 o l'SCA si applicano anche ai commercianti al di fuori dell'UE?

Non dipende necessariamente dalla sede dei concessionari. Qui WooCommerce si esprime molto chiaramente:

Il CSA si applica anche se la banca acquirente o l'elaboratore si trova nello Spazio Economico Europeo (SEE) e lo strumento di pagamento del cliente è stato emesso nel SEE.

Lo Spazio economico europeo comprende tutti gli stati membri dell'Unione europea, nonché Islanda, Liechtenstein e Norvegia. Quindi un commerciante all'estero deve lavorare interamente con i fornitori di servizi nazionali, le banche e i clienti per evitare di essere colpito dalla PSD2 o dalla Strong Customer Authentication. Questo, tra le altre ragioni, è il motivo per cui i fornitori di servizi di pagamento internazionali hanno tanta fretta di conformarsi. L'appello europeo per una maggiore sicurezza online ha implicazioni globali.

Le TAN via SMS rimarranno consentite?

Contemporaneamente alla PSD2, nei circoli specializzati si è sviluppata una discussione collaterale su quanto sia ancora sicuro il TAN via SMS (noto anche come mTAN). Vedi l'articolo Online banking e PSD2 su heise.de. Recentemente, ci sono stati un numero crescente di rapporti di tentativi di attacchi in cui il telefono cellulare o lo smartphone della vittima viene preso in consegna. Per esempio, tramite e-mail di phishing o app manipolate.

L'Ufficio Federale per la Sicurezza Informatica (BSI) scrive a questo proposito:

Anche se la procedura mTan è pratica e facile da usare, purtroppo nasconde anche alcuni rischi. In determinate circostanze, i criminali possono intercettare o reindirizzare i messaggi SMS inviati per l'autenticazione ... Il BSI raccomanda quindi di non utilizzare procedure mTAN.

Nell'ambito della PSD2, l'mTAN rimarrà consentito fino ad ora. Tuttavia, le banche stanno già cercando delle alternative. Heise cita pushTAN, chipTAN, photoTAN, appTAN e signaturTAN.

Quali sono gli obiettivi della PSD2?

La direttiva non mira solo a rendere più sicure le transazioni di pagamento (online). I promotori sperano anche che la concorrenza sul mercato si rafforzi. La italiani Bundesbank lo mette come segue nelle sue informazioni sulla PSD2:

Per esempio, i consumatori non devono accedere al sistema bancario online del loro istituto di credito quando fanno un acquisto su Internet, ma possono avviare il trasferimento tramite un servizio di avvio del pagamento offerto sul sito web del commerciante.

Vai avanti:

La PSD2 regolamenta l'accesso di questi "prestatori di servizi di pagamento terzi" ai conti di pagamento dei prestatori di servizi di pagamento titolari dei conti. Tuttavia, l'accesso a questi fornitori viene concesso solo se il titolare dell'account acconsente esplicitamente.

In futuro ci saranno molti altri operatori nel mercato dei pagamenti online. Le banche e gli istituti di credito stanno perdendo potere. L'integrazione di "fornitori di servizi di pagamento terzi" - che sono comunque sotto la supervisione e il controllo delle autorità di vigilanza nazionali - consente lo sviluppo di servizi e idee commerciali completamente nuovi. In Germania, questa autorità di vigilanza è l'Autorità federale di vigilanza finanziaria (BaFin).

Eccezioni alla PSD2

Diversi media e banche riportano casi eccezionali in cui i fornitori di servizi di pagamento possono fare a meno di un'autenticazione forte del cliente. Ad esempio, viene indicato un limite di 30 euro per le "transazioni elettroniche di pagamento a distanza". Al di sotto di questa soglia, l'autenticazione bidirezionale non è necessariamente richiesta. Per maggiori informazioni, consulta il post PSD2 e SCA dello studio legale Wilde Beuger Solmecke.

La BaFin stessa menziona una soglia di 50 euro, ma per i pagamenti con carta senza contatto. Per i pagamenti con carta su Internet, si esprime più vagamente. I fornitori di servizi di pagamento potrebbero effettuare qui una cosiddetta analisi del rischio di transazione. L'agenzia federale dice:

Ogni pagamento in arrivo è automaticamente controllato per determinare se il rischio di frode è basso ... Se le informazioni di pagamento disponibili per il prestatore di servizi di pagamento danno l'impressione di un aumento del rischio di frode, il prestatore di servizi di pagamento deve effettuare una forte autenticazione del cliente.

Le indicazioni di un aumento del rischio di frode dovrebbero essere, per esempio, una deviazione dai modelli di comportamento abituali del cliente. O una somiglianza con modelli di frode noti. Rilassamenti corrispondenti sono previsti anche nel B2B. E ci deve essere una whitelist in cui una banca può classificare i tuoi clienti aziendali come destinatari di pagamento affidabili.

Tuttavia, come gestore di un negozio di solito non devi occuparti di tali limiti da solo, a condizione che si interponga un fornitore di servizi.

Altre fonti

Vuoi saperne di più sulla PSD2 alias SCA? Ecco gli articoli adatti agli utenti e agli sviluppatori:

• Il regolamento della Commissione europea
• Il blogpost di WooCommerce
• Possibilità tecniche di autenticazione a due fattori
• Direttiva sui servizi di pagamento PSD2: concesso un periodo di transizione nell'e-commerce
• Bundesbank: PSD2 per consumatori e commercianti
• WebPunks: Nuova direttiva UE per i negozi online
• La PSD2 spiegata in 3 minuti

Puoi trovare altri consigli su WooCommerce nel nostro e-book di 70+ pagine WooCommerce per i professionisti: Negozi online con WordPress . Si rivolge a freelance, agenzie, professionisti WP, ma anche a principianti.

Foto contributo: William Iven