La direttiva DSP2 impone l’autenticazione forte sui pagamenti online nello Spazio economico europeo. Tuttavia, nel 2025, una proporzione non trascurabile di transazioni con carta di credito avviene ancora senza alcuna sfida 3D Secure visibile per il titolare. Comprendere perché e in quali condizioni richiede di distinguere le esenzioni legittime dalle vere violazioni di conformità.
Esenzioni DSP2 e analisi del rischio di transazione: il meccanismo tecnico dietro i pagamenti senza 3D Secure
Un sito che accetta un pagamento con carta senza visualizzare una pagina di autenticazione non si trova necessariamente al di fuori della legge. I PSP (fornitori di servizi di pagamento) dispongono di leve normative previste dalla stessa DSP2 per eludere la sfida.
Lettura complementare : Quali sono i motivi per acquistare il tapis roulant ISE SY-1001?
Il più utilizzato rimane l’analisi del rischio di transazione (TRA), un’analisi del rischio in tempo reale effettuata dall’acquirente o dall’emittente. Se il tasso di frode del PSP rimane al di sotto delle soglie definite dagli RTS (Regulatory Technical Standards), può richiedere un’esenzione per importi limitati. Risultato: il titolare non vede alcuno schermo 3D Secure, ma la transazione rimane coperta da un quadro legale.
Altre esenzioni frequenti:
Consigliato : Quali soluzioni per gli orari del tram a Grenoble di notte e presto al mattino?
- Le transazioni di importo ridotto, generalmente al di sotto di una soglia cumulativa, purché il numero di operazioni consecutive senza autenticazione non superi il limite fissato dalla banca emittente.
- I pagamenti ricorrenti (abbonamenti): solo la prima transazione richiede un’autenticazione forte, le successive ne sono esenti.
- I beneficiari fidati (trusted beneficiaries): il titolare può iscrivere un commerciante su una lista bianca presso la propria banca, eliminando la sfida per gli acquisti successivi.
- Le transazioni avviate dal commerciante (MIT), tipicamente gli addebiti su carta registrata, che sfuggono al perimetro della SCA.
Osserviamo che la maggior parte dei siti presentati come “senza 3D Secure” sfrutta in realtà una di queste esenzioni. Consultare una lista di siti senza 3D Secure nel 2025 permette di misurare l’ampiezza del fenomeno, ma il distinguere tra esenzione legittima e non conformità reale richiede una lettura tecnica.
Responsabilità in caso di frode su un pagamento senza autenticazione forte
Senze autenticazione forte e senza un’esenzione valida, la responsabilità della frode ricade sul PSP, non sul titolare della carta. La Banca di Francia, nell’ambito dell’Osservatorio della sicurezza dei mezzi di pagamento (rapporto 2024), ricorda questa ripartizione.
Concretamente, se un commerciante fa transitare un pagamento senza SCA mentre nessuna esenzione si applica, è la banca del pagatore (o l’acquirente, a seconda dell’accordo) a sostenere il rischio di chargeback. Il titolare frodato ha diritto a un rimborso quasi automatico.
Per il commerciante, l’impatto è indiretto ma reale. Le reti Visa e Mastercard applicano programmi di monitoraggio ai commercianti il cui tasso di chargeback supera determinate soglie. Un volume anomalo di contestazioni su transazioni non autenticate può comportare:
- Un aumento delle commissioni di interscambio applicate dall’acquirente.
- Un collocamento in programma di monitoraggio con obbligo di piano correttivo.
- Nei casi estremi, una risoluzione del contratto di acquisizione carta.
Il trasferimento di responsabilità (liability shift) rimane il punto strutturante. Con 3D Secure attivato e una sfida riuscita, la responsabilità passa all’emittente. Senza 3D Secure, rimane a carico dell’acquirente o del commerciante, salvo esenzione documentata.
Controlli normativi e inasprimento previsto con la DSP3
L’Autorità bancaria europea (ABE) ha intensificato i suoi controlli sui PSP che abusano delle esenzioni TRA. Raccomandiamo ai commercianti di verificare che il loro fornitore di pagamento documenti ogni esenzione utilizzata, poiché i regolatori europei mirano ora agli attori a bassa frizione i cui tassi di esenzione sembrano sproporzionati.
Le piattaforme situate al di fuori dell’EEE pongono un problema distinto. Un sito basato al di fuori dell’Unione non è direttamente soggetto alla DSP2, ma l’emittente europeo della carta del titolare è comunque tenuto ad applicare la SCA. In pratica, alcuni acquirenti extra-europei non attivano il protocollo, il che spiega perché alcuni siti internazionali accettano ancora pagamenti senza alcuna verifica.
La futura DSP3, i cui lavori legislativi sono in corso, prevede di restringere il quadro. Tra le orientamenti discussi: un’armonizzazione più rigorosa dell’applicazione delle esenzioni, un inasprimento del controllo delle transazioni transfrontaliere al di fuori dell’EEE, e un’estensione del perimetro ai nuovi mezzi di pagamento (wallet, pagamenti tramite link).
Punti di attenzione per i titolari di carta su siti senza 3D Secure
L’assenza di 3D Secure su un sito commerciale non è di per sé un segnale di frode. Tuttavia, modifica il profilo di rischio della transazione. Un acquisto effettuato senza autenticazione forte su un sito sconosciuto accumula due fattori di vulnerabilità: nessuna verifica dell’identità lato pagamento e nessuna garanzia sulla affidabilità del commerciante.
La carta virtuale a uso unico rimane la soluzione più efficace per gli acquisti su piattaforme senza autenticazione. La maggior parte delle banche francesi offre questo servizio, che limita l’esposizione in caso di compromissione dei dati della carta.
Altro riflesso: verificare che il commerciante appaia sulla lista dei beneficiari fidati del proprio spazio bancario. Se non è così e il pagamento passa senza sfida, è probabilmente un’esenzione TRA applicata dal PSP. Il titolare conserva il diritto al rimborso in caso di operazione non autorizzata, che il 3D Secure sia stato attivato o meno.
La scomparsa progressiva dei siti realmente non conformi è una tendenza di fondo. I commercianti che eludono volontariamente la SCA senza una base legale si espongono a sanzioni crescenti, e gli emittenti inaspriscono le loro regole di filtraggio. Entro l’entrata in vigore della DSP3, il numero di transazioni senza alcuna forma di autenticazione dovrebbe diminuire significativamente.