Dal completo recepimento della direttiva europea DSP2, l’autenticazione forte (SCA) è diventata la norma per i pagamenti online con carta di credito in Europa. La maggior parte delle transazioni passa attraverso il protocollo 3D Secure 2.0, che verifica l’identità del titolare della carta prima di convalidare l’acquisto.
Alcuni siti continuano a elaborare pagamenti senza questa verifica, facendo affidamento su meccanismi di esenzione previsti dalla normativa. La questione della sostenibilità di questo approccio si pone con particolare urgenza nel 2025.
Leggi anche : I migliori siti per scaricare contenuti nel 2023: dove andare?
Esenzioni DSP2 e transazioni senza 3D Secure: il meccanismo dietro la deroga
La DSP2 non impone l’autenticazione forte per ogni transazione. Il regolamento prevede diversi casi di esenzione che i fornitori di servizi di pagamento (PSP) possono invocare per consentire un pagamento senza verifica bancaria.
Le esenzioni più utilizzate riguardano le transazioni definite “low-value” (importi bassi, generalmente sotto una soglia definita dal PSP) e le operazioni considerate “low-risk” dall’analisi del rischio in tempo reale (TRA) del fornitore. Un PSP il cui tasso di frode rimane sotto determinati livelli può richiedere che le sue transazioni siano esentate dall’autenticazione forte.
Lettura complementare : Consigli naturali per regolare i livelli di gamma GT nel corpo
- Le transazioni ricorrenti dopo una prima autenticazione riuscita possono essere elaborate senza 3D Secure nei pagamenti successivi.
- Le operazioni di basso importo beneficiano di un’esenzione automatica, ma un accumulo di transazioni successive attiva una nuova verifica.
- L’analisi del rischio in tempo reale (TRA) consente al PSP di valutare ogni operazione e decidere se l’esenzione si applica, a condizione che il suo tasso di frode rimanga conforme ai limiti normativi.
Per i commercianti che consultano una lista di siti senza verifica bancaria 2025, queste esenzioni spiegano perché alcune piattaforme possono ancora funzionare senza autenticazione visibile. Il pagamento va a buon fine, ma la responsabilità in caso di frode cambia di mano.
Chargeback e responsabilità finanziaria: cosa assume il commerciante senza autenticazione forte
Il trasferimento di responsabilità (liability shift) rappresenta il rischio finanziario più diretto. Quando un pagamento è autenticato tramite 3D Secure, la banca emittente assume la responsabilità in caso di contestazione fraudolenta. Senza questa autenticazione, il commerciante sostiene da solo il costo del chargeback.
L’Osservatorio della Sicurezza dei Mezzi di Pagamento (OSMP) ha segnalato nel suo rapporto pubblicato a marzo 2025 un aumento significativo dei chargeback sui siti europei che non ricorrono al 3D Secure. I contenziosi dei consumatori si moltiplicano e la tendenza accelera.
Per un sito ad alto volume, questa esposizione può rappresentare un costo considerevole. Ogni contestazione genera non solo il rimborso dell’importo, ma anche spese di gestione addebitate dal PSP. Oltre a un certo tasso di chargeback, le reti di carte (Visa, Mastercard) pongono il commerciante in un programma di monitoraggio che comporta penalità aggiuntive, fino alla risoluzione del contratto di accettazione.
Secteurs les plus exposés au blocage bancaire
Le banche francesi hanno rafforzato i loro filtri automatici sulle transazioni non autenticate. Secondo i feedback sul campo riportati da TF1 Info alla fine del 2025, i blocchi automatici colpiscono in priorità i settori ad alto rischio come il gaming. Un commerciante in questi settori che non attiva il 3D Secure vede una quota crescente delle sue transazioni rifiutate prima ancora di raggiungere la fase di pagamento.
Dipendenza dalle esenzioni low-risk: una fragilità strutturale per gli e-commercianti
Costruire un modello di pagamento attorno alle esenzioni DSP2 equivale a scommettere sulla stabilità del proprio tasso di frode. Il meccanismo funziona finché gli indicatori rimangono nei limiti. Non appena si verifica un picco di frode, il PSP perde la capacità di invocare l’esenzione TRA e tutte le transazioni del commerciante tornano all’autenticazione forte.
Questo passaggio può essere brusco. Un sito abituato a un percorso di pagamento fluido (senza fase di autenticazione) vede improvvisamente aumentare il proprio tasso di abbandono del carrello, perché i suoi clienti non erano mai stati confrontati con la verifica. L’adattamento non è immediato: le pagine di pagamento, i tunnel di conversione e persino la comunicazione con i clienti devono essere ripensati.
Il Giappone illustra la direzione intrapresa dai regolatori. Dal aprile 2025, il 3D Secure 2.0 è diventato obbligatorio per tutti i siti e-commerce giapponesi, come dettagliato da Stripe nella sua documentazione aggiornata. Le piattaforme che non avevano integrato il protocollo si sono trovate con pagamenti con carta bloccati da un giorno all’altro. I dati disponibili non consentono di concludere che l’Europa adotterà un calendario identico, ma la convergenza normativa va in questa direzione.
Frode tramite ingegneria sociale e limiti dei filtri senza autenticazione
Le tecniche di frode evolvono più rapidamente dei filtri statistici. L’analisi del rischio in tempo reale si basa su modelli che valutano il comportamento dell’acquirente (dispositivo utilizzato, geolocalizzazione, storico). Questi modelli rilevano bene gli schemi noti, ma faticano di fronte agli attacchi di ingegneria sociale in cui il titolare della carta viene manipolato per effettuare lui stesso l’acquisto.
In questo caso, l’analisi TRA non rileva alcuna anomalia poiché il comportamento è quello del vero titolare. Il pagamento va a buon fine senza autenticazione, il truffatore recupera il bene o il servizio, e il consumatore contesta poi la transazione presso la propria banca. Il commerciante, senza prova di autenticazione forte, perde sistematicamente il contenzioso.
Tokenizzazione e alternative: complementi, non sostituti
Alcuni commercianti compensano l’assenza di 3D Secure con altri livelli di sicurezza: tokenizzazione dei dati della carta, scoring comportamentale rinforzato, verifica dell’indirizzo (AVS). Questi strumenti riducono alcuni vettori di frode, ma nessuno sostituisce il trasferimento di responsabilità offerto dall’autenticazione forte.
La tokenizzazione protegge i dati memorizzati dalle perdite. Lo scoring affina la rilevazione. L’AVS confronta l’indirizzo di fatturazione. Nessuno di questi metodi dimostra che il titolare della carta ha convalidato la transazione, che rimane il criterio determinante in caso di contenzioso.
Il quadro normativo europeo continua a stringersi attorno all’autenticazione forte. La DSP3, attualmente in fase di finalizzazione, dovrebbe estendere l’ambito della SCA e ridurre i margini delle esenzioni attuali. Per un e-commerciante che ha costruito il proprio tunnel di pagamento sull’assenza di verifica, ogni evoluzione normativa rappresenta un rischio operativo diretto. Integrare il 3D Secure 2.0 fin da ora, anche per le transazioni idonee a un’esenzione, rimane la strategia meno costosa a medio termine.