Il boom dell’ecommerce porta molte imprese a chiedersi: i pagamenti online sono sicuri? La risposta breve è sì, ma solo se si adottano misure di sicurezza.

Mentre nell’ultimo anno i consumatori hanno subìto maggiori perdite a causa di truffe e frodi – ad esempio tramite furto di identità, vendita di falsi investimenti e così via – gli esercenti sono riusciti a ridurre le perdite legate ai sistemi di pagamento online.

Dal report di UK Finance emerge che nelle frodi di tipo CNP (card-not-present) – in cui i dati rubati di una carta di pagamento vengono utilizzati online o da remoto per effettuare acquisti – la somma totale del denaro sottratto illecitamente è diminuito del 6% nella prima metà del 2020. Al contrario, il numero di casi è aumentato del 5%. Ciò vuol dire che le società emittenti di carte riescono ad identificare e bloccare meglio che in passato le transazioni fraudolente.

I dati suggeriscono che le frodi tramite acquisti online sono alimentate soprattutto dall’uso di informazioni ricavate tramite phishing (via e-mail), data breach, frodi via SMS e ulteriori modalità di appropriazione indebita di informazioni.

In ogni caso, le perdite causate da frodi online sono evitabili – se sappiamo cosa fare. I controlli di sicurezza sono diversi per il titolare di carta di credito e per il negozio online:

  • I consumatori devono individuare campanelli d’allarme specifici per intuire la pericolosità della transazione, e devono farlo prima di comunicare i dati della loro carta.

  • Gli esercenti devono prestare attenzione ai protocolli di sicurezza applicati al loro sistema di pagamento.

Tra i campanelli d’allarme per i consumatori compaiono pagine web non sicure, richieste anomale (tramite e-mail o messaggi) di informazioni personali o relative alla carta di credito.

I commercianti devono invece assicurarsi che sia l’effettivo titolare della carta di credito ad effettuare l’acquisto. Se viene utilizzata una carta di credito in maniera fraudolenta per un acquisto sul nostro sito ecommerce, la transazione verrà bloccata o riaddebitata all’esercente – e nel frattempo avremo già spedito la merce.

Con un buon sistema di sicurezza, le transazioni sospette vengono individuate fin da subito, evitando la perdita. Diamo un’occhiata a cosa può fare un esercente per prevenire frodi e adottare un sistema di pagamento online sicuro.

3-D Secure

3D Secure è un protocollo di sicurezza che richiede uno step aggiuntivo di verifica nel corso della transazione online. Il protocollo può assumere diversi nomi a seconda della carta di pagamento utilizzata dal cliente:

  • Visa: Secured by Visa
  • Mastercard: Identity Check (in passato, SecureCode)
  • American Express: SafeKey
  • Discover: ProtectBuy
  • JCB: J/Secure

“3D” fa riferimento ai tre domini che interagiscono durante il controllo: 1) dominio dell’acquirer (lato esercente), 2) dominio dell’issuer (banca del cliente), 3) dominio di interoperabilità (software del circuito che autorizza l’autenticazione). L’intera procedura richiede qualche secondo.

La Payment Services Directive 2 (PSD2) ha aperto la strada per una seconda versione del protocollo, più efficiente e sicura. Nell’Unione Europea, l’uso della cosiddetta autenticazione forte del cliente (Strong Customer Authentication) – come per l’appunto è la seconda versione del 3D Secure – è oggi un requisito per effettuare transazioni online.

Versioni precedenti del protocollo non proteggono pienamente dagli attacchi phishing, poiché chi entra in possesso di tutti i dati relativi al metodo di pagamento può eseguire la transazione senza incorrere in ostacoli.

Immagine: Stripe

L'autenticazione forte richiede diversi passaggi di verifica

Autenticazione forte (SCA) impiegata per un acquisto online.

La Versione 2 del 3D Secure non reindirizza più su una pagina web esterna che richiede di digitare le stesse informazioni, ad esempio una password. Al contrario, invia i dati della transazione alla banca del cliente; quest’ultima determina il livello di rischio e, se elevato, richiederà un ulteriore passaggio di autenticazione – ad esempio immissione di una password temporanea (OTP) ricevuta via SMS oppure riconoscimento biometrico (impronta digitale, riconoscimento facciale).

Questa versione semplificata del 3D Secure è inoltre più rassicurante per il consumatore, il quale, non finendo su una pagina web esterna, non mette in dubbio l’affidabilità del negozio online.

Leggi anche:
Accettare pagamenti senza contatto diretto con il cliente

Sistema di verifica degli indirizzi (AVS)

Il sistema di verifica degli indirizzi – in inglese, Address Verification Service (AVS) – è più comune in paesi come il Canada, gli Stati Uniti e il Regno Unito. Consiste nell’uso di parte dell’indirizzo di fatturazione del titolare della carta nella fase di verifica da parte dell’issuer. Se i dettagli corrispondono, l’AVS conferma la transazione.

Immagine: Worldpay

Pagina di pagamento offerta dal gestore WorldPay

Checkout Worldpay con richiesta di indirizzo.

Ci sono in realtà due versioni di AVS. La verifica automatizzata (automated verification) è adatta per i pagamenti online eseguiti dal titolare della carta. Viene richiesto al consumatore di inserire il codice postale e l’indirizzo registrati anche per il conto corrente. Se i dati non coincidono, la transazione non viene eseguita.

La verifica manuale (manual verification) è indirizzata invece ai pagamenti in presenza. Il cassiere controlla l’indirizzo su un documento e chiede conferma alla banca del cliente.

La verifica dell’indirizzo viene spesso utilizzata insieme a quella del CVV2, il codice a 3 o 4 cifre riportato solitamente sul retro della carta di pagamento, nel campo della firma del titolare, e in alcuni casi sul fronte. Ricordiamo tuttavia che l’Address Verification System non è diffuso in Italia.

Conformità PCI-DSS

Il Payment Card Industry Data Security Standard (PCI-DSS) è lo standard internazionale di sicurezza implementato da Visa, MasterCard e altri player del settore dei pagamenti. Serve a prevenire frodi causate dalla fuoriuscita di dati (data breach) dagli archivi delle aziende. Si rivolge a qualsiasi impresa che trasmette, riceve o conserva dati sensibili relativi a metodi di pagamento.

Per adeguarsi allo standard, ogni impresa deve comunicare periodicamente tramite compilazione di un modulo le modalità di gestione dei dati delle carte di pagamento. Alcune procedure devono essere rispettate affinché vi sia una concreta protezione dei dati.

La conformità PCI-DSS è essenziale soprattutto per le transazioni da remoto (cosiddette a distanza), eseguite con terminale virtuale, in cui il commerciante immette manualmente i dati sensibili della carta del cliente all’interno di una piattaforma web.

Anche i pagamenti online tramite gateway richiedono la conformità del trattamento dati, tuttavia sono quasi sempre i provider del sistema ad occuparsi di tutti gli adempimenti. In alcuni casi potrebbe però essere richiesta una commissione aggiuntiva.

Soluzioni “a consumo” come SumUp non richiedono invece l’adempimento di tali pratiche, tuttavia – considerate le condizioni economiche di simili offerte – sono consigliate solo a piccole imprese e professionisti che si servono poco del terminale.

Certificato SSL

Il Secure Sockets Layer (SSL) è un certificato che attesa la sicurezza del proprio sito web o negozio online. Attiva inoltre una connessione criptata per assicurare la protezione dei dati della carta immessi dal cliente. In questo modo, i visitatori del sito sono consapevoli di trovarsi in un luogo affidabile.

Il lucchetto a sinistra dell'indirizzo web indica la presenza del certificato SSL

L’icona del lucchetto certifica la sicurezza del sito.

Se accanto all’indirizzo web del tuo negozio online appare l’icona di un lucchetto, vuol dire che il sito è sicuro ed in possesso del certificato SSL.

Se devi costruire un sito web da zero, potrebbe essere necessaria l’installazione manuale del certificato, mentre le piattaforme all-in-one lo implementano in modo automatico.

Semplificare l’implementazione delle misure di sicurezza

Se di fronte a sigle come 3D Secure, AVS, PCI-DSS e SSL ci si sente spaesati, è possibile risolvere il problema scegliendo un gateway di pagamento online che fornisce assistenza durante l’intera procedura per la configurazione.

Molti provider offrono supporto diretto per le pratiche di conformità PCI-DSS. Altri, incluso PayPal, consigliano servizi di terze parti che guidano nell’intera procedura oppure la gestiscono per conto dell’esercente. Come si è detto, poi, esistono alcune opzioni – come la già citata SumUp – esenti da tali adempimenti, poiché il trattamento dei dati sensibili viene gestito completamente dallo stesso provider.

È bene sottolineare che, anche in presenza di tutti i protocolli di sicurezza, nessun sistema può considerarsi protetto al 100%. Se il venditore nota comportamenti sospetti – ad esempio lo stesso utente che utilizza decine di carte diverse per i suoi acquisti – sarebbe opportuno interrompere il rapporto per evitare perdite in seguito a segnalazioni di uso fraudolento delle carte.