L’applicazione della PSD2 per rendere i pagamenti più sicuri, della SCA (Strong Customer Authentication, l’autenticazione a due fattori) e del 3-D Secure, strato di sicurezza supplementare per le transazioni via internet, stanno causando un sensibile declino delle conversioni che arriva anche al 40% in Italia, Spagna e Francia. Numeri drammatici per i merchant che si vedono ostacolare nel proprio business dall’insieme delle normative nate per garantire la sicurezza dei passaggi di denaro.
Che cosa è la PSD2
PSD2 è la nuova normativa europea che regola i pagamenti con l’obiettivo di renderli più sicuri e contemporaneamente rendere più conveniente la gestione del denaro. Include una lunga serie di novità ma andremo soltanto ad analizzare quelle che influenzano le vendite degli e-commerce.
Che cosa è la SCA
SCA, ovvero Strong Customer Authentication, è l’autenticazione a due fattori. La verifica di almeno due elementi facenti parte di due delle seguenti categorie, così che insieme confermino l’identità di un individuo:
Conoscenza – Solo l’utente ha una determinata informazione (come per esempio una password)
Inerenza – Qualcosa che individua il consumatore (un’impronta digitale, riconoscimento facciale o vocale)
Possesso – Qualcosa che solo quello specifico individuo possiede (un cellulare, ad esempio)
Non è necessario applicare la SCA a ogni singola transazione. Infatti:
- se abbiamo un servizio in abbonamento con pagamenti ricorrenti dello stesso importo, la SCA non verrà eseguita ad ogni richiesta di pagamento del canone
- se le transazioni non superano 30€ di importo
- se i beneficiari sono nell’elenco dei beneficiari attendibili
- se i tassi di frode e analisi di rischio sono bassi nelle transazioni tra 30€ e 500€
Che cosa è la 3DS
3-D Secure è uno strato di sicurezza supplementare per le transazioni via internet con carta di credito o debito. Il primo ad utilizzarlo fu Visa chiamandolo “Verified by Visa”, poi MasterCard e tutti gli altri.
Inserisce un livello di protezione intermedio tra la richiesta di pagamento (dopo che abbiamo inserito i dati della carta) e l’effettivo addebito. Per confermare la transazione viene solitamente inviato un SMS al cellulare del proprietario della carta con un codice casuale di sei cifre.
Inserito il codice nella pagina web, viene effettuato il pagamento.
Perché è stato importante introdurre la PSD2
Tutti abbiamo ricevuto almeno una volta l’email entusiasta che parlava di una fantomatica vincita alla lotteria di qualche Paese nel mondo o della povera signora morente che voleva affidarci tutti i suoi averi ma serviva in ogni occasione, chissà poi per quale motivo, un piccolo importo versato da parte nostra per sbloccare una somma enorme.
Ebbene se pensiamo che ogni giorno nel mondo più di 865.000 persone usano Internet per la prima volta, capiamo che c’è un mare di sprovveduti. Le truffe però si fanno più sifisticate via via che si rivolgono a persone più esperte e navigate tra gli oltre 4,6 miliardi di utenti globali.
Soltanto in Italia nel 2018 ci sono state circa 160.000 segnalazioni di frodi, 3.355 denunce, 39 arresti ed il sequestro di oltre 22 mila siti web.
L’applicazione della normativa
Fatta la legge, ogni Stato sta decidendo quando ed in quali modalità applicarla. Oggi in gran parte è ormai obbligatoria ma alcuni hanno rimandato di 6 mesi in 6 mesi anche per la forte speculazione dell’ecosistema dei pagamenti riguardante l’impatto che avrebbe avuto sulle transazioni.
I commercianti avevano paura che l’applicazione della PSD2 avrebbe ridotto i tassi di conversione dei clienti, portando ad un declino nei guadagni.
Ora che il roll-out è iniziato, ci sono i primi dati da prendere in esame.
Le conversioni diminuiscono ad ogni passaggio
Visto che la PSD2 richiede la SCA come parte del processo di verifica, la maggior parte dei merchant pianificava l’uso di 3DS per aderire alla direttiva.
L’autenticazione 3DS richiede diversi passaggi e la PSD2 impatta su ciascuno di essi. Come risultato, ci sono ad ogni passaggio sempre più probabilità di perdere la transazione e ridurre così le revenue.
Per prima cosa, molti utenti non hanno familiarità con la 3DS o non vogliono fare ulteriori step per concludere l’acquisto. È molto difficile in questi casi per i merchant riprendere il processo di acquisto.
Se un cliente completa con successo la 3DS, la transazione continuerà il processo di autorizzazione in cui ci sono ulteriori rischi che la transazione venga negata. Ad esempio se l’istituto che ha emesso la carta percepisce un rischio, può decidere di declinare il pagamento per evitare eventuali rischi di storno che, nel caso di un pagamento andato a buon fine, sarebbero in capo alla banca.
Per evitare di aumentare il proprio rischio, le banche possono decidere di non autorizzare un pagamento proteggendo il proprio business ma ledendo quello del merchant. Vedremo tra poco l’evidenza di questo analizzando la diminuzione del tasso di autorizzazioni registrata a seguito dell’introduzione della 3DS.
Analizzando soltanto la percentuale di transazioni autorizzate senza scendere in dettaglio l’abbandono innescato dalla 3DS e le autenticazioni 3DS fallite, non è così evidente il pessimo risultato che la PSD2, ad ora, sta riscuotendo.
L’impatto della PSD2 sulle conversioni in numeri
Analizzando i dati di Forter e MasterCard è evidente quanto sia negativo il risultato ad oggi in Europa, con un declino delle conversioni che arriva anche al 40% in Italia, Spagna e Francia.
Se guardiamo il dato assoluto di completamento del processo di acquisto, uno dei più importanti per gli e-commerce, la situazione in Germania pre-PSD2 vedeva un tasso tra il 78 ed il 94%, introducendo la 3DS è calato al 45-55%. Questo vuol dire che per ogni transazione alla quale applichiamo la 3DS, abbiamo il 50% circa di possibilità che questa non sia conclusa.
Con un tasso di successo del 60% delle transazioni che innescano la 3DS in Italia, del restante 40% si ottiene circa il 17% di abbandoni durante la richiesta di autenticazione ed il 23% di transazioni per le quali la 3DS non ha dato esito positivo. Sintomo che il processo oggi crea frizione con l’utente.
Le transazioni declinate dal meccanismo di strong authentication sono spesso riconducibili a errori di sistema o decisione dell’istituto che ha emesso la carta. Questo indica che anche l’ecosistema dei pagamenti non sta gestendo al meglio la situazione.
Le soluzioni e le proposte sono molte. Ad esempio nuovi layer che certifichino il creditore così che le banche e gli issuer delle carte abbiano più fiducia nell’autorizzare le transazioni o analisi del comportamento del proprietario della carta per avere maggiore certezza che la richiesta di pagamento coincida con le abitudini del consumatore e di conseguenza sia più facile credere che non sia una operazione fraudolenta.
Oppure potrebbe anche essere possibile che basti soltanto un poco di tempo per abituarcisi e migliorare algoritmi e infrastrutture.
(Fonti: Wall Street Italia, Stripe, 451 Research, Forter, Wikipedia, Finextra, Financefeeds, MyBank, Hootsuite)