Tsunami PSD2, non possiamo più SCAppare. Identikit della Strong Customer Authentication

By |2020-12-29T08:15:43+00:00December, 2020|Revenue Management|

Ci siamo, lo tsunami è arrivato, dal 1° Gennaio 2021 entrerà in vigore un nuovo regolamento sui pagamenti per le prenotazioni online che impone la Strong Customer Authentication (SCA) o autenticazione forte del cliente. L’autenticazione SCA fa parte della seconda direttiva europea sui servizi di pagamento (PSD2)

Che cos’è la PSD2?

È la nuova Direttiva Europea sui pagamenti, pensata per promuovere l’innovazione e lo sviluppo dei pagamenti digitali e aumentare la protezione e la sicurezza degli utenti nei servizi di pagamento online e quindi rendere più sicuri gli acquisti online

Le principali finalità della Direttiva sono contrastare le frodi e accrescere la fiducia dei consumatori nei pagamenti digitali, modernizzando il quadro normativo che regola i servizi digitali innovativi.

Tra le misure di sicurezza più importanti che introduce la PSD2 c’è la SCA, un’autenticazione clienti avanzata a due fattori, che mira ad aggiungere ulteriori livelli di sicurezza ai pagamenti elettronici.

Questo tipo di autenticazione verrà richiesto nel caso in cui sia l’emittente della carta di credito che il conto corrente su cui vengono versati i pagamenti si trovano sul territorio dello Spazio economico europeo (SEE).

La SCA richiede che l’autenticazione utilizzi due dei seguenti tre elementi:

COME IMPATTA SUL SETTORE DELL’OSPITALITÀ?

The SCA inevitabilmente influenzerà qualsiasi attività commerciale che riceve pagamenti online dai propri clienti, tra queste il settore dell’ospitalità, che dovrà aggiornare il prima possibile sia le procedure che le tecnologie a sua disposizione.

La carta di credito è il principale strumento di pagamento utilizzato in ambito alberghiero: comodo, flessibile e permette di prepagare un soggiorno o emettere una pre-autorizzazione, bloccando l’importo per un determinato numero di giorni sulla carta di credito dell’ospite come garanzia della prenotazione

I clienti sono abituati ormai a pagare una camera online in un modo semplice e immediato.

Dall’1° Gennaio, la procedura per prenotare la stessa camera di sempre, richiederà un passaggio in più. Chissà se questo aumenterà il rischio che il cliente abbandoni la pagina e non concluda l’acquisto, riducendo così il tasso di conversione.

Prima dell’entrata in vigore della Direttiva PSD2, alle OTA o al booking engine era sufficiente acquisire i dati della carta di credito dell’utente per autorizzare il pagamento, senza necessità di successive convalide dei dati della carta o della persona che effettua il pagamento.

Da Gennaio, sia per le prenotazioni rimborsabili che per quelle standard, non sarà più possibile né incassare né tanto meno pre-autorizzare senza il riconoscimento a doppio fattore (tranne delle piccole eccezioni). Chi continuerà con la vecchia procedura, potrà essere soggetto a negazioni di incasso e soprattutto a richieste di rimborso. Anche nel caso in cui una procedura di pagamento andasse a buon fine, il cliente potrebbe facilmente richiedere e ottenere rimborsi.

Ecco cosa potrebbe accadere con degli esempi pratici:

  • La signora Esposito prenota una camera online dal sito dell’Hotel.

Al momento del pagamento inserisce il numero della sua carta di credito e procede con l’acquisto. La transazione dovrà superare un test per valutare se la SCA (doppia autenticazione) è necessaria o meno. Il test valuta il rischio di frode, da basso ad alto. Se, per esempio, la transazione è di importo inferiore a 30 €, sarà valutata a rischio basso e quindi non sarà necessaria alcuna autenticazione, a condizione che la stessa carta non sia stata utilizzata per più di cinque transazioni (o per un totale di oltre 100 €) nelle ultime 24 ore. Da notare che, anche con transazioni esentate, la banca avrà sempre l’ultima parola, quindi potrebbe decidere che la SCA è necessaria anche per acquisti a basso rischio.

Supponiamo invece che l’importo totale sia di 350 € e che non ha mai prenotato questo hotel prima. Il test decide che si tratta, potenzialmente, di una transazione rischiosa e richiede alla signora Esposito di autenticarla due volte, vale a dire di fornire due dei tre tipi di autenticazione accettata.

  • La signora Esposito prenota su un’OTA

Per le prenotazioni ricevute tramite OTA con il modello OTA collect (l’OTA incassa i soldi per conto dell’hotel), i processi esistenti non cambieranno. In questo caso è l’OTA che raccoglie denaro dall’ospite finale e fornisce agli hotel una carta virtuale, quindi gli hotel non avranno bisogno di una doppia autenticazione per elaborare il pagamento.

Per le prenotazioni ricevute tramite OTA con il modello Hotel collect, l’hotel dovrà modificare i suoi processi e sistemi interni per garantire che il pagamento sia convalidato: prima di tutto, l’hotel deve elaborare questi pagamenti tramite un gateway di pagamento online che è conforme alla PSD2. Se non si dispone di un gateway con tale conformità di sicurezza, non può utilizzare la carta di credito né per la pre-autorizzazione né per il pre-pagamento o la caparra. Se e quando l’ospite arriverà, il pagamento potrà essere trattato come “carta presente”, saltando la SCA. Chiaramente questa alternativa è molto rischiosa in quanto permetterebbe al cliente di cancellare la prenotazione senza nessun addebito di penali anche quando la struttura ne avrebbe il diritto.

 consiglio è quindi di incorporare un gateway di pagamento bancario sia al Booking Engine (per le prenotazioni dirette dal sito) sia al PMS (per le prenotazioni da tutti gli altri canali online) e per tutte le prenotazioni (flessibili e non rimborsabili). In questo modo avrete garantito che tutte your transazioni nell’ambito della PSD2 passino attraverso la doppia autenticazione (SCA).  In caso di prenotazioni non rimborsabili, il pagamento verrà effettuato al momento della prenotazione. Nel caso di prenotazioni flessibili, verrà effettuata solo l’autenticazione (non il pagamento), e sempre attraverso un gateway di pagamento, verrà inviato un link al cliente che procederà in autonomia alla transazione (Pay By Link). Una volta che il cliente avrà fatto l’autenticazione e quindi accettato la pre-autorizzazione, non potrà in futuro disconoscere la transazione e quindi saremo coperti anche nel caso di un no-show o cancellazione tardiva.

Cos’è un gateway di pagamento?

Un gateway di pagamento online è un canale di pagamento elettronico che permette transazioni sicure fra venditore e cliente; autorizza l’elaborazione di pagamenti diretti o tramite carta di credito per la struttura ricettiva e si occupa della criptazione dei dati sensibili, come i numeri della carta di credito, garantendo massima sicurezza nella trasmissione dei dati.

L’integrazione di un gateway di pagamento col booking engine consente di ricevere versamenti tramite carta di credito/debito al momento della prenotazione, aiutandoti a garantire il flusso monetario, a prevenire l’uso fraudolento delle carte di credito e ad assicurare le prenotazioni.

Per utilizzare un servizio di gateway di pagamento, è necessario creare un account con uno dei fornitori di servizi gateway di pagamento, e poi collegare il gateway di pagamento col Booking engine.

I principali gateway di prenotazione sono: Nexi, Paypal, Stripe, Authorize.net, 2Checkout

Ciò che spaventa, sono le commission fees che vengono applicate sui gateway attualmente disponibili sul mercato che vanno dall’1,4% fino all’1,9% per le carte di credito europee, mentre per quelle extra-europee o Business  si raggiunge l’1,9% fino al 2,9% di commissioni. L’utilizzo di un gateway di pagamento certificato PSD2 implicherà costi aggiuntivi, è vero, ma potranno trasformarsi in opportunità portando alle strutture ricettive alcuni vantaggi di natura pratica, per esempio ci sarà una riduzione delle frodi, diminuzione delle dispute, riduzione del carico di lavoro per svolgere le attività di incasso, riduzione degli errori, aumentando così la sicurezza dei pagamenti con carte di credito.

Eccezioni

Anche con l’entrata in vigore della nuova normativa alcune transazioni saranno comunque esentate dalla SCA, per esempio:

  • i pagamenti contactless e tutte le transazioni in cui il titolare della carta di credito è fisicamente presente al momento del pagamento;
  • i pagamenti di acquisti effettuati per telefono o via e-mail (MOTO – Mobile Order and Telephone Order) che seguiranno la stessa logica odierna;
  • i pagamenti di importo inferiore a 30€.

Conclusioni

Gli hotel non saranno soggetti a ispezioni o sanzioni relative all’applicazione della PSD2. Saranno principalmente i gateway di pagamento e il settore bancario o finanziario che dovranno adattarsi e se non si conformeranno potrebbero essere multati. Gli operatori dell’ospitalità non avranno operazioni di certificazione o adeguamento a proprio carico (che saranno invece svolte dagli sviluppatori dei sistemi tecnologici da loro utilizzati), ma dovranno dotarsi di un gateway bancario se non vorranno rischiare di non poter addebitare penali per cancellazioni tardive e no show.

Ogni cambiamento è una sfida e come tale c’è il timore di non potercela fare, ma solamente affrontandola con le giuste armi e la giusta preparazione, si avranno benefici e soddisfazioni e il vecchio pos diventerà solo un lontano ricordo

About the Author:

Salvatore Ciotta
Go to Top