Fraud Expert Checklist
Take a look at our newest state-of-the art fraud prevention tools featuring
- AI-powered risk scoring.
- Continuous machine learning optimisation.
- Device fingerprinting.
We offer both a plug-and-play version (Fraud Prevention Silver) or a highly adaptable solution (Fraud Prevention Gold). Refer to our dedicated guide to enroll for this exceptional service!
As we offer Fraud Prevention Silver/Gold exclusively for our new integration layer, this might be a good opportunity to migrate your e-commerce system. We are glad to help you switch to Direct!
1. Introduzione
Non c’è niente di peggio che dover avere a che fare con le frodi online. Ecco perché in Worldline. prendiamo molto sul serio le frodi. La nostra Fraud Expert Checklist offre maggiore controllo e approfondimenti per portare efficacemente la tua strategia di protezione dalle frodi al livello successivo.
Fraud Expert Checklist è in grado di:
- Creare regole su una checklist adattata in modo univoco alle tue esigenze aziendali e di settore. Queste regole consentono di identificare le transazioni potenzialmente rischiose. Una volta identificate queste transazioni, potrai decidere le azioni da intraprendere.
- Sfruttare l’intelligence dei dati per rilevare le minacce di frode in tempo reale.
- Fornire un’ulteriore opinione da parte di esperti per prendere decisioni più rapide e accurate.
La parte migliore della nostra soluzione automatizzata è che ti consente di risparmiare tempo prezioso ed elaborare la maggior parte delle transazioni più velocemente, mantenendo alta la soddisfazione dei clienti. Se desideri saperne di più sulle nostre soluzioni contro le frodi, contatta un rappresentante Worldline.
2. Prima di iniziare
Per iniziare, assicurati che l’abbonamento Fraud Detection Module Advanced Checklist (ID: CAP 1) sia stato attivato. Puoi farlo andando a Configuration > Account > Your options nell’account. Se non è stato attivato, contatta il nostro team di supporto.
3. Gestione delle impostazioni 3DS
3-D Secure (3DS) è un protocollo antifrode progettato per migliorare la sicurezza sia per te sia per i tuoi clienti. Scopri di più su 3DS nelle nostre domande frequenti.
Una volta attivato l’abbonamento contro le frodi, puoi configurare le impostazioni 3DS. Vai a Advanced > Fraud Detection. 3DS deve essere configurato individualmente per ciascun metodo di pagamento. In 3-D Secure, seleziona un metodo di pagamento facendo clic su EDIT.
Verrà visualizzato un elenco di azioni da cui scegliere.
Nella tabella seguente è riportata una panoramica delle azioni elencate nella pagina e del loro significato.
Spiegazione | |
---|---|
Continuare / interrompere la transazione se un problema tecnico impedisce la connessione alla directory American Express durante la verifica della registrazione 3D-Secure. |
Potresti voler configurare questa opzione nel caso in cui non possiamo connetterci alla directory 3DS del relativo marchio della carta/schema |
Continuare / interrompere la transazione se il servizio di identificazione del titolare della carta è temporaneamente fuori uso. |
Potresti voler configurare questa opzione nel caso in cui l’URL di verifica 3DS non funzioni. |
Attivare / disattivare 3D-Secure per tutte le carte.You can either activate or deactivate 3D-Secure for all cards.
|
Se decidi di disattivare 3DS, questo non verrà avviato. |
Elaborare 3-D Secure dopo il Punteggio frode globale |
3DS verrà elaborato in base alle tue impostazioni relative alle frodi e alla nostra valutazione degli esperti di frodi, se attivata |
4. Configurazione delle condizioni per gli elenchi delle frodi a commercianti
Gli elenchi delle frodi a commercianti sono elenchi che ti consentono di impostare le condizioni per i tuoi pagamenti. Ad esempio, potresti voler bloccare le transazioni illegali in base ai loro indirizzi IP o al Paese di emissione della carta. In questo capitolo, scoprirai come gestire questi elenchi.
Esistono tre tipi di elenchi.
- Whitelists consentono di impostare le condizioni per l’accettazione una transazione.
- Blacklists consentono di impostare le condizioni per il blocco di una transazione.
- Greylists consentono di impostare le condizioni per la revisione o l’esecuzione di un altro processo di una transazione.
- Gli elenchi
- il modo in cui le corrispondenze vengono applicate dalle regole delle frodi a commercianti
Solo allora le impostazioni avranno effetto
Visualizzazione degli elenchi
Visualizza questi elenchi andando a Advanced > Fraud Detection nell’account. In Blacklist / Greylist / Whitelist, seleziona un elemento da configurare e fai clic su EDIT.
Gestione delle whitelist
Le whitelist consentono di impostare le condizioni per l’accettazione una transazione. Se viene rilevata una corrispondenza, le whitelist sovrascrivono le impostazioni di blocco (blacklist) (blacklist) e revisione (greylist) (greylist).
A seconda dell’azione che scegli di eseguire, potresti dover inviare alcuni parametri con la transazione alla nostra piattaforma.
Di seguito è riportata una panoramica dei tipi di elenco (con le condizioni che è possibile impostare), il loro significato e i parametri che dovrebbero essere inviati.
Tipo di elenco | Spiegazione | Parametro da inviare |
---|---|---|
Lista bianca indirizzi IP |
Il nostro sistema accetterà IP o intervalli IP specifici in base alla formattazione a.b.c-d.0-255 o a.b.c-d.* o a.b.c.d-e. |
REMOTE_ADDR |
Lista bianca identificatore unico cliente |
L’identificatore univoco del cliente è un identificatore assegnato al cliente, ovvero nome, numero cliente, indirizzo e-mail |
CUID |
Whitelist indirizzi e-mail |
Può essere un indirizzo fisso o un intero intervallo di indirizzi (dominio) che utilizza un asterisco (“*”) prima del segno “@” |
|
Gestione delle blacklist
Se viene rilevata una corrispondenza, le blacklist applicano il blocco o la revisione.
Tipo di elenco | Spiegazione | Parametro da inviare |
---|---|---|
Lista nera carte |
Per aggiungere elementi è necessario il numero completo della carta di credito/del conto bancario (per addebiti diretti). |
CARDNO |
Lista nera BIN |
Un numero d'identificazione della banca è costituito dalle prime sei cifre di una carta di credito collegata a un emittente in un determinato paese. Ciò consente di bloccare tutte le carte di credito che condividono lo stesso BIN. |
CARDNO |
Lista nera IP |
Il nostro sistema accetterà IP o intervalli IP specifici in base alla formattazione a.b.c-d.0-255 o a.b.c-d.* o a.b.c.d-e. |
REMOTE_ADDR |
Lista nera e-mail |
Può essere un indirizzo fisso o un intero intervallo d'indirizzi (dominio) che utilizza un asterisco (“*”) prima del segno “@” |
|
Lista nera nomi |
Genera due versioni del nome: “Nome completo” e “Corrispondenza parziale” |
CN |
Lista nera telefon |
Genera due versioni del nome: “Numero completo” e “Corrispondenza parziale” |
OWNERTELNO |
Generic blacklist |
Elenco completamente personalizzato con tutti i dati desiderati |
GENERIC_BL |
Gestione delle greylist
Le greylist consentono d'impostare le condizioni per la revisione o l’esecuzione di un altro processo di una transazione.
Tipo di elenco | Spiegazione | Parametro da inviare |
---|---|---|
Card greylist |
Per aggiungere elementi è necessario il numero completo della carta di credito/del conto bancario (per addebiti diretti). |
CARDNO |
BIN greylist |
Un numero d'identificazione della banca è costituito dalle prime sei cifre di una carta di credito collegata a un emittente in un determinato paese. Ciò consente di bloccare tutte le carte di credito che condividono lo stesso BIN. |
CARDNO |
IP greylist |
Il nostro sistema accetterà IP o intervalli IP specifici in base alla formattazione a.b.c-d.0-255 o a.b.c-d.* o a.b.c.d-e. |
REMOTE_ADDR |
E-mail greylist |
Può essere un indirizzo fisso o un intero intervallo d'indirizzi (dominio) che utilizza un asterisco (“*”) prima del segno “@” |
|
Name greylist |
Genera due versioni del nome: “Nome completo” e “Corrispondenza parziale” |
CN |
Lista grigia dei telefoni |
Genera due versioni del nome: “Numero completo” e “Corrispondenza parziale” |
OWNERTELNO |
Generic greylist |
Elenco completamente personalizzato con tutti i dati desiderati |
GENERIC_BL |
Aggiunta nuovi elementi a un elenco
Se desideri aggiungere elementi a uno dei tipi di elenco menzionato in precedenza, seleziona il rispettivo tipo di elenco e fai clic su EDIT.
Per aggiungere elementi a un elenco,
-
Inserisci i dati in Enter a new item.
-
Seleziona un’opzione tra Actual Fraud / Commercial Dispute / Suspicion of Fraud.
-
Opzionale: aggiungi eventuali informazioni nel campo Comment.
Gestione degli elementi degli elenchi esistenti
Se desideri gestire gli elementi in un elenco, puoi scegliere tra:
- Delete: per rimuovere uno o più elementi (contrassegnando Sel. All)
- Fraud type: per modificare la voce originale in FRA (frode effettiva) / COM (controversia commerciale) / SOF (frode sospetta).
- Comment: per eliminare o modificare il commento originale dell’elemento facendo clic su “…”
La nostra piattaforma consente inoltre di inserire in questo elenco le transazioni già elaborate.
Per eseguire questa operazione, attieniti a questi passaggi:
- Accedi al Back Office. Vai a Operazioni > Visualizza le transazioni e cerca la transazione
- Nella tabella che visualizza tutte le operazioni di manutenzione per questa transazione, fai clic su un qualsiasi Pay ID
- Nella pagina di panoramica delle operazioni di manutenzione, fai clic sul pulsante “CONTESTAZIONE”
- Nella tabella, seleziona “Aggiungi alla lista nera” / “Aggiungi alla greylist” per uno qualsiasi dei parametri di transazione selezionabili. Contrassegna quindi la transazione come "Frode attuale” / “Disputa commerciale" / "Sospetto di truffa". Conferma la selezione facendo clic sul pulsante "Salva"
5. Configurazione delle checklist delle frodi a commercianti
Il principio di una checklist delle frodi è quello di abbinare ogni transazione a un elenco di criteri basati su vari parametri e sul rispettivo coefficiente correttore per la valutazione del rischio. Ciò significa che a seconda della singola impostazione, puoi definire una delle seguenti azioni da applicare:
-
None (i criteri vengono ignorati per la valutazione delle frodi): la transazione è accettata, a condizione che l’acquirente/l’emittente non la respingerà per nessun altro motivo
-
Review: viene effettuato un controllo 3DS. Se il controllo ha esito negativo, la transazione viene bloccata. Se ha esito positivo, procediamo con la richiesta di autorizzazione
-
Block: la transazione viene bloccata.
Questo capitolo illustrerà come impostare e gestire questa checklist nell’account.
Visualizza la checklist andando a Advanced > Fraud Detection nell’account. In Fraud detection activation and configure, seleziona un metodo di pagamento da configurare e fai clic su EDIT.
Nella pagina, visualizzerai dei criteri che puoi definire liberamente. Ogni criterio richiede di definire una o più delle seguenti impostazioni:
- None (i criteri vengono ignorati per la valutazione delle frodi)
- Review (viene effettuato un controllo 3DS)
- Override blocking / review
- Blocca
- Gestione delle Whitelist/Greylist/Blacklist
- edit usage limits
A seconda dei criteri da definire, potresti doverci inviare alcuni parametri con la transazione alla nostra piattaforma. Di seguito è riportata una panoramica dei criteri più importanti, dei rispettivi parametri e delle nostre possibili impostazioni da definire per ottimizzare efficacemente la protezione dalle frodi.
Categoria | Criterio | Azioni | Parametro/i da inviare |
---|---|---|---|
Dati fidati/White List |
3-DS Secure identification OK |
· Block / Review / · Edit whitelist: CUI · Edit whitelist: E-mail |
- |
Identificazione lista bianca CUI |
CUID |
||
Indirizzo e-mail nella whitelist |
|
||
Dati carta |
Paese carta Alto rischio / rischio medio |
· Review |
CARDNO |
max importo / carta soglia alta / soglia media |
· Blocca / Review · Edit usage limits |
CARDNO |
|
Dati IP |
Paese IP Alto rischio / rischio medio |
· Configura i gruppi di paesi IP · Blocca / Review |
REMOTE_ADDR |
Proxy anonimo |
Blocca / Review |
REMOTE_ADDR |
|
IP cty <> CC cty |
Blocca / Review |
REMOTE_ADDR / CARDNO |
|
Combinazione paese IP/scheda non autorizzata Alto rischio / rischio medio |
· Modifica coppie CC/IP paese · Blocca / Review |
REMOTE_ADDR |
|
max util. / IP |
· Blocca / Review · Edit usage limits |
REMOTE_ADDR |
|
Dati di contatto |
Utilizzo max. e-mail |
· Blocca / Review · Edit usage limits |
REMORE_ADDR |
Dati indirizzo |
Indirizzo di fatturazione diverso dall'indirizzo d |
Review |
ADDMATCH |
Dati di varia natura |
Numero di <> paesi |
Blocca / Review |
- |
Importo inferiore alla gamma / superiore alla gamma |
· Edit min max amount · Block / Review |
AMOUNT |
|
Ora dell'ordine periodo ad alto rischio / periodo a medio rischio |
· Review · Edit risky periods |
- |
|
Dati nella Black List generica / Grey List generica |
· Blocca / Review · Edit blacklist / greylist: generic data |
GENERIC_BL |
|
Metodo di spedizione Alto rischio / rischio medio / Basso rischio |
· Blocca / Review · Modifica metodi di spedizione rischiosi |
ECOMSHIPMETHODTYPE |
|
Dati metodo di spedizione Alto rischio / rischio medio / Basso rischio |
· Blocca / Review · Modifica dati metodi di spedizione rischiosi |
ECOMSHIPMETHODDETAILS |
|
Categoria prodotto Alto rischio / rischio medio / Basso rischio |
· Blocca / Review · Modifica categoria prodotto rischiose |
ITEMFDMPRODUCTCATEGx |
|
Tempo per la consegna |
· strettamente meno di X ore · Blocca / Review |
ECOM_SHIPMETHODSPEED |
|
Verifica indirizzo automatica da parte dell'acquir |
risultato OK / KO |
Blocco (Revisione se in modalità vendita diretta) / Review |
OWNERZIP |
Controllo codice di verifica carta |
risultato OK / KO |
Blocco (Revisione se in modalità vendita diretta) / Review |
CVC |
Dati di viaggio (solo settore delle compagnie aeree)
Se il tuo modello di business comprende i dati delle compagnie aeree, è necessario inviare i seguenti parametri insieme alla transazione da valutare.
Parametro da inviare |
---|
AIPASNAME |
AIEXTRAPASNAME*XX* |
AIORCITY*XX* |
AIORCITYL*XX* |
AIDESTCITY*XX* |
AIDESTCITYL*XX* |
AISTOPOV*XX* |
AIFLDATE*XX* |
Per ulteriori informazioni, consulta Parameter Cookbook nell’account. Per accedervi, vai a Support > Integration and User Manuals > Technical Guides.
Applica gli elementi degli elenchi alle Regole della frodi a commercianti
Una volta gestiti gli elementi in white/grey/black lists, dovrai istruire la piattaforma a ogni corrispondenza rilevata.
Per eseguire questa operazione, attieniti a questi passaggi:
- Accedi al Back Office. Vai a Avanzate > Rilevamento frodi. Seleziona il metodo di pagamento per il quale desideri configurare Regole della frodi a commercianti tramite "Selezione a più criteri dei metodi di pagamento"
- Seleziona una delle impostazioni nella colonna "Azione" per definire come una corrispondenza dovrebbe influire sul punteggio della transazione in questione
- È possibile modificare l’elenco corrispondente all’impostazione selezionando l’opzione “Edit list xxx” sul lato destro dell’impostazione
Identificazione delle frodi con Device fingerprinting
Device fingerprinting è una tecnologia che ci consente di identificare in modo univoco un dispositivo durante una transazione. Ciò significa che se i truffatori utilizzano lo stesso dispositivo per transazioni diverse, il nostro sistema sarà in grado di rilevarlo e bloccare immediatamente la transazione. Usiamo il tag del parametro, DEVICEID per identificare il dispositivo utilizzato per ogni transazione.A seconda del tipo di integrazione con noi, sono diverse le azioni disponibili per attivare Device fingerprinting.
-
Se utilizzi la nostra integrazione eCommerce, questi dati verranno acquisiti sulla nostra pagina di pagamento. Quindi, questa operazione verrà effettuata automaticamente.
-
Se utilizzi la nostra integrazione DirectLink o FlexCheckout, dovrai aggiungere un codice di monitoraggio alla tua integrazione. Il codice dovrà essere aggiunto nell’intestazione di una delle tue pagine web che verrà caricata quando il dispositivo del titolare della carta visita il sito. Consigliamo di aggiungerlo alla pagina di pagamento. Il codice è in HTML ed è composto da CSS, Javascript e Flash:
<script type="text/javascript" asycn ="true" src ="https://elistva.c om/api/script.js? aid=10376&sid=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"></script> <noscript><p style="background:url(//elistva.c om/api/assets/c lear.png? aid=10376&sid=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX)"></p></noscript> <object type="application/x-shockwave-flash" data="//elistva.c om/api/udid.swf? aid=10376&sid=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX" width="1" height="1"> <param name="movie" value="//elistva.c om/api/udid.swf? aid=10376&sid=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX" /> </object>
Dovrai aggiornare XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX nel frammento di codice con un identificatore di sessione utente univoco in formato MD5.Questo codice HTML è associato a un identificatore di sessione temporaneo e casuale (SID) univoco, generato da te come descritto nella tabella seguente.Nota: questa funzione sarà disponibile solo quando una categoria di Fraud Expert Scoring (verde, arancione o rosso) viene restituita correttamente da Fraud Expert. Scopri di più su Fraud Expert di seguito.
Parametro/i da inviare | Descrizione | Formato |
---|---|---|
sid |
Identificatore univoco di una sessione utente. Devi aggiornare il placeholder “XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX” con un identificatore di sessione utente univoco e casuale in formato MD5, risultante in una stringa hash esadecimale a 32 cifre. Consigliamo di eseguire l’hashing di PSPID e ORDERID concatenati per la transazione. |
Stringa hash esadecimale a 32 cifre |
aid | L’ID dell’account dell’applicazione Tracker. | Valore fisso: 10376 |
6. Gestione delle impostazioni di Fraud Expert
Fraud Expert è un sistema di apprendimento automatico che fornisce un’ulteriore opinione da parte di esperti attraverso un livello di sicurezza aggiuntivo. Utilizza i dati aggregati delle transazioni storiche di tutti i nostri clienti in vari settori e campi.
I dati vengono quindi utilizzati per creare previsioni di frodi accurate e valutare la legittimità di ogni transazione effettuata nel tuo negozio online tramite queste previsioni. Ciò significa che le transazioni non solo verranno verificate tramite le regole che hai impostato manualmente, ma verranno sottoposte a un’ulteriore verifica di protezione. Fraud Expert è reattivo. Man mano che vengono effettuate transazioni di nuovi clienti, Fraud Expert adatta continuamente le sue previsioni e risponde alle nuove minacce nell’ecosistema di pagamento.
Cosa può fare per te? Può:
- Rilevare le frodi in una fase precedente e assicurare la protezione della tua azienda da attacchi fraudolenti complessi fin dall’inizio!
- Eliminare l’errore umano e impedire il rifiuto di ordini validi.
- Esternalizzare la revisione manuale di transazioni dubbie e congelare quelle da esaminare personalmente.
Questo capitolo illustrerà come attivare e configurare le impostazioni di Fraud Expert.
Impostazione del settore di attività e delle modalità di revisione
Innanzitutto, dovrai definire il tuo settore di attività. In base al tuo settore di attività, il nostro strumento Fraud Expert formulerà regole e criteri di scoring predefiniti per il tuo settore. Vai a Advanced > Fraud Detection > Your Activity Sector. Fai clic su EDIT.
Nella stessa pagina, puoi anche decidere se automatizzare o rivedere manualmente le tue transazioni. Puoi farlo per tutti i tuoi metodi di pagamento. Ciò significa che se selezioni:
- Automatic: le transazioni effettuate nel tuo negozio online verranno autorizzate o bloccate automaticamente.
Definizione del comportamento di Fraud Expert
Una volta definito il settore di attività, ora possiamo definire quali azioni possono essere intraprese con effettuate con Fraud Expert. Le transazioni effettuate nel tuo negozio online verranno definite da un Global Fraud Score.
Un Global Fraud Score è un punteggio (verde, arancione o rosso) costituito dalla combinazione della tua configurazione (nota anche come checklist FDMA) impostata nel Capitolo 4 e Fraud Expert. Prendendo in considerazione questi due fattori, viene creato un Global Fraud Score per ogni transazione effettuata nel negozio online.
- Verde: le transazioni con un punteggio verde sono considerate a basso rischio di frode. Sono considerate sicure e saranno accettate, a condizione che l’acquirente/l’emittente non le respinga per nessun altro motivo.
- Arancione: le transazioni con un punteggio arancione sono considerate a rischio di frode medio. Ciò significa che alcune regole sono state attivate e le transazioni potrebbe essere sospette. Consigliamo di verificare ulteriormente tali transazioni prima di spedire i tuoi beni/servizi.
- Rosso: le transazioni con un punteggio rosso sono considerate ad alto rischio di frode e verranno bloccate.
Per iniziare, vai a Advanced > Fraud Detection. Seleziona un metodo di pagamento da configurare e fai clic su EDIT.
Una volta selezionato un metodo di pagamento, vedrai due schede nella parte superiore dello schermo. Seleziona la scheda Fraud Expert come mostrato nello screenshot.
Nella pagina, visualizzerai la matrice del tuo Global Fraud Score. Puoi definire quale azione o comportamento vorresti applicare, sulla base del Global Fraud Score delle tue transazioni.
Ad esempio, una transazione può ricevere un punteggio verde (basso rischio di frode) sulla base delle impostazioni FDMA (come definito nel Capitolo 4). Tuttavia, il nostro sistema Fraud Expert potrebbe valutare la stessa transazione come rossa (alto rischio di frode). Se tale punteggio è associato a una transazione, puoi quindi decidere quale azione applicare.
Gestione delle transazioni arancioni
Come affermato in precedenza, le transazioni con un punteggio arancione sono considerate a rischio di frode medio. Con la matrice di Global Fraud Score, puoi “congelare” le transazioni arancioni per rivederle manualmente. Questo ti dà la possibilità di ricontrollare le transazioni prima di prendere una decisione finale.
Raccomandazione: consigliamo di non attendere a prendere una decisione. Se al termine di questo periodo di congelamento non viene intrapresa alcuna azione, il pagamento verrà elaborato automaticamente
Puoi decidere la durata del periodo di congelamento accedendo alla scheda Fraud Expert di ogni metodo di pagamento.
Dopo aver stabilito un periodo di congelamento, puoi visualizzare tutte le transazioni arancioni interessate andando a Operations > View Transactions. Seleziona ADVANCED SEARCH CRITERIA. Cerca le transazioni con il filtro Risk Category e Fraud Expert Manual Review.
Nell’elenco delle transazioni visualizzate, vedrai i simboli nella colonna Global Fraud Score.
- Simbolo della mano: fai clic su questo simbolo per autorizzare o bloccare le transazioni.
- Simbolo della clessidra: le transazioni con questo simbolo sono in attesa di autorizzazione o blocco sulla base dei risultati della nostra revisione di Fraud Expert.
Domande frequenti
3DS v2
Nel l'UE dal 1° gennaio 2021 e nel Regno Unito dal 14 settembre 2021 le regole dell’autenticazione forte del cliente (SCA) diverranno effettive per tutti i pagamenti digitali in Europa. In questo momento le banche, i fornitori di servizi di pagamento e le reti di carte di pagamento sono tutti al lavoro sulle soluzioni tecniche per conformarsi ai requisiti della PSD2. Per accettare i pagamenti dopo il 1° gennaio 2021, dovrai verificare che queste soluzioni tecniche funzionino per il tuo negozio online.
Per accettare i pagamenti dalle più grandi reti mondiali di carte, Visa, Mastercard e Amex, sarà necessario aver implementato la soluzione di sicurezza 3D Secure nel tuo negozio online. 3D Secure viene utilizzata fin dal 2001 per migliorare la sicurezza delle transazioni online delle carte di pagamento, e ora è stata sviluppata una nuova versione che faciliterà i requisiti dell’autenticazione forte del cliente (SCA) della PSD2.
Worldline consiglia di utilizzare 3-D Secure, perché aiuta a prevenire le truffe e protegge anche dalle responsabilità per eventuali frodi. Dal 1° gennaio 2021 sarà anche un requisito per accettare i pagamenti delle principali carte.
La seconda direttiva UE sui servizi di pagamento (2015/2366 Second Payment Services Directive, PSD2) è entrata in vigore nel gennaio 2018, allo scopo di garantire la protezione dei consumatori su tutti i tipi di pagamento, promuovendo una visione sui pagamenti ancora più aperta e competitiva. Agendo come fornitore di servizi di pagamento, Worldline si reputa di essere certificato conforme alla PSD2 dal 29 maggio 2018.
Uno dei requisiti chiave della PSD2 è legato all’autenticazione forte del cliente (Strong Customer Authentication, SCA) che sarà richiesta per tutte le transazioni elettroniche nel l'UE dal 1° gennaio 2021 e nel Regno Unito dal 14 settembre 2021. La SCA richiederà ai titolari di carte di credito di autenticarsi con almeno DUE dei seguenti tre metodi:
- Qualcosa che conoscono (PIN, password, ...)
- Qualcosa che possiedono (lettore di carte, telefonino, …)
- Qualcosa della loro persona (riconoscimento vocale, impronta digitale, …
In pratica questo significa che i tuoi clienti non potranno più effettuare un pagamento online con carta di pagamento usando solo le informazioni delle loro carte. Al loro posto dovranno, per esempio, verificare la propria identità con la app di una banca collegata al proprio telefono e che richiede una password o un’impronta digitale per approvare l’acquisto.
Maggiori informazioni su PSD2 potranno essere trovate qui: https://www.europeanpaymentscouncil.eu/sites/default/files/infographic/2018-04/EPC_Infographic_PSD2_April%202018.pdf
3DSv2 sta invitando i commercianti a inviare informazioni aggiuntive (obbligatorie / raccomandate..). Tutto quello che devi sapere come commerciante su questo argomento può essere trovato qui:
COF in breve: il cliente avvia una prima transazione con un commerciante con 3D-S (CIT). A partire da questa prima esperienza di transazione, il commerciante ha la possibilità di eseguire transazioni ricorrenti (in abbonamento o con approvazione del cliente -> tokenizzazione), contrassegnate come transazioni MIT.
Le transazioni MIT rappresentano una delle esenzioni previste all’interno della soluzione 3DSv2, a condizione che soddisfino le seguenti condizioni cumulative:
- transazioni successive a una CIT iniziale
- CIT eseguita con un’autenticazione obbligatoria
- Viene stabilito un collegamento ID dinamico tra la CIT iniziale e le transazioni MIT successive
Dopo l’autenticazione iniziale, possono essere applicate esenzioni/esclusioni:
- Sia a causa di esenzioni legali ricorrenti applicabili ad abbonamenti con periodicità e importo di tipo fisso (si consiglia ai commercianti di autenticarsi per l’importo totale + fornire dettagli sul numero di pagamenti concordati con i titolari di carte di credito)
- Sia perché altri tipi di transazioni vengono esclusi dall’ambito SCA... a esclusivo rischio del commerciante in caso di chargeback (protezione limitata all’importo autenticato) E con necessità da parte dell’emittente di accettare l’assunzione di tale rischio:
- COF non programmata: il principio delle transazioni successive viene concordato con il titolare della carta di credito, ma l’importo e/o la periodicità non è di tipo fisso
- Pratiche del settore: incrementale, no show, ecc...
Per il periodo di transizione, gli schemi prevedono un ID predefinito da utilizzare per MIT successive create prima dell’introduzione di 3DS v2.
Non sono disponibili informazioni al riguardo, dato che gli emittenti non hanno ancora fornito dati affidabili. MasterCard sta attualmente conducendo sondaggi in Europa, ma i risultati possono variare notevolmente a seconda della Nazione. Lo stato continuerà a evolversi fino a settembre. A gennaio 2019, solo i 2/3 degli emittenti hanno completato la certificazione EMVCo v2.1. In questo elenco di emittenti, il supporto delle esenzioni ha oscillato tra l’80% (ricorrente) e il 50% (whitelist).
Se usi la nostra pagina Worldline, Worldline si prenderà cura di tutti i campi obbligatori.
Se sei integrato in DirectLink, significa che gestisci la tua pagina di pagamento, e per questo caso abbiamo un esempio di Javascript per raccogliere i dati obbligatori e questo è disponibile nella pagina di supporto.
A meno che l’autenticazione non sia una fase obbligatoria (ad esempio, in caso di registrazione di una carta o di transazione iniziale di una serie di transazioni ricorrenti), gli emittenti possono decidere di saltare l’autenticazione. In tale scenario, l’emittente sarà responsabile in caso di chargeback.
“Aggiungere valore alla carta” fa riferimento al caso in cui un fornitore di portafogli utilizza il protocollo 3DS per aggiungere una carta al proprio portafoglio. Questa opzione sarà implementata dal rispettivo fornitore di portafogli.
La versione 2 di Secure è l’evoluzione dei programmi dell’attuale versione 1 di 3-D Secure: verificata da Visa, Mastercard SecureCode, AmericanExpress SafeKey, Diners/Discover ProtectBuy e JCB J/Secure. Si basa su una specifica stilata da EMVco. La presenza di EMVCo facilita l’interoperabilità a livello mondiale e l’accettazione delle transazioni di pagamento sicure. È supervisionata dai sei membri costituenti l’organizzazione di EMVCo - American Express, Discover, JCB, Mastercard, UnionPay e Visa - ed è supportata da dozzine di banche, commercianti, incaricati, vendor e altri operatori del settore che partecipano come associati di EMVCo.
Nella versione 2 una delle principali differenze è che l’emittente utilizza i molti punti-dati emergenti dalla transazione per determinarne i rischi (analisi basata sul rischio). Nelle transazioni a basso rischio gli emittenti non sarà chiesta conferma della transazione (ad esempio non sarà inviato un SMS al titolare della carta), anche se la transazione (senza attrito) viene autenticata. Al contrario, nelle transazioni ad alto rischio gli emittenti chiederanno al titolare della carta l’autenticazione con un SMS o con mezzi biometrici (richiesta di conferma).
Oltre a questo, l’autenticazione forte del cliente (SCA) richiesta nel l'UE dal 1° gennaio 2021 e nel Regno Unito dal 14 settembre 2021 come specificato nella PSD2 darà luogo a un sostanziale aumento del numero di transazioni che richiedono l’uso dell’autenticazione 3-D Secure. L’utilizzo della versione 2 di 3-D Secure dovrebbe limitare al massimo i possibili effetti negativi sulla conversione. In breve, la versione 2 di 3-D Secure significa che:
- Dovrai implementare 3-D Secure prima del 1 gennaio 2021 se le tue transazioni rientrano nelle direttive SCA PSD2 dell’EU (nel caso in cui 3-D Secure non sia già supportato).
- Ti sarà consigliato (e ad alcuni sarà richiesto) di inviare altri punti-dati per supportare la valutazione del rischio eseguita dall’emittente nel caso della versione 2 di 3-D Secure
- Potrebbe essere necessario aggiornare la tua normativa sulla privacy relativamente al GDPR, perché potresti condividere altri punti-dati con terze parti
- I consumatori avranno una user experience molto migliore
Il mercato si aspetta che una sostanziale percentuale delle transazioni che utilizzano la versione 2 di 3-D Secure seguirà il flusso senza attrito, perché non viene richiesta nessuna aggiunta da parte del titolare della carta rispetto agli attuali flussi di cassa eseguiti senza 3-D Secure. Ciò significa che puoi beneficiare di un maggiore livello di sicurezza e responsabilità fornito dai programmi 3-D Secure, mentre la conversione nel processo di checkout non dovrebbe avere un impatto negativo.
Questo scenario è possibile esclusivamente in caso di integrazione solo tramite DirectLink (pagina del commerciante/FlexCheckOut), dal momento che nella pagina di pagamento ospitata da Worldline, Worldline raccoglie i dati obbligatori.
Innanzitutto, Worldline identificherà il flusso da indirizzare a v1 o v2 in base ai numeri delle carte.
Se la carta è registrata V2, sono possibili i seguenti scenari:
Dati obbligatori:
- Se vengono trasmessi dati errati, la transazione viene bloccata
- In mancanza di alcuni dati, Worldline indirizzerà la transazione al flusso v1
- Se non viene trasmesso alcun dato, la transazione NON viene bloccata ma deviata verso il flusso v1
Dati raccomandati o opzionali:
- se non viene trasmesso alcun dato, la transazione NON viene bloccata, ma non può beneficiare dell’esenzione.
Come questo è definito dalla prontezza dell’acquirente, la disponibilità di 3DSv2 dipende dal singolo acquirente.
La maggior parte degli acquirenti francesi supporterà l’autenticazione forte del cliente (SCA) entro il 14 settembre 2019, ma non le esenzioni. L’introduzione delle esenzioni sarà resa disponibile dai singoli acquirenti tra ottobre 2019 e marzo 2020.
Per rendere la vita più facile ai commercianti e ai consumatori, la PSD2 permette ad alcuni l’esenzione dall’autenticazione forte del cliente (SCA) È importante notare che tutte le transazioni che si qualificano per l’esenzione non saranno esentate automaticamente. Per esempio, nel caso delle transazioni con carte di pagamento è la banca emittente della carta che decide se l’esenzione venga approvata o meno. Quindi, anche se una transazione si qualifica per l’esenzione, il cliente potrebbe dover effettuare anche l’autenticazione forte se la banca emittente della carta sceglie di richiederlo.
Puoi iniziare a testare, Ingenico utilizza nella piattaforma di test, un simulatore per creare tutti i diversi scenari.
Le carte di pagamento di prova sono disponibili e possono essere trovate sul sito di supporto, così come nell'ambiente di prova (Configurzione > Informazione tecniche > Info di test)
Se desiderate iniziare a utilizzare la versione 2 (3DSv2) di 3-D Secure in produzione, vi preghiamo di contattarci
Il tuo certificato PCI è valido per un anno ed è conforme per qualsiasi acquirente.
Attualmente siamo in fase di certificazione per la v2.2 e sarà in produzione nel quarto trimestre del 2020.
Oltre al rilascio della piattaforma a luglio, abbiamo migliorato i dettagli della nostra panoramica sulle transazioni. Ora, le singole transazioni accessibili contengono informazioni dettagliate relative a quale flusso (3Dsv2 o 3DS v1 legacy) è stato applicato. Ulteriori informazioni sono disponibili nelle nostre note per la versione 04.133 nel backoffice tramite Support (Supporto) > Platform Releases (Versioni piattaforma) > Release 04.133 (Versione 04.133)
dei rapporti elettronico.
I valori possibili per VERSION_3DS sono
V1 (per 3DS v1)
V2C (per Flusso 3DS v2 Challenge)
V2F (per Flusso 3DS v2 Frictionless)
Per aggiungere questo parametro ai download dei file delle transazioni, seguire le istruzioni come mostrato in questo video:
Le esclusioni sono transazioni ESTERNE all’applicazione delle normative SCA della PSD2:
- Ordini per posta/ordini telefonici
- Il PSP del beneficiario (ovvero l’acquirente del commerciante) o il PSP del pagatore (ovvero l’emittente del metodo di pagamento dell’acquirente) si trova fuori dalla zona SEE (Spazio Economico Europeo)
- Carte di pagamento prepagate anonime fino a 150 € (articolo 63)
- MIT - Merchant Initiated Transactions
Le esenzioni sono transazioni INTERNE all’applicazione delle normative SCA della PSD2:
- Transazioni di basso valore
- Quote associative
- Analisi del rischio
- Whitelisting
No, questo non è possibile e non è nemmeno pianificato di farlo.
In casi simili, Worldline gestirà automaticamente un fallback a 3-D Secure v1.
L’ABE (Autorità bancaria europea) e le banche nazionali di ogni Nazione interessata hanno concordato un periodo di tolleranza (almeno fino a marzo 2020). Ciò darà a tutti gli attori del settore eCommerce l’opportunità di chiarire tutti i dettagli relativi a questa nuova normativa. Tuttavia, consigliamo vivamente di attivare il 3DS nei propri account il prima possibile.
Il nostro ambiente TEST è pronto, quindi consigliamo di iniziare a provare la tua integrazione il prima possibile.
Fai clic qui se stai utilizzando la pagina eCommerce. Se stai usando la tua pagina, fai clic qui.
Se l'emittente applica il nuovo regolamento PSD2 e 3-d Secure (3DS) non è attivo nell’account del commerciante, la transazione sarà rifiutata con un nuovo codice di errore - soft decline.
Pertanto, si prega di assicurarsi di avere 3DS attivo per ogni marchio negli account.
Se si è integrati con DirectLink (Server to Server), sarà necessario implementare il meccanismo di soft decline nd come descritto qui.
Poiché 3DSv2 introduce un’autenticazione frictionless, il tempo di elaborazione di una transazione potrebbe essere ridotto. Al contrario, se viene richiesta un’autenticazione forte del cliente (SCA), il tempo di elaborazione potrebbe essere maggiore.
Nel l'UE dal 1° gennaio 2021 e nel Regno Unito dal 14 settembre 2021 le regole dell’autenticazione forte del cliente (SCA) diverranno effettive per tutti i pagamenti digitali in Europa. In questo momento le banche, i fornitori di servizi di pagamento e le reti di carte di pagamento sono tutti al lavoro sulle soluzioni tecniche per conformarsi ai requisiti della PSD2. Per accettare i pagamenti dopo il 1° gennaio 2021, dovrai verificare che queste soluzioni tecniche funzionino per il tuo negozio online.
Per accettare i pagamenti dalle più grandi reti mondiali di carte, Visa, Mastercard e Amex, sarà necessario aver implementato la soluzione di sicurezza 3D Secure nel tuo negozio online. 3D Secure viene utilizzata fin dal 2001 per migliorare la sicurezza delle transazioni online delle carte di pagamento, e ora è stata sviluppata una nuova versione che faciliterà i requisiti dell’autenticazione forte del cliente (SCA) della PSD2.
Worldline consiglia di utilizzare 3-D Secure, perché aiuta a prevenire le truffe e protegge anche dalle responsabilità per eventuali frodi. Dal 1° gennaio 2021 sarà anche un requisito per accettare i pagamenti delle principali carte.
La seconda direttiva UE sui servizi di pagamento (2015/2366 Second Payment Services Directive, PSD2) è entrata in vigore nel gennaio 2018, allo scopo di garantire la protezione dei consumatori su tutti i tipi di pagamento, promuovendo una visione sui pagamenti ancora più aperta e competitiva. Agendo come fornitore di servizi di pagamento, Worldline si reputa di essere certificato conforme alla PSD2 dal 29 maggio 2018.
Uno dei requisiti chiave della PSD2 è legato all’autenticazione forte del cliente (Strong Customer Authentication, SCA) che sarà richiesta per tutte le transazioni elettroniche nel l'UE dal 1° gennaio 2021 e nel Regno Unito dal 14 settembre 2021. La SCA richiederà ai titolari di carte di credito di autenticarsi con almeno DUE dei seguenti tre metodi:
- Qualcosa che conoscono (PIN, password, ...)
- Qualcosa che possiedono (lettore di carte, telefonino, …)
- Qualcosa della loro persona (riconoscimento vocale, impronta digitale, …
In pratica questo significa che i tuoi clienti non potranno più effettuare un pagamento online con carta di pagamento usando solo le informazioni delle loro carte. Al loro posto dovranno, per esempio, verificare la propria identità con la app di una banca collegata al proprio telefono e che richiede una password o un’impronta digitale per approvare l’acquisto.
Maggiori informazioni su PSD2 potranno essere trovate qui: https://www.europeanpaymentscouncil.eu/sites/default/files/infographic/2018-04/EPC_Infographic_PSD2_April%202018.pdf
3DSv2 sta invitando i commercianti a inviare informazioni aggiuntive (obbligatorie / raccomandate..). Tutto quello che devi sapere come commerciante su questo argomento può essere trovato qui:
COF in breve: il cliente avvia una prima transazione con un commerciante con 3D-S (CIT). A partire da questa prima esperienza di transazione, il commerciante ha la possibilità di eseguire transazioni ricorrenti (in abbonamento o con approvazione del cliente -> tokenizzazione), contrassegnate come transazioni MIT.
Le transazioni MIT rappresentano una delle esenzioni previste all’interno della soluzione 3DSv2, a condizione che soddisfino le seguenti condizioni cumulative:
- transazioni successive a una CIT iniziale
- CIT eseguita con un’autenticazione obbligatoria
- Viene stabilito un collegamento ID dinamico tra la CIT iniziale e le transazioni MIT successive
Dopo l’autenticazione iniziale, possono essere applicate esenzioni/esclusioni:
- Sia a causa di esenzioni legali ricorrenti applicabili ad abbonamenti con periodicità e importo di tipo fisso (si consiglia ai commercianti di autenticarsi per l’importo totale + fornire dettagli sul numero di pagamenti concordati con i titolari di carte di credito)
- Sia perché altri tipi di transazioni vengono esclusi dall’ambito SCA... a esclusivo rischio del commerciante in caso di chargeback (protezione limitata all’importo autenticato) E con necessità da parte dell’emittente di accettare l’assunzione di tale rischio:
- COF non programmata: il principio delle transazioni successive viene concordato con il titolare della carta di credito, ma l’importo e/o la periodicità non è di tipo fisso
- Pratiche del settore: incrementale, no show, ecc...
Per il periodo di transizione, gli schemi prevedono un ID predefinito da utilizzare per MIT successive create prima dell’introduzione di 3DS v2.
Se usi la nostra pagina Worldline, Worldline si prenderà cura di tutti i campi obbligatori.
Se sei integrato in DirectLink, significa che gestisci la tua pagina di pagamento, e per questo caso abbiamo un esempio di Javascript per raccogliere i dati obbligatori e questo è disponibile nella pagina di supporto.
La versione 2 di Secure è l’evoluzione dei programmi dell’attuale versione 1 di 3-D Secure: verificata da Visa, Mastercard SecureCode, AmericanExpress SafeKey, Diners/Discover ProtectBuy e JCB J/Secure. Si basa su una specifica stilata da EMVco. La presenza di EMVCo facilita l’interoperabilità a livello mondiale e l’accettazione delle transazioni di pagamento sicure. È supervisionata dai sei membri costituenti l’organizzazione di EMVCo - American Express, Discover, JCB, Mastercard, UnionPay e Visa - ed è supportata da dozzine di banche, commercianti, incaricati, vendor e altri operatori del settore che partecipano come associati di EMVCo.
Nella versione 2 una delle principali differenze è che l’emittente utilizza i molti punti-dati emergenti dalla transazione per determinarne i rischi (analisi basata sul rischio). Nelle transazioni a basso rischio gli emittenti non sarà chiesta conferma della transazione (ad esempio non sarà inviato un SMS al titolare della carta), anche se la transazione (senza attrito) viene autenticata. Al contrario, nelle transazioni ad alto rischio gli emittenti chiederanno al titolare della carta l’autenticazione con un SMS o con mezzi biometrici (richiesta di conferma).
Oltre a questo, l’autenticazione forte del cliente (SCA) richiesta nel l'UE dal 1° gennaio 2021 e nel Regno Unito dal 14 settembre 2021 come specificato nella PSD2 darà luogo a un sostanziale aumento del numero di transazioni che richiedono l’uso dell’autenticazione 3-D Secure. L’utilizzo della versione 2 di 3-D Secure dovrebbe limitare al massimo i possibili effetti negativi sulla conversione. In breve, la versione 2 di 3-D Secure significa che:
- Dovrai implementare 3-D Secure prima del 1 gennaio 2021 se le tue transazioni rientrano nelle direttive SCA PSD2 dell’EU (nel caso in cui 3-D Secure non sia già supportato).
- Ti sarà consigliato (e ad alcuni sarà richiesto) di inviare altri punti-dati per supportare la valutazione del rischio eseguita dall’emittente nel caso della versione 2 di 3-D Secure
- Potrebbe essere necessario aggiornare la tua normativa sulla privacy relativamente al GDPR, perché potresti condividere altri punti-dati con terze parti
- I consumatori avranno una user experience molto migliore
Il mercato si aspetta che una sostanziale percentuale delle transazioni che utilizzano la versione 2 di 3-D Secure seguirà il flusso senza attrito, perché non viene richiesta nessuna aggiunta da parte del titolare della carta rispetto agli attuali flussi di cassa eseguiti senza 3-D Secure. Ciò significa che puoi beneficiare di un maggiore livello di sicurezza e responsabilità fornito dai programmi 3-D Secure, mentre la conversione nel processo di checkout non dovrebbe avere un impatto negativo.
Questo scenario è possibile esclusivamente in caso di integrazione solo tramite DirectLink (pagina del commerciante/FlexCheckOut), dal momento che nella pagina di pagamento ospitata da Worldline, Worldline raccoglie i dati obbligatori.
Innanzitutto, Worldline identificherà il flusso da indirizzare a v1 o v2 in base ai numeri delle carte.
Se la carta è registrata V2, sono possibili i seguenti scenari:
Dati obbligatori:
- Se vengono trasmessi dati errati, la transazione viene bloccata
- In mancanza di alcuni dati, Worldline indirizzerà la transazione al flusso v1
- Se non viene trasmesso alcun dato, la transazione NON viene bloccata ma deviata verso il flusso v1
- se non viene trasmesso alcun dato, la transazione NON viene bloccata, ma non può beneficiare dell’esenzione.
La maggior parte degli acquirenti francesi supporterà l’autenticazione forte del cliente (SCA) entro il 14 settembre 2019, ma non le esenzioni. L’introduzione delle esenzioni sarà resa disponibile dai singoli acquirenti tra ottobre 2019 e marzo 2020.
Per rendere la vita più facile ai commercianti e ai consumatori, la PSD2 permette ad alcuni l’esenzione dall’autenticazione forte del cliente (SCA) È importante notare che tutte le transazioni che si qualificano per l’esenzione non saranno esentate automaticamente. Per esempio, nel caso delle transazioni con carte di pagamento è la banca emittente della carta che decide se l’esenzione venga approvata o meno. Quindi, anche se una transazione si qualifica per l’esenzione, il cliente potrebbe dover effettuare anche l’autenticazione forte se la banca emittente della carta sceglie di richiederlo.
Puoi iniziare a testare, Ingenico utilizza nella piattaforma di test, un simulatore per creare tutti i diversi scenari.
Le carte di pagamento di prova sono disponibili e possono essere trovate sul sito di supporto, così come nell'ambiente di prova (Configurzione > Informazione tecniche > Info di test)
Se desiderate iniziare a utilizzare la versione 2 (3DSv2) di 3-D Secure in produzione, vi preghiamo di contattarci
Attualmente siamo in fase di certificazione per la v2.2 e sarà in produzione nel quarto trimestre del 2020.
I valori possibili per VERSION_3DS sono
V1 (per 3DS v1)
V2C (per Flusso 3DS v2 Challenge)
V2F (per Flusso 3DS v2 Frictionless)
Per aggiungere questo parametro ai download dei file delle transazioni, seguire le istruzioni come mostrato in questo video:
- Ordini per posta/ordini telefonici
- Il PSP del beneficiario (ovvero l’acquirente del commerciante) o il PSP del pagatore (ovvero l’emittente del metodo di pagamento dell’acquirente) si trova fuori dalla zona SEE (Spazio Economico Europeo)
- Carte di pagamento prepagate anonime fino a 150 € (articolo 63)
- MIT - Merchant Initiated Transactions
- Transazioni di basso valore
- Quote associative
- Analisi del rischio
- Whitelisting
L’ABE (Autorità bancaria europea) e le banche nazionali di ogni Nazione interessata hanno concordato un periodo di tolleranza (almeno fino a marzo 2020). Ciò darà a tutti gli attori del settore eCommerce l’opportunità di chiarire tutti i dettagli relativi a questa nuova normativa. Tuttavia, consigliamo vivamente di attivare il 3DS nei propri account il prima possibile.
Il nostro ambiente TEST è pronto, quindi consigliamo di iniziare a provare la tua integrazione il prima possibile.
Fai clic qui se stai utilizzando la pagina eCommerce. Se stai usando la tua pagina, fai clic qui.
Se l'emittente applica il nuovo regolamento PSD2 e 3-d Secure (3DS) non è attivo nell’account del commerciante, la transazione sarà rifiutata con un nuovo codice di errore - soft decline.
Pertanto, si prega di assicurarsi di avere 3DS attivo per ogni marchio negli account.
Se si è integrati con DirectLink (Server to Server), sarà necessario implementare il meccanismo di soft decline nd come descritto qui.