Pagamenti digitali ai tempi del coronavirus, gli obblighi di adozione dell’autenticazione del cliente e l’importanza di progettare user experience “full-contactless”

L’autenticazione del cliente per i pagamenti in prossimità presso punti vendita fisici, dove la distanza sociale deve fare i conti con la distanza fisiologica fra gli strumenti adottati per portare a termine il pagamento, deve essere opportunamente gestita. Un’analisi sulle tecnologie e i servizi più comunemente adottati, dai pagamenti con carta contact e contactless, sino ai pagamenti Mobile Proximity e istantanei alla ricerca di una user experience “full-conctactless”.

Pubblicato il 09 Apr 2020

coronavirus

Roberto Garavaglia, Innovative Payments Strategy Advisor

La pandemia di Covid-19 sta alimentando la preoccupazione dell’opinione pubblica che il coronavirus possa trasmettersi tramite l’impiego del contante per i pagamenti che si compiono quotidianamente. In una recente pubblicazione[1] della Banca dei Regolamenti Internazionali (BIS – Bank for International Settlements)[2] , emerge come alcune ricerche condotte in ambito microbiologico che hanno esaminato se gli agenti patogeni – compresi virus, batteri, funghi –, potessero sopravvivere su banconote e monete[3], abbiano confermato la possibilità che alcuni di essi possono persistere per ore o giorni sulle medesime.

Alcuni ricercatori citati nella pubblicazione in discorso[4], hanno parimenti osservato come le superfici non porose, quali la plastica o l’acciaio inossidabile, abbiano una migliore efficienza di trasferimento, contribuendo con ciò a una maggiore facilità di trasmissione di virus e batteri. Tale rilevanza, potrebbe quindi implicare che tramite l’uso di carte di pagamento e terminali POS (o PIN pad[5]), la trasmissione di agenti patogeni possa purtroppo avvenire[6].

Il contatto con questi dispositivi è necessario sia per i pagamenti tradizionali che richiedono, almeno, una “lettura” fisica della carta, sia per quelli contactless, laddove viene richiesta la digitazione di un codice segreto come disposto in materia di autenticazione del cliente, per transazioni d’importo superiore ai limiti individuati dalle deroghe vigenti in materia di servizi di pagamento (in Europa previste dalla PSD2[7]).

Ciò premesso, si legge nella pubblicazione BIS, gli scienziati osservano che, a tutt’oggi, non è ancora del tutto chiaro se la trasmissione di Covid-19 possa essere realisticamente comparata  tra diverse esperienze di vicinanza, fra cui ricomprendere sia i rapporti di prossimità persona-persona, sia quelli fra altri oggetti posti tra di loro a distanza ravvicinata.

Attesa la delicatezza di questo tema che fa anche leva sull’umana percezione di sicurezza di ogni individuo nel rapporto con la tecnologia, si vuole ora riflettere sulle diverse user experience di un pagamento in prossimità, ovvero di un atto che completa l’acquisto presso un punto di vendita fisico effettuato con strumenti di pagamento digitali, avendo cura di analizzare l’impatto dipeso dagli obblighi di adozione dell’autenticazione forte del cliente (o SCA Strong Customer Authentication) sulla effettiva distanza spaziale che può (in alcuni casi deve) intercorrere fra cliente ed esercente.

I rapporti di prossimità che considereremo sono quelli che si rendono necessari sia fra umani, ossia rapporti persona-persona, come sono i casi in cui il cliente è portato ad avvicinarsi all’esercente, sia quelli che intervengono fra umani e oggetti, in particolare nella declinazione persona-oggetto esterno, dove per “oggetto esterno”  intendiamo qualcosa di fisico e materiale al di fuori del controllo (ovvero portata) del cliente che paga presso un punto vendita, come è il POS (o un PIN pad), ma come invece potrebbe non essere il proprio cellulare.

L’autenticazione forte del cliente prevista dalla PSD2 e i pagamenti in prossimità

L’autenticazione forte del cliente prevista dalla PSD2 e dalle regole tecniche[8] definite dall’EBA (European Banking Authority) recepite nel regolamento delegato UE 2018/389, in vigore dal 14 settembre 2019, deve essere fatta verificando almeno due fattori appartenenti alle categorie della conoscenza, ossia qualcosa che solo l’utente conosce (come un PIN ovvero un codice personale), del possesso, ossia qualcosa che solo l’utente possiede (per esempio un telefono cellulare), dell’inerenza, ossia qualcosa che caratterizza l’utente come potrebbe essere un dato biometrico (p.e. l’impronta digitale o la scansione facciale).

Con riferimento ai pagamenti in prossimità che avvengono tramite l’uso di carte e terminali POS fisici, il documento dell’EBA “Statement on consumer and payment issues in light of COVID19”, datato 25 marzo 2020, incoraggia i consumatori e i commercianti ad adottare le necessarie precauzioni sanitarie quando forniscono o utilizzano i terminali dei punti vendita per pagare prodotti o servizi in negozio che richiedono un PIN, anche considerando tutti i metodi di pagamento disponibili, come i pagamenti contactless o a distanza[9].

Con lo stesso documento, EBA invita altresì i prestatori di servizi di pagamento (banche, istituti di pagamento, istituti di moneta elettronica, Poste) a contribuire nell’attuazione di misure che limitino la diffusione di COVID-19 e, a tal fine, a facilitare la capacità dei consumatori di effettuare pagamenti senza bisogno di alcun contatto fisico, avvalendosi dell’attuale esenzione dall’autenticazione forte del cliente concessa per i pagamenti contactless presso l’esercizio commerciale. Inoltre, nel caso in cui le soglie fissate dai prestatori di servizi di pagamento per l’utilizzo di tale esenzione siano inferiori alla soglia consentita dalle deroghe, l’Autorità incoraggia i prestatori di servizi di pagamento ad aumentare, ove possibile, tali limiti fino alle soglie massime di 50 EUR per transazione consentite[10].

Avendo compreso il significato di Strong Customer Authentication e tenendo presente quanto indicato nel succitato documento EBA del 25 marzo scorso, procediamo ora con l’analisi delle user experience dei pagamenti in prossimità. Tali caratteristiche verranno considerate sia sulla scorta dello strumento in sé (carta, bonifico) che si sceglie di usare, sia sulla base delle diverse cinematiche esperienziali, abilitate da differenti tecnologie che mediano il rapporto di vicinanza fisica fra i due soggetti che entrano in relazione (acquirente e venditore).

Classificazione dei pagamenti in prossimità

Per agevolare la comprensione, si è voluto classificare il pagamento in prossimità nelle seguenti tre macrocategorie:

  1. Pagamenti effettuati con carte in modalità “contact”;
  2. Pagamenti effettuati con carte in modalità “contactless”;
  3. Pagamenti riconducibili nel contesto Mobile Proximity Payment.

I pagamenti ascrivibili nelle prime due macrocategorie sono quelli, oggigiorno, più diffusi e prevedono l’impiego di una carta di credito, debito o prepagata.

Nella terza macrocategoria sono inclusi i pagamenti effettuati attraverso uno smartphone, impiegando diverse tecnologie, fra cui quelle di norma associate alle carte come l’NFC[11], o altre che si appoggiano a un conto, sfruttando QR Code o geolocalizzazione.

Per il fine che ci si è preposto nella stesura di questo articolo, tenendo in considerazione il diverso impatto della autenticazione forte del cliente, è opportuno suddividere ulteriormente quest’ultima categoria in:

  1. Mobile Proximity Payment basati sulla smaterializzazione di una carta di pagamento, dove nel cellulare sono installate specifiche applicazioni di Digital Wallet che consentono di interagire con il POS mediante una tecnologia di trasmissione a corto raggio come l’NFC;
  2. Mobile Proximity Instant Payment basati sull’impiego di conti di moneta elettronica o di pagamento prealimentati (o alimentabili), piuttosto che sull’uso di bonifici istantanei, dove nel cellulare è presente una specifica applicazione che permette di disporre (ovvero avviare) un trasferimento istantaneo di fondi verso il beneficiario (ossia l’esercente), identificato mediante un QR code o tramite geolocalizzazione. In questa sottocategoria l’impiego eventuale di una carta di pagamento non è predeterminatamente escluso; infatti, la carta può essere usata come strumento per sussidiare il conto di moneta elettronica o di pagamento, ma, in questo modo, la stessa non ha alcuna necessità di essere fisicamente presentata al commerciante (i dati della carta sono acquisiti preventivamente in fase di attivazione del conto e l’operazione di ricarica avviene ex-ante).

Le due sottocategorie indentificate ci permettono di comprendere come, per ciò che concerne gli obblighi dipesi dalla Strong Customer Authentication, la prima si caratterizzi per un’applicazione simile a quella dei pagamenti contactless, mentre la seconda si connoti per un’adozione in linea con quella dei pagamenti a distanza.

Premessa questa classificazione, procediamo ora con la disamina dei singoli casi d’uso, per ciascuno dei quali analizzeremo come la SCA impatti sul rapporto di vicinanza fisica tra acquirente ed esercente, seguendo questo schema:

  • Pagamenti digitali con carte:
    • Pagamenti contact;
    • Pagamenti contactless;
    • Mobile Proximity Payments;
  • Mobile Proximity Instant Payments.

Pagamenti digitali con carte

Le molteplici esperienze di pagamento con carta che possono viversi presso un punto vendita, dipendono essenzialmente dalla tecnologia adottata e dal servizio offerto dalla banca (o dal generico prestatore di servizi di pagamento).

In via generale, possiamo distinguere tra due classi nel dominio della tecnologia di comunicazione fra carta e terminale di accettazione, e due classi nel dominio del servizio di pagamento che si è scelto di adottare.

Le prime due ci permettono di individuare:

  • 1. Pagamenti che si compiono mediante la lettura a contatto di una carta di pagamento fisica presso il terminale POS (pagamenti “contact”)
  • 2. Pagamenti che si compiono sfruttando un accoppiamento in radio frequenza (RFID) fra la carta fisica (o smaterializzata) e il POS (pagamenti “contactless”).

Nel novero delle seconde, troviamo invece:

  • A. Servizi di pagamento basati su carta fisica, ossia che presuppongono il possesso di una plastica, con cui l’utente può pagare sia in modalità “contact” sia in modalità “contactless”;
  • B. Servizi di pagamento basati sulla smaterializzazione della carta, operati tramite l’uso di opportuni Digital Wallet che nella maggior parte dei casi sono installati su smartphone come applicazioni aggiuntive.

Fatta questa perimetrazione a matrice delle tecnologie e dei servizi di pagamento, analizziamo ora le diverse modalità che l’acquirente può essere chiamato a adottare, nell’interazione con il terminale POS (o PIN pad collegata al registratore di cassa) installato presso il punto vendita.

Con carte la cui materialità è prerogativa della tecnologia e del servizio scelti (nella matrice queste combinazioni sono: 1A, 2A), può essere sempre necessario sia il contatto fra carta e POS sia quello fra titolare della carta e terminale.

Nel caso di carta a contatto, quando il POS non sia installato di fronte al cliente, la medesima viene data all’esercente che provvederà a farla leggere dal terminale e, qualora la transazione avviata lo richieda, l’acquirente titolare della carta dovrà digitare un PIN sul POS per confermare la transazione stessa.

La necessità di provvedere all’imputazione del PIN, può rilevare anche per transazioni contactless, qualora l’importo ecceda i limiti previsti dalle deroghe per questo tipo di pagamento. A tale proposito, come ricordato più sopra, vale ricordare che, in Europa, detti limiti sono previsti dalla stessa PSD2 e vigono dal 14 settembre 2019.

Più in dettaglio, la direttiva dispone che le succitate regole tecniche definite dall’EBA, recepite nel regolamento delegato UE 2018/389, consentano ai prestatori di servizi di pagamento di derogare all’applicazione dell’autenticazione forte del cliente per pagamenti contactless, purché siano soddisfatte le seguenti condizioni:

  • a) l’importo individuale dell’operazione non supera i 50 euro; e
  • b) l’importo cumulativo delle precedenti operazioni di pagamento contactless disposte per mezzo del medesimo strumento di pagamento a partire dalla data dell’ultima applicazione dell’autenticazione forte del cliente non supera i 150 euro; oppure
  • c) il numero di operazioni consecutive di pagamento contactless disposte per mezzo del medesimo strumento di pagamento a partire dalla data dell’ultima applicazione dell’autenticazione forte del cliente non è superiore a cinque.

Ne consegue che, anche per quei pagamenti che parrebbero garantire maggiore distanza fra compratore e venditore, nel momento in cui si termina un acquisto presso un punto vendita fisico, ricorrono taluni casi in cui è invece necessario prevedere un “contatto” fisico tra il titolare della carta e il terminale POS (o PIN pad) dell’esercente, non foss’altro che per l’acquisizione del PIN.

Per quei pagamenti dove la materialità della carta non è invece prevista, come è il caso 2B inscritto nella matrice di cui prima, le distanze fra acquirente ed esercente potrebbero essere più significativamente garantite. L’impiego di Digital Wallet installati su smartphone dotati di tecnologia NFC, permette infatti di eseguire l’autenticazione forte del cliente senza alcun contatto di digito-pressione con il terminale di accettazione (ossia senza che il cliente imputi il codice segreto sul POS), potendosi ottemperare mediante (ad esempio) l’acquisizione dell’impronta digitale (o la scansione facciale) direttamente sullo smartphone.

In questo caso, dei tre fattori richiesti dalla Strong Customer Authentication, verrebbero impiegati quelli nel dominio del possesso (rappresentati dal possesso dello smartphone) e dell’inerenza (l’impronta digitale o la scansione facciale).

Mobile Proximity Instant Payments

Veniamo ora a considerare quei pagamenti digitali effettuabili presso il punto vendita che possono non richiedere l’uso di una carta contestuale al pagamento stesso. Ci riferiamo in particolare a quei servizi, anche in questo operati mediante l’ausilio di uno smartphone, che permettono di avviare un trasferimento di fondi fra conti di moneta elettronica o di conti di pagamento, piuttosto che tramite bonifico istantaneo (attingendo la disponibilità, in questo caso, direttamente su C/C del pagatore), tali da potersi rendere fruibili presso i punti vendita fisici mediante l’uso di tecnologie di norma non basate su NFC. L’accoppiamento fra dispositivo in possesso del pagatore e dispositivo in possesso dell’esercente può avvenire, ad esempio, tramite la lettura di codice QR o mediante la geolocalizzazione.

Anche con tali strumenti vige l’obbligo di adozione della Strong Customer Authentication, sebbene con alcune differenze in merito al perimetro di deroga concesso. Per la PSD2 questi pagamenti, infatti, è come se si allineassero nella più ampia definizione di “pagamenti a distanza”, anche se compiuti mediante strumenti che attengono l’ambito spaziale di una prossimità. L’osservazione in merito alla circoscrizione di un ambito spaziale ristretto non deve trarre in inganno; infatti, la “distanza” che viene richiamata nella definizione, si riferisce non già a quella intercorrente fra i due dispositivi tecnologici che avviano un trasferimento di fondi, bensì a quella degli strumenti di pagamento impiegati per eseguire il medesimo.

Nel caso di soluzioni basate su conti di moneta elettronica o di pagamento, il trasferimento di fondi (che avviene, appunto, fra due conti di moneta elettronica o di pagamento, l’uno intestato al pagatore, l’altro al beneficiario) è disposto tramite ordini di pagamento (a valere sulla disponibilità del conto pagatore) che verranno eseguiti “remotamente” dal prestatore di servizi di pagamento che gestisce entrambi i conti.

Nel caso di soluzioni basate su bonifici (anche istantanei), come ad esempio quelle previste nell’ambito dei nuovi schemi di pagamento MSCT Mobile Initiated SCT, alla disposizione dell’ordine (a valere sul conto corrente della banca presso cui il pagatore ha in essere un rapporto), seguirà l’esecuzione del pagamento in modo simile a quanto avverrebbe usando sistemi di remote banking.

La PSD2 (o, meglio, il già citato regolamento UE delegato UE 2018/389 che ha recepito le regole tecniche EBA), dispone che il prestatore di servizi di pagamento possa derogare dall’applicazione dell’autenticazione forte del cliente in una serie di circostanze, fra cui vale annoverare:

  • l’esecuzione dei cc.dd. “micropagamenti”, ovvero non superiori a 30 euro;
  • il trasferimento di fondi verso beneficiari “di fiducia”;
  • per le operazioni definibili “ricorrenti”;
  • quando viene effettuata una specifica analisi dei rischi connessi alle operazioni di pagamento.

Ciò che tuttavia rileva, a prescindere dall’applicabilità delle deroghe suddette, è che nel pagamento disposto con tali strumenti – per i quali, ricordiamo, si prevede necessariamente l’installazione di una specifica applicazione sullo smartphone dell’acquirente –, l’utente può autorizzare la transazione, di qualsiasi importo, autenticandosi mediante l’impiego del dispositivo in suo possesso, per esempio tramite la sua impronta digitale.

Conclusioni (alla ricerca di una user experience “full-contactless”)

L’analisi proposta in questo articolo ha voluto considerare l’impatto degli obblighi dipesi dalla corretta applicazione dell’autenticazione forte del cliente (SCA), per i pagamenti con strumenti alternativi al contante che si compiono in prossimità presso punti vendita fisici e dove la distanza sociale, richiamata più volte in questo periodo di diffusione pandemica del coronavirus, deve fare i conti con la distanza fisiologica fra gli strumenti adottati per portare a termine il pagamento.

Le varie user experience analizzate, funzione — anche — delle differenti tecnologie adottate, individuano rapporti di prossimità fra umani e di contatto fra oggetti, molto diversi fra loro che, tuttavia, sarebbe errato considerare al netto di una valutazione attinente alla loro diffusione, diversamente pervasiva e capillare.

Soluzioni che prevedono una semplice lettura della carta di pagamento sul terminale POS (tra le più diffuse), avvicinano le distanze tra compratore e venditore e possono richiedere un’interazione persona-oggetto esterno[12] per l’acquisizione di un eventuale PIN.

Nei pagamenti contactless, la prossimità persona-persona può ridursi, ma potrebbe essere richiesto un contatto persona-oggetto esterno per la digito-pressione del codice segreto sul POS, allorquando gli importi superassero quelli consentiti dalle deroghe in materia di SCA.

Sistemi basati su Mobile Proximity Payments (ad oggi meno capillarmente diffusi), consentono di ridurre al minimo l’interazione persona-oggetto esterno, permettendo di confermare l’operazione di pagamento mediante un’autenticazione che può avvenire interagendo con il solo cellulare del cliente (per esempio con l’acquisizione dell’impronta digitale, piuttosto che la scansione facciale) e favoriscono un allontanamento anche fra persone, quando viene usata la geolocalizzazione per avviare correttamente il pagamento fra cliente e punto vendita.

Nei sistemi che abbiamo definito di Mobile Proximity Instant Payment, la user experience è molto simile a quella della precedente categoria, ma gli importi potrebbero essere anche decisamente superiori, diventando valide alternative al pagamento con assegni.

Quando (si auspica il più presto possibile e nel rispetto della sicurezza di ogni individuo) inizieremo a vedere la fine del tunnel, potremo forse guardare all’esperienza di questa pandemia, riconoscendo ove (e se) essa possa averci incoraggiato (orientandoci) nel ridefinire il nostro rapporto con la tecnologia, permettendoci di comprendere in che modo possa realmente esserci di aiuto e quando, invece, rappresenti solo una fascinazione. I pagamenti digitali e il portato innovativo che ad essi  s’accompagna, sono una strada viabile per sperimentare questi orientamenti.

NOTE


[1] BIS bulletin N°3 del 3 aprile 2020, “Covid-19, cash, and the future of payments”, Raphael Auer, Giulio Cornelli and Jon Frost.

[2] La Banca dei Regolamenti Internazionali è un’organizzazione internazionale fondata nel 1930 (è la più antica istituzione finanziaria internazionale) con sede sociale a Basilea.

[3] Angelakis et al (2014), Thomas et al (2008), come citati nel BIS bulletin N°3 del 3 aprile 2020.

[4] Lopez et al (2011), come citati nel BIS bulletin N°3 del 3 aprile 2020.

[5] [5] I cc.dd. “PIN pad” sono dispositivi che permettono l’acquisizione, in sicurezza, del PIN per le transazioni con carte di pagamento; di norma, sono collegati al terminale POS (o al registratore cassa) tramite un cavo per la trasmissione dati, o mediante una tecnologia wireless.

[6] Tratto da BIS bulletin N°3 “Covid-19, cash, and the future of payments” del 3 aprile 2020: «The fact that the virus survives best on non-porous materials, such as plastic or stainless steel, means that debit or credit card terminals or PIN pads could transmit the virus too».

[7] Direttiva (UE) 2015/2366 del parlamento europeo e del consiglio del 25 novembre 2015.

[8] Regulatory Technical Standards on Strong Customer Authentication and common and secure communication under Article 98 of Directive 2015/2366 (PSD2) – EBA/RTS/2017/02.

[9] Tratto dal documento EBA “Statement on consumer and payment issues in light of COVID19” del 25 marzo 2020: «[EBA] encourages consumers and merchants to take necessary sanitary precautions when providing, or making use of, point-of-sales terminals to pay for goods in-store that require a PIN, including by considering all payment methods available, such as contactless or remote payments».

[10] Tratto dal documento EBA “Statement on consumer and payment issues in light of COVID19” del 25 marzo 2020: «[EBA] calls on payments services providers (PSPs) to contribute to measures that limit the spread of COVID-19 and, to that end, to facilitate consumers’ ability to make payments without the need for physical contact, by making use of the existing exemption from strong customer authentication (SCA) available for contactless payments at the point of sale under Article 11 of the RTS on SCA&CSC. In the event that thresholds set by PSPs for using this exemption are below the threshold allowed under the RTS, the EBA additionally encourages PSPs to increase, where possible, these limits up to the maximum thresholds of EUR 50 per transaction as allowed under the RTS».

[11] NFC Near Field Communication.

[12] Per una definizione di “oggetto esterno” si veda quanto riportato nell’incipit dell’articolo.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 5