A causa della pandemia è aumentato tantissimo il numero di acquisti effettuati online. Soprattutto nei periodi più difficili, i portali e-commerce hanno permesso di acquistare sul Web tanti prodotti anche deperibili e di uso quotidiano. E ogni volta ecco la Strong Customer Authentication (SCA) ad aspettarci al checkout, anche per acquisti ricorrenti e di basso valore. Introdotta dalla normativa PSD2, permette di effettuare acquisti in sicurezza, grazie all’invio di un codice OTP o una notifica push sul cellulare. Il rovescio della medaglia è che la conversione dei carrelli è scesa drasticamente. Come si può garantire sicurezza e contemporaneamente rendere l’esperienza di acquisto fluida e intuitiva per l’utente?
SCA vs. esperienza utente
È successo che la temuta SCA è arrivata anche in Italia e si è fatta sentire. Per chi non lo sapesse, la SCA è quel meccanismo in base al quale il nostro smartphone riceve un codice OTP (One Time Password) o una notifica push sulla app di mobile banking, al fine di autorizzare un pagamento online. Quindi, in sostanza attraverso la SCA ci autentichiamo, cioè dimostriamo che siamo proprio noi a effettuare quell’acquisto, e non qualcuno che è riuscito a rubare i dati della nostra carta. Purtroppo, però il processo di acquisto si è molto complicato: se stiamo facendo un acquisto dal pc, dopo aver inserito i dati della carta dobbiamo cambiare dispositivo, cioè prendere il cellulare, aspettare che arrivi il codice (se arriva…) e digitarlo nel browser del pc. Nondimeno, bisogna poi inserire un PIN conosciuto dal cliente, come secondo fattore di autenticazione.
Quale PIN? Ci sono banche che chiedono il PIN della carta, altre che vogliono la password dell’online banking. Il riconoscimento biometrico aiuta. Tecnologie come il TouchID e il FaceID rendono più fluida e ingaggiante l’esperienza di acquisto. Ma l’adozione fra i clienti è davvero bassissima (pochi punti percentuali) e le banche si devono fidare delle implementazioni di Apple & co. che gestiscono il riconoscimento in modalità black box.
È chiaro che se stiamo spendendo 1.000 euro, un certo livello di sicurezza ce lo aspettiamo. Ma se devo ricomprare la stessa scorta di pannolini dallo stesso sito di e-commerce, allora ci chiediamo: davvero non è possibile fare di meglio?
Facciamo un passo indietro: da dove arriva la SCA? Detta anche “autenticazione a 2 Fattori (2FA)”, è stata mutuata dal mondo dei servizi in Cloud. Chi utilizza i servizi Google, ad esempio, lo sa benissimo: se faccio un login sulla casella Gmail da un computer diverso da quello solito, viene richiesta la SCA/2FA. Tutto sommato al legislatore europeo non deve essere sembrato male come approccio alla sicurezza anche per i pagamenti digitali. Quindi l’Unione Europea ha deciso di imporla a tutte le banche mediante la direttiva PSD2, con il 2021 elevato a banco di prova ufficiale. Peccato che gli effetti sono stati negativi per tutti gli attori della filiera: merchant, gateway, circuiti di pagamento, banche acquirer e issuer.
Transazioni frictionless: un’analisi dei primi 3 mesi in Italia e in Europa
Alcune banche italiane stimano infatti un 22% di transazioni in meno rispetto allo stesso periodo dello scorso anno. Un numero enorme, soprattutto se si pensa che da questa percentuale sono già state rimosse le transazioni autorizzate al secondo tentativo. Si tratta quindi al 100% di buyer che hanno rinunciato all’acquisto.
Per ovviare a questo temuto quanto atteso problema, la PSD2 aveva già previsto l’introduzione di esenzioni alla SCA per alcune transazioni considerate poco rischiose. In alcuni contesti si può evitare cioè di richiedere l’autenticazione forte all’utente, e quindi cercare di ridurre le occasioni di abbandono dei carrelli. In questo caso si parla di transazioni frictionless e fra queste ricadono le transazioni di basso valore (meno di 30 euro), gli abbonamenti (solo il primo pagamento è soggetto a SCA) e le transazioni fatte su un merchant che l’utente mette in una white list apposita.
Inoltre, una transaction risk analysis fatta in real time può essere utilizzata per determinare il livello di rischio della transazione, e quindi evitare la SCA laddove possibile.
Quali sono i numeri di queste transazioni frictionless? Una ricerca Mastercard che ha preso in esame i dati delle transazioni del primo trimestre 2021 ha osservato un tasso medio pari al 29,6%, con l’UK che la fa da padrone (61,4%). L’Italia ottiene un deludente 12,7%, seppur con una tendenza a una leggera crescita.
Paese | % di transazioni frictionless |
Media | 29,6% |
Regno Unito | 61,4% |
Repubblica Ceca | 36,8% |
Grecia | 43,7% |
Germania | 39,5% |
Spagna | 38,6% |
Olanda | 29,3% |
Austria | 25,6% |
Svezia | 25,2% |
Polonia | 13,5% |
Italia | 12,7% |
Romania | 9,3% |
Francia | 9,2% |
Ungheria | 7,2% |
Belgio | 2,7% |
Danimarca | 1,6% |
Fonte: analisi Mastercard
Un noto gateway di pagamento italiano ha condotto una ricerca per verificare la coerenza dei dati rilevati da Mastercard attraverso una analisi dei dati generati sul circuito italiano. Ebbene i valori sono coerenti, anche se inizia ad essere significativo l’aumento della componente del traffico che viene autenticata in maniera frictionless da parte degli issuer, seppure con numeri ancora distanti da quelli desiderati.
Le soluzioni per una SCA frictionless
Il mercato si sta lentamente adeguando alla richiesta di soluzioni per una SCA frictionless, complice anche il fatto che le banche difficilmente aprono l’accesso ai propri dati. Gli approcci in circolazione sono sostanzialmente due.
Il primo, che potremmo definire top-down, è quello che permette la definizione di regole statiche basate su ciò che è noto a priori, ad esempio il coinvolgimento in una transazione di iban, merchant o carte con cattiva reputazione se non addirittura bannati. È chiaro che strumenti di questo tipo non forniscono risposte personalizzate per il cliente specifico e richiedono un costante aggiornamento. Inoltre dicono più che altro quando l’autenticazione NON può essere frictionless.
Il secondo approccio, sicuramente più efficace ma di più difficile realizzazione, è quello bottom-up, o data-driven. In questo caso le regole sono dedotte direttamente osservando i dati attraverso tecniche di data mining. In un primo momento questi strumenti identificano relazioni fra i dati non visibili a occhio nudo e che non possono essere noti a priori. Successivamente tali relazioni vengono ricercate nelle nuove richieste di acquisto, cercando poi di dare un punteggio di rischio alla transazione. Se il punteggio è troppo alto viene attivata la SCA, altrimenti si va in esenzione. Qui l’intelligenza artificiale la fa da padrona: si può dire che il fraud management e le esenzioni alla SCA siano delle sue killer application.
Sebbene diverse soluzioni stiano provando a entrare nel mercato (si ricorda che il problema della SCA è recentissimo), quello che sta trovando maggiormente attenzione in Italia al momento è il software Falcon di Fico, veicolato da una integrazione con gli strumenti SIA che ne agevola l’ingresso nelle banche italiane.
Una data challenge per l’open banking
A proposito di open banking: è risultata estremamente interessante l’iniziativa tutta italiana denominata Sella Data Challenge, che ha visto collaborare Banca Sella con startup e scaleup fintech al fine di co-creare nuovi prodotti e servizi, grazie alla piattaforma di open banking di Fabrick che permette di accedere alle informazioni anonimizzate relative ai conti dei clienti. Cosa c’entra questo con la SCA? E’ presto detto: la startup vincitrice Vidyasoft si è aggiudicata il premio in palio (15.000 euro per sviluppare e testare con Banca Sella la soluzione individuata) proprio grazie a una soluzione sulla SCA denominata Hands Free SCA. Questa utilizza un algoritmo basato su deep neural network (reti neurali profonde) che intuisce se un certo acquisto è “tipico”, andando in esenzione della SCA e semplificando l’esperienza dell’utente al momento del pagamento elettronico negli acquisti online. Per allenare la rete neurale, Vidyasoft ha utilizzato proprio i dati dei pagamenti messi a disposizione da Sella durante la challenge, riuscendo quindi a creare dei profili di spesa tipici e personalizzati per tutti i clienti della banca. L’algoritmo inoltre impara in continuazione dai nuovi acquisti, così che una SCA avvenuta con successo si traduca in un nuovo pattern di acquisto per il cliente.
La soluzione di Vidyasoft si caratterizza inoltre per la presenza di un servizio a valore aggiunto (VAS) denominato “personal shopper”, una skill Alexa che permette di effettuare acquisti in sicurezza e “hands free” mediante gli smart speaker di casa Amazon (ad esempio è stato dimostrato l’utilizzo degli smart glass Alexa da parte di un utente alla guida della propria auto). L’esperienza di acquisto mediante gli smart speaker è difatti vanificata se poi bisogna prendere lo smartphone in mano per autorizzare il pagamento. Il personal shopper sfrutta Hands Free SCA per effettuare acquisti online in stile “concierge” portando l’esperienza vocale ai massimi livelli.
Non solo sicurezza, anche fidelizzazione
Il messaggio che passa dall’esperienza di Banca Sella è chiaro. Se da un lato il requisito della sicurezza è preponderante, la creazione di VAS pensati per il cliente banca è una componente che potrebbe spostare la lancetta del mercato nei prossimi mesi o anni. Il cliente si aspetta user experience elevata e prodotti che non può trovare nella banca concorrente. Quando li trova, il cliente è fidelizzato. In questo modo si abbassa il churn rate, cioè quella quota parte di clienti che “cambia casacca” per un nonnulla, anche per una SCA di troppo.