3DS è l’acronimo di 3 Domain Secure, in quanto con il sistema 3D Secure viene introdotto, nella transazione che avviene online tra un utente pagatore e un sito di vendita, un ulteriore soggetto, ossia il dominio dell’emittente della carta che provvede a introdurre una verifica aggiuntiva nella fase in cui avviene il pagamento.
Il primo sistema 3DS è stato introdotto da Visa (il “Verified by Visa”) e progressivamente gli altri circuiti di carte di credito hanno provveduto in tal senso (Mastercard con il SecureCode e American Express con il SafeKey).
Grazie al 3DS per poter effettuare un pagamento non è più sufficiente introdurre su un sito internet i dati relativi alla carta di credito (titolare, numero e codice di validazione), ma viene richiesta anche un’ulteriore informazione, basata sui principi della sicurezza informatica:
- una password che il titolare della carta conosce e ha scelto in fase di attivazione del servizio;
- un codice temporaneo (One Time Password) che viene generato dall’emittente della carta e inviato (tramite SMS o con specifiche app) all’utente nel momento in cui deve essere effettuato il pagamento.
Un processo basato sul protocollo SSL e Strong Customer Authentication (SCA)
Il processo, che si basa ovviamente sul protocollo SSL (Secure Socket Layer) per assicurare maggior sicurezza e confidenzialità dei dati che transitano, prevede che nel momento di inserimento dei dati di pagamento il merchant trasferisca l’utente su una diversa pagina, gestita dal circuito di emissione, in cui l’utente dovrà inserire la password e l’OTP. Il server, quindi, restituisce alla banca il risultato della validazione così effettuata e viene in tal modo validata la transazione, il cui esito potrà essere visualizzato dall’utente.
Bisogna considerare che in Europa, in conseguenza dell’entrata in vigore (nel 2019) della direttiva PSD2 (Direttiva (UE) 2015/2355) è stato introdotto l’obbligo di adottare sistemi di Strong Customer Authentication (SCA) per assicurare una maggiore sicurezza dei pagamenti online.
Le norme richiedono che tutti i pagamenti online, superiori a certe soglie di importo, debbano essere verificati tramite un doppio fattore di autenticazione, quindi alternativamente tramite notifiche push in app, codici mediante messaggi di testo (SMS) o anche metodi biometrici di riconoscimento.
Tali previsioni se da una parte hanno comportato la necessità di adeguare il 3DS, ora denominato 3DS2 (3D Secure 2) con l’eliminazione della possibilità di autorizzare i pagamenti attraverso il solo inserimento di una password statica, dall’altra hanno sicuramente contribuito a una sua maggiore adozione e diffusione. Infatti, molte piattaforme che svolgono la funzione di gateway di pagamento per i servizi online sulla base della localizzazione geografica del sito di e-commerce del venditore rendono disponibile di default la funzionalità 3DS proprio per consentire un adeguamento “automatico” alla normativa europea applicabile.
Come si attiva il 3Ds
L’attivazione del sistema 3DS da parte del sito che vuole accettare pagamenti online non richiede attività specifiche. Il gateway di pagamento utilizzato, infatti, normalmente ha già le funzionalità necessarie a riconoscere se il circuito emittente la carta di pagamento utilizza il sistema 3DS e provvede automaticamente a indirizzare l’utente sul sito web di autenticazione della transazione. Come anticipato, infatti, in seguito all’entrata in vigore della PSD2 in Europa tutte le transazioni online sopra determinati importi devono prevedere meccanismi di Strong Authentication e pertanto la gran parte degli emittenti delle carte di credito hanno introdotto tale tipologia di sistema al fine di consentire lo svolgimento di transazioni online.
D’altra parte, dato che il 3DS è un sistema di autenticazione dell’utente che svolge la transazione, per poterlo correttamente utilizzare, quest’ultimo deve necessariamente attivarlo.
Per far ciò, il titolare della carta di credito deve rivolgersi all’istituto di emissione o alla banca che ha rilasciato detta carta. Dato che la One Time Password generata per ogni transazione sarà rilasciata utilizzando principalmente il numero di cellulare del titolare della carta, sarà necessario far certificare tale numero presso lo sportello bancario o mediante l’area personale dell’home banking o direttamente sull’app rilasciata dalla banca.
Una volta fatto ciò, bisognerà associare, normalmente dall’app o dall’home banking, quel numero di telefono alla carta di credito. È opportuno sottolineare che tale ultimo passaggio in realtà il più delle volte è svolto in automatico dalla banca che ha rilasciato la carta di credito per conto dell’emittente, così semplificando il processo di attivazione della verifica 3DS.
In alcuni casi, il processo di attivazione è ancor più semplificato, tramite apposita sezione dell’home banking o dell’app in cui espressamente viene riportata la dicitura “Attivazione 3D Secure” o “Gestione 3D Secure”. In tali ipotesi sarà sufficiente seguire la procedura guidata che porterà all’attivazione del servizio.
Una volta completata la procedura, ogni volta che l’utente vorrà utilizzare la carta di pagamento per effettuare una transazione online verrà attivato il 3DS e sarà richiesta la validazione tramite OTP (ossia tramite l’inserimento della password temporanea che viene comunicata via app o tramite SMS) per poter dar corso al pagamento.
Vantaggi della tecnologia 3D Secure
Il 3D Secure offre indubbi vantaggi in termini di maggior sicurezza delle transazioni e prevenzioni delle frodi online. Oltre a essere un requisito normativo previsto dalla legislazione europea (e italiana), l’aggiunta di un fattore ulteriore di autenticazione per le transazioni online appare necessario per ridurre la possibilità che venga utilizzata la carta di credito a insaputa del titolare.
Infatti, richiedendo l’inserimento dell’OTP per ogni singola transazione effettuata, il 3D Secure diminuisce la possibilità che un terzo, eventualmente in possesso degli estremi della carta stessa, possa utilizzarli per effettuare acquisti o altre transazioni online, dato che al momento della validazione non sarà in grado di conoscere l’OTP richiesto che sarà inviato al numero di cellulare del titolare della carta (quindi oltre che degli estremi della carta il malintenzionato dovrebbe avere anche la disponibilità del numero di cellulare del titolare, ragion per cui sono aumentati i fenomeni di SIM swapping, ossia di clonazione delle schede SIM per poter ottenere l’accesso ai servizi di pagamento o altri servizi).
Alcune banche che consentono la generazione dell’OTP tramite l’apposita app per aumentare ulteriormente il livello di sicurezza non si limitano a certificare il numero di cellulare dell’utente, ma associano il numero alla tipologia di dispositivo cellulare, in modo che anche avendo accesso al solo numero non sia possibile comunque avere accesso al sistema di validazione tramite OTP.
3DS e eCommerce
Il 3DS, inoltre, presenta indubbi vantaggi per i gestori dei siti di eCommerce in termini di responsabilità. Secondo le previsioni della PSD2 (art. 72) in caso di contestazione da parte di un cliente in merito all’effettuazione di una transazione spetta al prestatore di servizi di pagamento dover provare che la stessa è stata autenticata, registrata e contabilizzata, introducendo anche un obbligo di rimborso in favore del cliente in caso di operazione di pagamento non autorizzata.
L’utente, quindi, risulta maggiormente tutelato attraverso questi strumenti di pagamento che prevedono forme di Strong Customer Authentication, in quanto per tutte le operazioni per le quali non vi sia stata l’autenticazione, o a fronte di tempestiva denuncia e contestazione, il prestatore dei servizi deve comunque provvedere al rimborso.
Anche il gestore del sito o del servizio (il cd. “merchant”) che richiedono il pagamento tramite 3D Secure ha una maggior tutela contro l’uso fraudolento, perché nel caso in cui la procedura venga correttamente conclusa tramite l’autenticazione della transazione mediante l’OTP il rischio di pagamento si sposta completamente in capo al fornitore del servizio che sarà tenuto a corrispondere le somme al merchant.
In alcune ipotesi tale meccanismo funziona anche nel caso in cui il 3DS è imposto dal circuito della carta, ma non è disponibile per la carta o la società emittente (ad esempio qualora il server dell’emittente non sia disponibile). Pur non completando la procedura di verifica 3DS (dato che tecnicamente il server non è raggiungibile) il trasferimento di responsabilità in capo all’emittente avviene comunque, dato che l’indisponibilità del servizio di verifica è dipeso da cause ad essa imputabili.
Considerazioni finali
L’utilizzo di sistemi quali il 3D Secure appare fondamentale per assicurare la certezza delle transazioni e aumentare il livello di fiducia da parte dei consumatori nel settore dell’e-commerce e, in genere, nelle transazioni online.
Inizialmente, alla sua prima introduzione e durante i primi anni di applicazione, erano state mosse alcune critiche al 3DS per la possibilità di dar luogo a comportamenti fraudolenti da parte di malintenzionati. Originariamente, infatti, il sistema prevedeva l’apertura di una finestra pop-up o di un frame all’interno del sito del merchant ed era in capo all’utente l’onere di verificare se effettivamente si trattasse del sito originario o meno (considerando che i pop-up o i frame non consentono di verificare l’attendibilità del certificato SSL).
Più recentemente il sistema 3D Secure ha raccomandato agli utilizzatori di utilizzare diverse tecniche di framing della pagina di validazione, così da rendere più sicura la navigazione degli utenti e maggiormente verificabile la provenienza della pagina stessa.
D’altra parte, è pur vero che un attacco tipo “man in the middle” nel contesto dell’inserimento dell’OTP da parte del cliente avrebbe in realtà pochi effetti, in quanto proprio per la caratteristica di essere password temporanee che periodicamente variano, l’eventuale conoscenza di quella specifica creata in un dato momento non può consentire successive frodi attraverso la stessa, che diviene inutilizzabile trascorso il breve lasso di tempo necessario a terminare la transazione.
Alcune critiche sono state inoltre mosse all’implementazione del sistema 3DS (e più in generale ai nuovi requisiti richiesti dalla PSD2) in quanto introdurre ulteriori fasi nel processo di acquisto di beni e servizi online può determinare un aumento dei casi di abbandono all’acquisto, dato che l’utente si ritrova a dover effettuare un percorso aggiuntivo e meno rapido rispetto a quello che si avrebbe in assenza di sistemi di validazione della carta di credito.
D’altra parte, a parere di chi scrive, aumentare il livello di sicurezza degli utenti e garantire maggiormente gli stessi da eventuali frodi o comportamenti malevoli online è un presupposto basilare per la diffusione del commercio elettronico: strumenti come il 3DS, infatti, aumentano il grado di fiducia e sicurezza degli utenti e ciò non può che comportare benefici generali al mercato.
