Dal metà del 2021, la direttiva europea DSP2 impone un’autenticazione forte per i pagamenti online con carta di credito in Francia e nell’Unione europea. Il sistema 3D Secure, nella sua versione 2.0, rappresenta il principale meccanismo adottato da banche e fornitori di servizi di pagamento per soddisfare questo obbligo.
Tuttavia, alcuni siti di commercio continuano ad accettare transazioni senza attivare questa verifica. L’anno 2025 segna un inasprimento dei controlli e un’evoluzione della condivisione della responsabilità che cambia le regole del gioco per questi attori.
Ulteriori letture : Migliori siti torrent francesi da scoprire per i tuoi download nel 2024
Trasferimento di responsabilità: cosa sostiene il commerciante senza 3D Secure
Il meccanismo centrale da comprendere si chiama liability shift. Quando un pagamento passa attraverso 3D Secure e si verifica una frode, la responsabilità finanziaria viene trasferita alla banca emittente della carta. Senza questa autenticazione, è il commerciante a subire la perdita in caso di contestazione (chargeback).
Payplug sottolinea che le istituzioni bancarie stanno ora rafforzando le loro politiche di liability shift. I commercianti che non applicano 3D Secure o un’autenticazione forte equivalente sostengono loro stessi le perdite legate alle contestazioni di pagamento. Il carico finanziario non si limita all’importo della transazione contestata: è necessario aggiungere le spese di gestione del chargeback, addebitate dall’acquirente, e la perdita del prodotto spedito.
Lettura complementare : È possibile integrare il miele in una dieta senza zucchero, soprattutto per i diabetici?
Un sito e-commerce che gestisce un volume regolare di transazioni senza autenticazione forte accumula un rischio finanziario proporzionale al suo fatturato. Per un commerciante online che desidera consultare una lista di siti senza verifica bancaria per comprendere lo stato del mercato, questo punto di liability shift rappresenta il primo allerta concreta.
Segnalazione da parte dell’Osservatorio della sicurezza dei mezzi di pagamento in Francia
L’Osservatorio della sicurezza dei mezzi di pagamento (OSMP) produce rapporti che mappano i segmenti di mercato ad alta sinistralità. I criteri analizzati includono il tipo di percorso di pagamento e il livello di autenticazione applicato.
I commercianti che accettano pagamenti senza 3D Secure né altra forma di SCA (Strong Customer Authentication) sono più suscettibili di essere identificati come punti di vulnerabilità in questi rapporti. Questa identificazione non è da sottovalutare: può scatenare richieste di conformità da parte dei fornitori di servizi di pagamento (PSP) o degli acquirenti bancari.
Concretamente, un PSP che riscontra un tasso di frode anormalmente elevato su un commerciante può imporre l’attivazione di 3D Secure, aumentare le sue commissioni o risolvere il contratto. Il commerciante si trova quindi di fronte a una scelta limitata di fornitori, spesso più costosi o meno performanti.
Un effetto a cascata su costi e accesso ai servizi
La riclassificazione come “anello debole” non rimane teorica. Gli acquirenti adeguano le loro griglie tariffarie in base al profilo di rischio. Un commerciante segnalato per un tasso di contestazione elevato vede aumentare le proprie spese di transazione, a volte in modo significativo. Nei casi estremi, alcuni fornitori rifiutano semplicemente di imbarcare questi commercianti.
Rifiuto di autorizzazione e abbandono del carrello: l’effetto rete nel 2025
I circuiti delle carte (Visa, Mastercard e altri) spingono attivamente per l’adozione di 3D Secure 2.0 a livello globale. Stripe ricorda che questa dinamica supera il contesto europeo: in Giappone, i circuiti hanno richiesto l’attivazione di 3DS2 sui siti e-commerce a causa dell’aumento continuo delle frodi sui pagamenti a distanza.
Per un sito che non attiva 3D Secure, le conseguenze si manifestano anche dal lato del tasso di autorizzazione. Le banche emittenti diventano più severe: rifiutano un numero maggiore di transazioni non autenticate, soprattutto quando l’importo supera una certa soglia o quando il comportamento d’acquisto appare atipico. Il commerciante subisce quindi un alto tasso di rifiuto di autorizzazione su transazioni legittime.
Il paradosso merita di essere sottolineato. Alcuni commercianti evitano 3D Secure per paura dell’abbandono del carrello legato al passaggio di autenticazione aggiuntiva. Tuttavia, 3D Secure 2.0 ha notevolmente ridotto questa frizione rispetto alla versione 1.0. L’autenticazione avviene ora spesso in modo trasparente (analisi del rischio in background), senza che il cliente debba inserire un codice. La versione 2.0 genera meno abbandoni rispetto all’assenza di autenticazione che provoca rifiuti bancari.
Esenzioni legali e zone grigie: cosa consente ancora la DSP2
La DSP2 prevede casi di esenzione dall’autenticazione forte. Queste esenzioni non significano che il sito funzioni “senza verifica”, ma che la verifica è modulata in base al rischio valutato.
- Le transazioni di basso importo (generalmente al di sotto di una soglia definita dalla normativa) possono essere esentate se il tasso di frode globale del PSP rimane basso.
- I pagamenti ricorrenti, dopo una prima autenticazione forte, possono essere elaborati senza ulteriore verifica per gli importi identici.
- L’analisi del rischio in tempo reale (Transaction Risk Analysis, TRA) consente ai PSP con un tasso di frode particolarmente basso di esentare alcune transazioni, a condizioni rigorose.
Queste esenzioni sono gestite dal fornitore di pagamento, non dal commerciante. Un sito che afferma di non utilizzare 3D Secure può in realtà beneficiare di esenzioni TRA senza che l’acquirente se ne accorga. La distinzione tra “sito senza 3D Secure” e “sito il cui PSP applica esenzioni calibrate” è spesso sfocata per il consumatore.
I dati disponibili non permettono di decidere tutto
I riscontri sul campo divergono sul tasso reale di transazioni che passano senza alcuna forma di verifica nel 2025. Alcune piattaforme utilizzano meccanismi proprietari di rilevamento delle frodi che non si basano su 3D Secure ma offrono un livello di protezione comparabile. Altre, invece, non applicano semplicemente alcun controllo, esponendo sia il cliente che il commerciante.
- Un sito senza alcuna verifica fa gravare il rischio di frode sul commerciante (liability shift) e indebolisce la fiducia del cliente.
- Un sito che utilizza esenzioni TRA tramite il proprio PSP rimane conforme alla DSP2 pur offrendo un percorso fluido.
- Un sito al di fuori dello Spazio economico europeo non è soggetto alla DSP2, il che complica la lettura per gli acquirenti francesi.
Per un acquirente online, l’assenza visibile di autenticazione non significa l’assenza di protezione. Il livello di rischio reale dipende dall’architettura tecnica del sito e dal suo fornitore di pagamento, non solo da ciò che viene visualizzato sullo schermo.
La tendenza normativa va chiaramente verso un inasprimento. I commercianti che non integrano alcuna forma di autenticazione forte nel 2025 accumulano un rischio finanziario diretto (chargeback non coperti), un rischio di accesso ai servizi di pagamento (risoluzione o sovraccosto da parte dei PSP) e un rischio reputazionale presso clienti sempre più sensibilizzati alla sicurezza delle transazioni online. Il costo dell’inerzia supera ormai quello della conformità.