Dal momento dell’entrata in vigore della DSP2, il panorama dei pagamenti online in Francia si è strutturato attorno all’autenticazione forte. I siti che sembrano funzionare senza 3D Secure non sono tutti scomparsi, ma il loro funzionamento si basa su meccanismi precisi che la normativa disciplina. Misurare il livello di rischio reale di queste transazioni rispetto ai pagamenti autenticati permette di comprendere cosa si gioca per i consumatori e i commercianti nel 2025.
Tasso di frode con e senza autenticazione forte: le differenze misurate
Il rapporto dell’Osservatorio della Sicurezza dei Mezzi di Pagamento (OSMP) fornisce dati utilizzabili per confrontare le due situazioni. La tabella qui sotto sintetizza i tassi di frode documentati.
Vedi anche : I grandi cambiamenti legislativi previsti per il 2025: cosa sapere
| Tipo di pagamento | Tasso di frode | Osservazione |
|---|---|---|
| Con autenticazione forte (3D Secure) | 0,095 % | Percorso con challenge o frictionless validato |
| Senza autenticazione forte | 0,358 % | Transazioni esentate o fuori perimetro SCA |
| Rapporto | x 3,8 | I pagamenti senza SCA generano quasi quattro volte più frodi |
Questo rapporto parla da sé. La questione che si pone per i commercianti che sfruttano percorsi senza challenge visibile riguarda la natura esatta dell’esenzione di cui beneficiano e la sua sostenibilità di fronte al inasprimento normativo guidato dalla Banca di Francia dal novembre 2024.
Per meglio delineare le questioni concrete dietro questi numeri, un panorama dettagliato dei siti senza 3D Secure nel 2025 permette di distinguere i casi di esenzione legittima dalle vere e proprie falle.
Vedi anche : Quali rischi per la sicurezza dei pagamenti senza 3D Secure su Internet?
Esenzioni DSP2 e soglie di attivazione: il meccanismo dietro l’assenza di challenge
Un sito dove l’acquirente non vede mai uno schermo 3D Secure non è necessariamente un sito non sicuro. Dal 2023-2024, i grandi emittenti francesi (BNP Paribas, Société Générale, Crédit Agricole) hanno massicciamente implementato l’autenticazione basata sul rischio (RBA), un’analisi in tempo reale di oltre 100 segnali da parte della banca.
Il 3DS2 viene attivato in background, ma la banca decide di non mostrare un challenge quando il rischio è considerato basso. Il consumatore ha l’impressione di pagare “senza 3D Secure”, mentre il protocollo è stato effettivamente sollecitato.
Le soglie normative che condizionano l’esenzione
La meccanica DSP2 si basa su regole precise per i piccoli importi:
- Acquisto inferiore a 30 euro: esenzione possibile, senza challenge visualizzato al cliente
- Non appena si raggiungono cinque pagamenti consecutivi senza autenticazione forte, la banca attiva obbligatoriamente una SCA
- Il cumulo di 100 euro di pagamenti esentati provoca anche un’attivazione automatica dell’autenticazione
Queste soglie creano un effetto di ribaltamento. Un consumatore che effettua acquisti di basso importo finisce per incontrare uno schermo di verifica, anche su un sito abitualmente fluido.
Commercianti con buon punteggio di frode: un trattamento differenziato
I fornitori di servizi di pagamento (PSP) consentono ai commercianti con un tasso di frode molto basso di beneficiare di esenzioni più ampie. Questi commercianti ottimizzano i loro percorsi attorno alle soglie DSP2 per ridurre la frizione senza uscire dal quadro legale.
D’altra parte, un commerciante il cui tasso di frode supera le soglie fissate dall’OSMP perde progressivamente le sue esenzioni. Il piano OSMP, attuato dal novembre 2024, accelera questa logica eliminando alcuni regimi derogatori.
Piano OSMP e fine dei regimi derogatori: cosa cambia concretamente
Il programma guidato dalla Banca di Francia ha l’obiettivo di ridurre la frode, che ha raggiunto 1,2 miliardi di euro nel 2024 su tutti i mezzi di pagamento. Diverse misure impattano direttamente i siti che funzionano senza autenticazione visibile.
- Fine del DTA (Direct to Authorisation), che permetteva a certi commercianti di aggirare completamente il protocollo 3DS
- Rafforzamento delle regole sui pagamenti ricorrenti (MIT): gli abbonamenti e i prelievi automatici sono ora soggetti a controlli più rigorosi durante la registrazione iniziale della carta
- I pagamenti con un clic con carta registrata devono integrare una verifica periodica dell’identità del titolare
La rimozione del DTA rappresenta il cambiamento più strutturante. I commercianti che utilizzavano questa via per offrire un percorso di pagamento completamente fluido devono migrare verso soluzioni compatibili con 3DS2, pena il rifiuto delle loro transazioni da parte degli emittenti.
Frictionless 3DS2 contro assenza totale di sicurezza: due realtà distinte
La confusione tra “nessun challenge visibile” e “nessuna sicurezza” alimenta una percezione errata del rischio. Il frictionless flow del 3DS2 mantiene uno strato di protezione invisibile per l’acquirente, basato sull’analisi comportamentale e contestuale.
Un sito realmente privo di qualsiasi forma di autenticazione espone il titolare della carta a un rischio moltiplicato per quasi quattro, come mostrano i dati dell’OSMP. Per il commerciante, questa esposizione si traduce in un tasso di contestazione (chargeback) più elevato e in una possibile degradazione delle sue condizioni tariffarie presso il suo acquirente.
Al contrario, un commerciante che adotta il frictionless 3DS2 conserva un percorso rapido beneficiando del trasferimento di responsabilità verso la banca emittente in caso di frode. Il frictionless protegge tanto il commerciante quanto il consumatore, senza aggiungere frizione percepibile.
La traiettoria normativa francese non lascia dubbi sulla direzione intrapresa. Le transazioni realmente al di fuori del 3DS diventano più rare man mano che l’OSMP stringe le condizioni di esenzione. Per un acquirente, la presenza o l’assenza di uno schermo di verifica non costituisce più un indicatore affidabile del livello di sicurezza reale di un pagamento. Ciò che conta è la capacità del commerciante e della sua banca di analizzare il rischio in background, transazione dopo transazione.