Il protocollo 3D Secure aggiunge un passaggio di autenticazione durante un acquisto online con carta di credito. Dall’applicazione completa della direttiva europea DSP2, questa autenticazione forte è diventata la norma per la maggior parte delle transazioni. Alcuni siti di commercio elettronico non attivano questo dispositivo, per scelta tecnica o perché beneficiano di esenzioni normative. Acquistare su queste piattaforme espone a rischi specifici, sia per il titolare della carta che per il commerciante.
Trasferimento di responsabilità in caso di frode senza autenticazione forte
Il meccanismo meno visibile per l’acquirente è anche il più strutturante. Quando un pagamento passa tramite 3D Secure, la responsabilità di una transazione fraudolenta si sposta dal commerciante alla banca emittente della carta. Senza questa autenticazione, lo schema si inverte.
Vedi anche : I trucchi per correggere la consistenza di una meringa fallita
La Banca di Francia ricorda nel suo Panorama della frode ai mezzi di pagamento 2024 che le regole del Codice monetario e finanziario continuano ad applicarsi: l’emittente deve rimborsare immediatamente il pagatore, salvo sospetto di frode da parte di quest’ultimo. La responsabilità del rimborso ricade sul fornitore di servizi di pagamento quando un pagamento è stato effettuato senza autenticazione forte, nonostante fosse richiesta.
In pratica, ciò significa che il consumatore rimane protetto dalla legge. La situazione è molto più rischiosa per il commerciante che sceglie di non attivare 3D Secure: in caso di contestazione, è lui a sopportare la perdita finanziaria. Per capire perché alcuni commercianti fanno questa scelta nonostante tutto, una lista dei siti senza 3D Secure su Geekfinity dettaglia le motivazioni commerciali dietro questa decisione.
Leggi anche : Come risolvere i problemi di connessione tra tablet e televisione?
Frode con carta di credito sui siti senza 3D Secure: un tasso più elevato
L’ultimo rapporto dell’Osservatorio della sicurezza dei mezzi di pagamento (OSMP) conferma una tendenza netta: il tasso di frode sui pagamenti con carta online è in continua diminuzione nel periodo 2023-2024, grazie alla generalizzazione dell’autenticazione forte e di 3D Secure 2.
Il rapporto precisa che le transazioni effettuate senza autenticazione forte, anche quando sono autorizzate da un’esenzione normativa, concentrano una quota nettamente più elevata di frodi rispetto alle transazioni autenticate. Acquistare su un sito che non attiva questa verifica colloca quindi la transazione nella categoria statisticamente più esposta.
Come un truffatore sfrutta l’assenza di 3D Secure
Senze autenticazione forte, un acquisto fraudolento richiede solo tre informazioni: il numero della carta, la sua data di scadenza e il codice di sicurezza a tre cifre sul retro. Ricercatori hanno dimostrato che questi dati possono essere indovinati tramite attacco brute force sfruttando le risposte dei sistemi di pagamento di alcuni siti, come riporta il sito Korben.
Il tipico scenario si svolge così:
- Un truffatore recupera un numero di carta tramite un sito di phishing o una fuga di dati.
- Testa la carta su un sito senza 3D Secure, dove non viene richiesto alcun codice via SMS né validazione biometrica.
- La transazione viene convalidata in pochi secondi, senza che il titolare della carta venga avvisato prima di ricevere l’estratto conto bancario.
Questo tipo di attacco è reso molto più difficile, se non impossibile, quando l’autenticazione forte richiede un fattore aggiuntivo che il truffatore non possiede (accesso al telefono, impronta digitale).
Esenzioni DSP2: perché alcuni pagamenti passano senza autenticazione
Tutti i pagamenti online senza 3D Secure non sono illegittimi. La DSP2 prevede esenzioni all’autenticazione forte in casi specifici:
- Transazioni di importo ridotto, al di sotto di una soglia definita dalla normativa.
- Operazioni ricorrenti presso lo stesso commerciante dopo una prima autenticazione riuscita.
- Transazioni considerate a basso rischio dall’analisi in tempo reale del fornitore di pagamento (approccio detto “frictionless” di 3D Secure 2).
- Acquisti presso beneficiari fidati precedentemente registrati dal titolare della carta presso la propria banca.
La modalità “frictionless” di 3D Secure 2 merita particolare attenzione. L’autenticazione avviene, ma è silenziosa: il sistema analizza in background decine di parametri (dispositivo utilizzato, posizione, storico acquisti) per decidere se è necessaria una verifica attiva del titolare. L’assenza di pop-up non significa assenza di protezione.
La distinzione è importante. Un sito che beneficia di un’esenzione DSP2 rimane all’interno di un quadro normativo controllato. Un sito che non offre semplicemente 3D Secure, spesso ospitato al di fuori dello Spazio economico europeo, non beneficia di nessuno di questi salvaguardie.
Verificare la sicurezza di un sito prima di un acquisto online con carta
Prima di inserire informazioni bancarie su un sito che non attiva l’autenticazione, diversi punti possono aiutare a valutare il livello di rischio reale.
La presenza del lucchetto HTTPS nella barra degli indirizzi garantisce la crittografia dei dati in transito, ma non dice nulla sull’affidabilità del commerciante. Un sito fraudolento può benissimo avere un certificato SSL.
I metodi di pagamento alternativi offrono uno strato di protezione aggiuntivo. Le carte di credito virtuali, offerte dalla maggior parte delle banche e fintech, generano un numero di carta usa e getta che diventa inutilizzabile dopo la transazione. Anche in caso di fuga di dati, le informazioni recuperate non consentono acquisti successivi.
Il sito del Ministero dell’Economia raccomanda anche di non registrare mai i propri dati bancari su un sito di commercio elettronico e di evitare reti Wi-Fi pubbliche per effettuare transazioni.
La tendenza normativa va verso un rafforzamento dell’autenticazione, non verso un allentamento. La futura direttiva DSP3 prevede un inquadramento ancora più rigoroso delle esenzioni e un’estensione dell’ambito dell’autenticazione forte. I siti che oggi aggirano il 3D Secure per comodità commerciale dovranno adattare le proprie pratiche o accettare di sopportare un rischio finanziario crescente ad ogni contestazione di transazione.