Il 3D Secure o 3DS (acronimo di “Three Domain Secure”, cioè sicurezza a tre domini) è un protocollo internazionale di messaggistica la cui funzione principale è gestire l'autenticazione durante le transazioni digitali. Quando un utente effettua un acquisto online, il sistema informatico deve verificare in modo certo l’identità del titolare del pagamento.
Questo protocollo organizza uno scambio di dati strutturato tra il sito internet del venditore e l'istituto finanziario emittente per accertare che la persona che dispone l'operazione sia l'effettivo titolare della carta.
Cos'è il sistema 3D Secure
L'introduzione di standard di protezione condivisi a livello globale ha portato all'adozione del 3D Secure come livello di controllo supplementare.
Durante la fase di pagamento su una piattaforma e-commerce, il sistema richiede all'utente un passaggio in più rispetto al solo inserimento dei dati stampati sulla carta al fine di contenere il rischio di utilizzi non autorizzati da parte di terzi.
La struttura informatica su cui si basa questo sistema di verifica permette alle banche di valutare i dati dell'operazione. L’istituto emittente decide come procedere: può autorizzare la transazione in modo diretto, oppure richiedere un'ulteriore conferma al cliente.
Il sistema di verifica 3D Secure si basa su un modello tecnico diviso in tre sezioni, definite "domini":
- il primo riguarda l'esercente e la sua banca;
- il secondo l'istituto che ha emesso la carta;
- il terzo l'infrastruttura tecnologica dei circuiti di pagamento.
L'interazione continua e crittografata tra queste tre reti permette di completare la verifica dell'identità in un ambiente informatico altamente protetto.
I vari circuiti internazionali utilizzano nomi commerciali diversi per identificare questo specifico sistema. Spesso, ad esempio, si incontrano diciture come Verified by Visa o Mastercard Identity Check, ma la tecnologia di base e gli scopi del protocollo rimangono invariati. Il protocollo mira a creare un canale di comunicazione diretto tra il cliente e il proprio istituto di credito nel momento esatto dell'operazione.
Il ruolo centrale è la prevenzione attiva delle frodi informatiche. Quando un utente digita i dati per un pagamento online, il sistema intercetta la richiesta prima che avvenga il reale trasferimento dei fondi. Se il sito del venditore aderisce al protocollo, l'acquirente viene indirizzato momentaneamente su una pagina sicura della propria banca per procedere all'autenticazione. Questa procedura tecnica riduce in modo drastico i problemi legati alla sottrazione dei soli dati fisici, come il numero di sedici cifre, la data di scadenza e il codice di protezione (CVV).
Come funziona l'autenticazione a due fattori (SCA)
Il protocollo 3D Secure applica nella pratica i principi della Strong Customer Authentication (SCA), o "autenticazione forte del cliente", un requisito rigoroso introdotto dalla direttiva europea PSD2 sui servizi di pagamento, per tutelare i consumatori. La SCA stabilisce che l'identificazione deve avvenire utilizzando almeno due elementi completamente indipendenti tra loro scelti tra tre specifiche categorie previste dalla normativa:
- conoscenza: un dato noto solo all'utente, come un PIN o una password numerica;
- possesso: un oggetto materiale a disposizione esclusiva della persona, come uno smartphone o un telefono cellulare.
- inerenza: caratteristiche fisiche uniche dell'individuo, come l'impronta digitale o il riconoscimento facciale.
Nella prassi, l’utente inserisce i dati sul sito dell'esercente e il sistema 3D Secure si attiva e invia la richiesta del secondo fattore tramite notifica push sull'applicazione bancaria installata sul telefono del cliente o codice numerico temporaneo (OTP) tramite un normale messaggio SMS.
Se il cliente utilizza l'app bancaria, deve aprirla sul proprio dispositivo e confermare l'operazione, solitamente tramite il riconoscimento biometrico. Se invece si utilizza il sistema SMS, l'utente deve leggere il codice appena ricevuto e digitarlo nell'apposito spazio sulla pagina web del negozio.
Come attivare il 3D Secure sulla carta
L'attivazione del 3D Secure segue in modo rigoroso le procedure stabilite dall'istituto finanziario emittente.
Banche e società finanziarie offrono ai clienti appositi canali digitali per gestire in autonomia le impostazioni di sicurezza. Per poter autorizzare le transazioni online in via definitiva, il cliente deve richiedere l'attivazione del servizio o accedere ai propri sistemi per verificare che il protocollo sia già regolarmente operativo.
La procedura di attivazione richiede l'accesso all'area riservata del sito web della banca o all'app ufficiale. Questi specifici recapiti sono necessari per ricevere le notifiche e i codici temporanei.
È responsabilità del titolare mantenere aggiornate le proprie informazioni di contatto. Se il numero inserito nei sistemi della banca non è corretto o risulta obsoleto, l'istituto non avrà modo di recapitare i codici di verifica e l'acquisto subirà un blocco informatico.
Caratteristiche della protezione negli acquisti online
Il 3D Secure interviene esclusivamente tra il cliente e l'istituto emittente escludendo il sito dell'esercente dalla gestione diretta e dalla memorizzazione delle credenziali di sicurezza.
Una caratteristica rilevante è il trasferimento di responsabilità, noto come liability shift. Con l'utilizzo dell'autenticazione forte, la responsabilità per eventuali contestazioni su transazioni non riconosciute passa dall'esercente all'istituto emittente. Questo rigoroso standard si applica a diverse tipologie di prodotti finanziari. Ad esempio, le carte di credito emesse con la richiesta di specifici finanziamenti adottano il 3D Secure per tutelare l'utente. Il sistema informatico subordina il trasferimento dei fondi all'inserimento dei parametri richiesti, innalzando vere e proprie barriere tecniche contro gli utilizzi fraudolenti.
Procedure in caso di mancata ricezione del codice di verifica
Durante le regolari operazioni di pagamento online, l'utente potrebbe riscontrare la mancata ricezione del PIN temporaneo o della notifica necessari. Questa situazione interrompe temporaneamente la procedura di acquisto, in quanto il sistema informatico della banca rimane in attesa dell'inserimento del dato esatto per autorizzare il trasferimento di denaro.
È opportuno seguire alcuni passaggi pratici:
- controllare la connettività: la ricezione tecnica di questi alert richiede il collegamento stabile alla rete mobile o a una rete Wi-Fi. In assenza di segnale adeguato, i sistemi automatizzati della banca non possono completare l'invio delle comunicazioni;
- verificare l'esattezza dei recapiti: il numero di telefono deve essere assolutamente identico a quello registrato in fase di certificazione.
- controllare le impostazioni del dispositivo: accertarsi che i permessi per le notifiche siano regolarmente abilitati e che le opzioni di risparmio energetico non blocchino la ricezione automatica degli avvisi.
Se il problema persiste è possibile annullare l'operazione in corso e disporre una nuova richiesta sul sito dell'esercente per avviare un nuovo ciclo di autorizzazione.