Transazioni a distanza: effettuare operazioni con la carta in sicurezza

DiHubert Hell

Transazioni a distanza: effettuare operazioni con la carta in sicurezza

Così gli esercenti possono evitare frodi nelle operazioni con la carta su internet o per telefono

Processi di pagamento in cui la carta di credito o di debito non è fisicamente presente davanti al venditore vengono definiti transazioni a distanza (in inglese CNP: card not present). Ciò avviene ogni volta in cui il pagamento non ha luogo di persona.

Fanno parte delle transazioni a distanza tutti gli acquisti nei negozi online e le prenotazioni online pagati con carta di credito o di debito, così come i pagamenti via telefono (sì, esistono ancora, ad esempio nelle televendite o per prenotare un viaggio), le prenotazioni per mail, fax o tramite posta, come i cataloghi.

Le carte di credito sono il metodo di pagamento privilegiato, in quanto permettono di eseguire facilmente pagamenti in tutto il mondo.

I vantaggi sono evidenti: come esercente potete raggiungere più clienti (internazionali) con maggiore facilità e con minori costi rispetto ai metodi tradizionali. I clienti possono contare su una maggiore offerta e sulla comodità di effettuare acquisti in tutto il mondo e in ogni momento.

Rischi dei pagamenti a distanza

Purtroppo le transazioni a distanza espongono a maggiori rischi rispetto ai pagamenti in loco. Mentre in quest’ultimo caso potete verificare rapidamente l’identità del compratore ed evitare frodi, ciò risulta più difficile con i pagamenti a distanza. Ma non è impossibile.

Questo articolo illustrerà a voi esercenti i modi più efficaci per massimizzare la sicurezza nelle transazioni a distanza, riconoscere i tentativi di frode e ridurli al minimo.

Per saperne di più sul tema pagamenti con carta: nell’articolo skimming online trovate altri consigli per aumentare la sicurezza nei pagamenti online con carte di credito e di debito. In questo articolo trovate inoltre consigli generali sulla protezione dei dati su carta.

Certificazione PCI DSS per i pagamenti con carta

Se come esercenti accettate le carte di credito avete la responsabilità di garantire ai vostri clienti il miglior ambiente di pagamento per loro e per i loro dati.

Per i circuiti Visa, Mastercard ecc. gli esercenti che accettano carte di credito devono essere certificati secondo lo standard PCI DSS. In questo modo dimostrate di aver adottato delle misure di sicurezza preventive per evitare una frode ai danni dei dati delle carte.

Se non siete certificati secondo il PCI DSS e si verifica una violazione di dati, può costarvi molto caro.

Questo articolo non tratta il vasto tema del PCI DSS ma unicamente il singolo ambito delle transazioni a distanza. Ma ora iniziamo!

Conoscete tutti i dati e le informazioni necessarie?

Nelle transazioni a distanza non è possibile verificare direttamente l’identità del compratore né se la persona è davvero in possesso della carta. Per questo motivo il primo passo è essere certi di conoscere una serie di informazioni relative alla carta e al suo possessore.

In caso di informazioni mancanti o insufficienti, meglio non portare a termine la transazione. In questo modo riducete già di molto il rischio di frode.

Ecco i dati fondamentali:

  • Numero della carta di credito
  • Data di scadenza
  • Nominativo del titolare della carta (è uguale a quello dell’acquirente?)
  • Indirizzo di fatturazione del titolare della carta
  • In caso di vendita di prodotti fisici: indirizzo di consegna (è uguale all’indirizzo di fatturazione?)
  • Codice di sicurezza (CVV, CVC, CID)*
  • Recapiti del titolare della carta (indirizzo e-mail e/o numero di telefono)
  • Data e ora dell’ordine
  • Per ordini telefonici: dettagli della conversazione, preferibilmente tramite registrazione (previa autorizzazione alla registrazione)
  • Per ordini scritti: firma autografa sul modulo d’ordine

*Si intende il numero che si trova sul retro di tutte le carte di credito (tre o quattro cifre, a seconda del circuito)

Conservate queste informazioni e, in casi dubbi, anche le conferme di spedizione. Naturalmente in un posto sicuro.

Autorizzazione della carta di credito

L’autorizzazione (= approvazione, benestare, permesso) è un passaggio creato durante il processo di elaborazione dell’ordine, in cui viene generata una richiesta all’istituto di credito emittente. Se la risposta è positiva l’ente che emette la carta conferma che:

  • La carta è attiva
  • Non è scaduta
  • Non è stata fatta denuncia di smarrimento o di furto
  • Il limite di spesa o il credito presente sulla carta al momento dell’ordine è sufficiente per effettuare l’acquisto

L’obbligatorietà da parte dell’esercente di richiedere un’autorizzazione dipende da due fattori:

  1. Il tipo di transazione: alcuni tipi di transazione necessitano sempre di autorizzazione, ad esempio il commercio online e i pagamenti ricorrenti come gli abbonamenti (questi ultimi di solito con un’autorizzazione prima del primo pagamento, dopo di che i pagamenti seguenti sono automatici)
  2. Limite di spesa: è l’importo massimo fino al quale non è necessaria l’autorizzazione. Se il limite di spesa viene superato l’autorizzazione è obbligatoria. L’importo del limite di spesa varia a seconda del settore e viene fissato singolarmente dagli istituti di credito per ogni esercente.

Indipendentemente dal limite di spesa è consigliabile richiedere sempre un’autorizzazione per le transazioni a distanza, anche quando non è obbligatorio. In questo modo in presenza di situazioni poco chiare l’esercente può tutelarsi, poiché una mancata autorizzazione alla fine può comportare il rischio di non venir pagati.

Per lo stesso motivo dovreste interrompere subito le transazioni in caso di richieste di autorizzazione rifiutate o fallite. 

Inoltre, è utile indagare a fondo le cause contattando l’intestatario della carta. Forse inavvertitamente ha digitato un numero errato, ma forse invece i suoi dati sono stati rubati e qualcuno cerca di effettuare acquisti a sue spese.

Autenticazione e verifica del titolare della carta

Consiste nel verificare l’identità del compratore e nell’appurare se corrisponde al titolare della carta e se è in possesso della carta. Vengono impiegate le seguenti procedure di verifica:

  • Numero di carta e codice di sicurezza di tre o quattro cifre (vedi sopra)
  • L’Address Verification Service (AVS)
  • La Strong Customer Authentication (SCA), introdotta dalla Direttiva PSD2 e obbligatoria dall’inizio del 2021.

Numero della carta e codice di sicurezza

È il metodo più noto, infatti è in uso da anni. Oltre al numero di carta e alla data di scadenza viene inserito un codice, che è presente sul fronte o sul retro della carta.

Il CVV, CVC o CID (ha un nome diverso a seconda del circuito) non si trova nel chip o nella banda magnetica ma è solo impresso sulla carta.

Address Verification Service

Con l’Address Verification Service si verifica se l’indirizzo di fatturazione coincide con quello registrato dal titolare della carta presso l’ente emittente. Le difformità sono soggette a verifica sistematica e a conferma da parte del titolare.

L’esercente può decidere (spesso a seconda delle regole stabilite nel processo automatizzato) quali tipi di difformità sono consentiti e quali no.

Attualmente questo servizio viene offerto dai circuiti solo in alcuni Paesi e in Europa al momento solo in Gran Bretagna.

Strong Customer Authentication (SCA)

La cosiddetta “autenticazione forte del cliente” è obbligatoria dall’inizio del 2021 (è stata introdotta per gradi e con termine ultimo il secondo trimestre del 2021). Prevede che debba andare a buon fine la verifica di almeno due su tre fattori:

  • Conoscenza (ad es. password, PIN, domande di sicurezza, ecc.)
  • Possesso (ad es. carta, smartphone o app, dispositivi wearable, ecc.)
  • Inerenza (ad es. impronta digitale, scansione dell’iride, riconoscimento facciale, ecc.)

In altre parole, occorre:

  • Qualcosa che l’utente conosce
  • Qualcosa che l’utente possiede
  • Qualcosa che l’utente è

Non sottovalutate l’importanza di eseguire correttamente l’autenticazione e la verifica per tutelare le transazioni. Le frodi possono essere ridotte del 60% perché vengono riconosciute prima che una transazione venga portata a termine.

Gestione del rischio: riconoscere ordini potenzialmente sospetti

Conoscere i rischi per ridurli: questo dovrebbe essere il vostro motto nelle transazioni a distanza.

Se osservate i punti precedenti avete già diminuito in modo considerevole il potenziale rischio di una frode.

Potete però ridurre ulteriormente il rischio di un mancato pagamento o di una frode tenendo presente altri fattori di rischio.

Premessa: quando vi trovate di fronte a un caso sospetto non significa automaticamente che sia un tentativo di frode, può comunque trattarsi di una transazione lecita. Tuttavia, se si presentano più elementi concomitanti, la probabilità che si tratti di una frode è maggiore.

La soluzione: tutelatevi prima di confermare un ordine o di spedire della merce.

Per quanto riguarda i clienti, fate attenzione in questi casi:

  • Se si tratta di un nuovo cliente o di un cliente già esistente: con i nuovi clienti il rischio è potenzialmente maggiore
  • Se un cliente spinge per avere una consegna il più rapida possibile
  • Se una persona fa mediamente molti ordini in breve tempo e spesso con diversi dati di carta e/o fornisce diversi indirizzi di consegna
  • Se un cliente fornisce dati incompleti o falsi e/o esita a fornire i dati necessari

In merito a tipologia e volume dell’ordine, considerate con attenzione i seguenti elementi:

  • Il valore della merce è nettamente sopra la media della maggior parte degli ordini
  • Un articolo/prodotto viene ordinato in un numero di pezzi insolitamente alto
  • L’indirizzo di consegna non corrisponde all’indirizzo di fatturazione o all’indirizzo del titolare della carta
  • Un cliente inserisce diversi indirizzi di consegna in diversi Paesi nel giro di breve tempo
  • Il Paese di emissione della carta non coincide con il Paese di consegna
  • Gli indirizzi di consegna che espongono a un maggior rischio di frode sono ad es. le caselle postali, una Packstation o un magazzino

Ora sapete quali tipi di ordini e di transazioni dovete classificare come sospette. Ma in concreto, come potete vigilare?

Controllare ogni transazione manualmente richiederebbe troppo tempo, soprattutto se siete esercenti con un grande volume d’affari.

Puntate su processi automatizzati e strumenti di monitoraggio

Implementate uno strumento di monitoraggio

Uno strumento di questo tipo vi permette di monitorare in background le vostre transazioni in modo automatizzato e riconoscere potenziali attività pericolose e fraudolente. L’ideale se avete un alto numero di transazioni.

Stabilite il massimale per ogni ordine e cliente

L’importo dipende dai prodotti venduti e dal prezzo medio d’acquisto. Ad esempio, potete stabilire due limiti, di cui verrete informati:

  • Il primo limite solo come avviso: la transazione viene comunque elaborata
  • Il secondo limite come “vero stop”: la transazione viene rifiutata

Inviate una conferma d’ordine separata all’indirizzo di fatturazione

Forse può sembrare inutile, soprattutto in considerazione della velocità che ci si aspetta oggigiorno nello shopping online.

Tuttavia, visto che le transazioni a distanza possono comprendere anche ad es. prenotazioni di viaggi per telefono, l’invio separato di una conferma all’indirizzo di fatturazione può essere un buon modo per impedire una frode.

Compilate una lista dei clienti comprensiva degli ordini evasi

Come visto con gli importi, con l’aiuto del vostro sistema di informazione sui prodotti potete verificare se i clienti effettuano ordini in modo diverso da prima. La presenza di difformità non indica necessariamente una frode ma non è nemmeno da escludere.

Verificate l’indirizzo di consegna del cliente

Un cliente ha cinque diversi indirizzi di consegna? Magari anche in diversi Paesi? Gli indirizzi cambiano continuamente?

Questo è un chiaro indizio e dovreste contattare il cliente.

Compilate una lista degli storni e degli indirizzi di consegna discordanti

Sei ordini su sette sono tornati indietro, magari con la scritta “destinatario sconosciuto”? Se si sono già presentati dei problemi, c’è il rischio concreto che si ripetano.

Scegliete un corriere sicuro per le consegne

Anche se implica costi maggiori, scegliete un corriere affidabile e conosciuto. Ciò vi garantisce l’assicurazione inclusa e il tracciamento della spedizione, soprattutto per la merce di valore.

Gestione dei tentativi di transazione sospetti e come evitare i conflitti

 Interrompete la transazione se:

  • L’autorizzazione, la verifica o l’autenticazione non vanno a buon fine
  • Non siete sicuri che tutto stia andando liscio, per via di uno dei criteri di verifica di cui sopra

Si può trattare comunque di un ordine regolare, pertanto contattate il cliente per mail o telefonicamente. Chiedete ulteriori informazioni in merito alla verifica dell’identità, ad esempio:

  • Quale banca ha emesso la carta
  • Dati personali quali nome, indirizzo, numero di telefono, ecc.

Se qualcuno dovesse lo stesso tentare di utilizzare i dati della carta in modo illecito, grazie a questi accorgimenti dovreste riuscire a scoprirlo.

Controllare con attenzione le transazioni a distanza: i vantaggi

Non da ultimo, i tentativi di frode smascherati in tempo vi sono utili in quanto vi evitano di dover provvedere ai rimborsi dei trasferimenti non autorizzati (chargeback).

In qualità di esercenti ricade su di voi dell’onere della prova. Se non siete in grado di fornirla, dovete sostenere i costi del chargeback (ad esempio 25 € per ognuno), l’importo della transazione vi viene riaddebitato tramite la procedura di chargeback e potete subire perdite per via della merce già spedita.

In parole povere: merce andata, niente soldi e in più costi a carico.

Inoltre, il circuito di pagamento controlla il vostro tasso di chargeback. Se supera un certo limite (una percentuale per numero di pezzi e/o volume) incorrete nel rischio di penalizzazione fino ad arrivare all’espulsione dal circuito della carta.

Tutelarsi nelle transazioni a distanza con l’aiuto di un professionista

Il tema è abbastanza complicato, ma è anche di grande importanza. Il commercio online è in continua crescita e vi offrirà molte opportunità.

Affrontate i rischi e imparate a conoscerli, in modo da poter mettere in atto in anticipo le soluzioni adeguate.

Argomenti correlati: se offrite ai clienti la possibilità di pagare con carta di credito o di debito, il nostro articolo sul tema PCI (Payment Card Industry) fa sicuramente al caso vostro.

Avete domande sull’impiego delle carte di credito nella vostra attività?

Contattateci, saremo felici di rispondervi!

Info sull'autore

Hubert Hell author