L’analisi comportamentale aiuterà la user experience. In vista dell’arrivo definitivo della PSD2, Mastercard ha fatto il punto sulla sua “Digital Security Roadmap”, che prevede varie soluzioni per coniugare una maggiore sicurezza con le richieste dell’e-commerce.
Il mobile in pole position
Al centro del nuovo scenario c’è, come prevedibile, il mobile. Perché non solo il commercio elettronico è ormai una realtà consolidata in tutta l’Unione, ma l’80% dei cittadini europei fa già acquisti da smartphone. E le aziende del commercio elettronico si adeguano, lavorando a user experience sempre più piacevoli (almeno nelle intenzioni).
SCA: ancora indietro...
In questo quadro si inserisce la PSD2 (i cui RTS entrano in vigore il 14 settembre), che come sappiamo oltre alla notissima apertura dei conti correnti bancari in ottica open banking prevede anche una serie di misure aggiuntive relative alla sicurezza. Tra cui la Strong Customer Authentication. Secondo un sondaggio di Mastercard, la gran parte dei merchant non ha grandi informazioni sul cambiamento portato dalla PSD2 e solo il 14% ha adottato soluzioni di SCA. Anche di SCA il settore bancario parla da anni: il processo di autorizzazione del pagamento richiede la verifica di almeno due fattori tra conoscenza (qualcosa che so, codici e password varie), possesso (qualcosa che ho, come uno smartphone registrato) e identificazione (qualcosa che sono, vedi biometria).
... anche sulla user experience
Una bella grana per l’e-commerce, che già si trova a gestire tre sfide non banali da conciliare. Primo, ridurre il tasso di abbandono del carrello, visto che il 20-25% circa delle transazioni viene abbandonato prima del pagamento, generalmente per una user experience non ottimale (richiesta di troppe informazioni, troppe password, spese di spedizione o altre commissioni nascoste e così via). Secondo, gestire le frodi sui pagamenti. Terzo, migliorare il tasso di approvazione, cioè il numero di transazioni di pagamento effettivamente approvate dai circuiti: qui c’è ancora un gap significativo tra il 97% del fisico e l’85% dell’e-commerce. L’e-commerce punta all’esperienza “one-click” e rischia di vedersi costretto (letteralmente) a complicare la vita al cliente.
La soluzione è “frictionless”
La stessa PSD2 prevede però alcune esenzioni in determinati casi, esplicitati nella regolamentazione, e per le transazioni a basso rischio. Questo richiede, ovviamente, di dotarsi di sistemi per valutare e intercettare il rischio insito in ciascuna transazione. Un’esperienza che Mastercard definisce furbamente “frictionless”: acquirer e issuer hanno da tempo ricevuto un action plan per il programma Mastercard ID Check (l’annuncio è del 2016), cioè regole e soluzioni per gestire il flusso di informazioni tra merchant e issuer per verificare l’identità del cliente. In modo quasi “trasparente”, per non intaccare la user experience.
Un indice di fiducia per valutare le transazioni
ID Check si basa sul protocollo EMV 3DS e, per la grande maggioranza delle transazioni, riconoscerà in automatico il cardholder, sfruttando informazioni sul device, modelli comportamentali, dati a disposizione degli esercenti, sistemi antifrode avanzati basati sul machine learning. Una serie di informazioni permetterà di determinare un “indice di fiducia” per ogni transazione: se il rischio è basso, la transazione viene chiusa. Negli altri casi, probabilmente una spiccata minoranza, si chiederà al cliente un ulteriore livello di sicurezza: la raccomandazione del circuito agli issuer è di puntare sulla biometria (voce, riconoscimento facciale o fingerprint, verosimilmente integrando la funzionalità nell’app di mobile banking) ma con la possibilità per il cliente di optare per una OTP inviata via SMS.
Gli obiettivi
Sempre nell’ottica dell’empowerment del cliente previsto dalla PSD2, tra le raccomandazioni agli issuer troviamo la possibilità di creare una “white list” di merchant di fiducia segnalati dal cliente (che, evidentemente, si assume la responsabilità di ritenere un determinato sito degno di fiducia), alert di spesa in tempo reale e per qualunque importo (già offerti da qualche issuer anche in Italia), attivazione e disattivazione della carta da mobile e in tempo reale, anche in questo caso funzionalità già offerte da diverse banche. L’obiettivo, ambizioso, è di portare l’e-commerce sotto il 10% di transazioni abbandonate, il tasso di frodi a meno dei 13 bps e l’approvazione delle transazioni sopra il 90%.
