Strong Customer Authentication
Cosa cambierà per gli albergatori dal 14 settembre?

Il 14 settembre 2019, entreranno in vigore in Europa nuove regole per l’autenticazione dei pagamenti online in base alla seconda Payment Services Directive o PSD2. La proposta risale al 2015 e ha l’obiettivo di proteggere meglio i consumatori quando pagano online e di promuovere lo sviluppo di pagamenti online e mobili.

Cos’è la Strong Customer Authentication?

Una delle principali implicazioni di PSD2 è l’introduzione della Strong Customer Authentication (SCA), uno standard di sicurezza che migliorerà l’esperienza nel settore dei pagamenti online. Fondamentalmente, richiedere la carta di credito di un cliente non è abbastanza sicuro per le transazioni online, quindi sono necessari passaggi aggiuntivi.
Il punto principale della SCA è l’autenticazione a due fattori. La SCA richiede di autenticare il pagamento con almeno due dei seguenti tre elementi.

  • Qualcosa che il cliente CONOSCE (ad es. Password o PIN)
  • Qualcosa che il cliente HA (ad esempio telefono o token hardware)
  • Qualcosa che il cliente È (ad es. Impronta digitale o riconoscimento facciale)

Le banche rifiuteranno i pagamenti che richiedono la SCA e non soddisfano questi criteri.

Quando è richiesta la SCA?

Il nuovo standard di sicurezza richiede che i fornitori di servizi di pagamento utilizzino l’autenticazione forte del cliente quando:

  1. L’emittente della carta è europeo

    L’emittente della carta non è il fornitore della carta di credito (VISA, MasterCard, AMEX) ma la banca stessa. Per questo motivo, la “nazionalità” del cliente finale non ha importanza.

  2. L’acquirente è europeo

    In questo caso, è in genere la banca dell’albergatore.

Chi riguarda la SCA?

La SCA riguarda qualsiasi attività commerciale che riceve pagamenti online dai propri clienti. Per questo motivo, il settore dell’ospitalità deve essere aggiornato. Nel settore alberghiero interesserà in particolare le aziende che addebitano l’ospite al momento della prenotazione. In altre parole, nel caso di tariffe non rimborsabili e pagamenti effettuati al momento della prenotazione.

Tieni presente che gli hotel non subiranno ispezioni e non riceveranno multe se non applicano la PSD2. L’unica responsabilità che gli albergatori avranno con le vendite dirette online sarà quella di scegliere la piattaforma di pagamento corretta, che deve essere adattata a PSD2.

Cosa dovrebbero fare gli albergatori per la SCA?

Come abbiamo detto, il nuovo regolamento richiede principalmente l’adattamento dei gateway di pagamento e del settore bancario. Per semplificare, gli albergatori e i property managers non dovranno “fare” nulla, a parte scegliere il giusto fornitore di servizi di pagamento.

Quando una proprietà riceve una prenotazione, potrebbero esserci 2 scenari:

  • Prenotazione rimborsabile: il cliente paga in hotel e non vi è alcuna transazione online. In questo caso, non si applica PSD2.
  • Prenotazione non rimborsabile: l’hotel dovrebbe utilizzare un gateway di pagamento online che verificherà la doppia autenticazione del cliente per quelle transazioni che richiedono l’applicazione di PSD2.

Una proprietà può utilizzare un POS per le carte ricevute da una prenotazione online?

Ci sono altre due situazioni particolari che dobbiamo considerare:
– Prenotazioni non rimborsabili senza gateway di pagamento online (il pagamento viene effettuato manualmente in hotel)
– No-show o cancellazioni al di fuori del periodo consentito

Quando la proprietà riceve i dettagli della carta da Internet e la transazione ha i requisiti per applicare PSD2, l’ospite deve confermarlo tramite doppia autenticazione. Per questo motivo, un host NON può caricare manualmente una carta utilizzando un lettore di carte poiché non avrà una doppia autenticazione da parte del cliente.

Al momento, una soluzione a questa situazione sarebbe quella di ricevere il pagamento via telefono o mail. Come vedremo più avanti, le prenotazioni effettuate telefonicamente o via email (MO-TO) sono esenti da SCA. In questo caso, la proprietà sarà in grado di ricevere pagamenti configurando il lettore di carte su MO-TO. Tuttavia, questa soluzione è praticabile solo a breve termine, soprattutto se l’albergatore riscontra molti addebiti.

Per riassumere, se una proprietà non sta attualmente utilizzando un gateway di pagamento online per accettare pagamenti, consigliamo di iniziare a utilizzarne uno. In futuro, prendere i pagamenti utilizzando un POS fisico con una carta collegata a una prenotazione online diventerà più complicato.

Esenzioni alla Strong Customer Authentication

Questi tipi di transazioni dovrebbero essere liberi da PSD2:

– Le transazioni inferiori a € 30 saranno considerate “a basso valore” e SCA potrebbe non essere applicabile.
– Cliente che effettua una serie di pagamenti ricorrenti per lo stesso importo, alla stessa azienda. Il primo pagamento richiede SCA. Le spese successive possono essere esentate da SCA.
– Transazioni effettuate raccogliendo i dettagli della carta per telefono o via mail
Utilizzo di carte “depositate” per effettuare pagamenti (ad es. Laddove una carta aziendale utilizzata per gestire le spese di viaggio dei dipendenti sia detenuta direttamente con un agente di viaggio online) e pagamenti aziendali effettuati utilizzando una carta virtuale.

Tieni presente che i fornitori di pagamenti (come Stripe) saranno in grado di richiedere tali esenzioni durante l’elaborazione del pagamento. La banca del titolare della carta riceverà la richiesta, valuterà il livello di rischio della transazione e alla fine deciderà se approvare l’esenzione o meno.

Per ulteriori informazioni sulla Strong Customer Authentication, contattaci a sales.roomcloud@tecnes.com