Ci siamo, lo tsunami è arrivato, dal 1° Gennaio 2021 entrerà in vigore un nuovo regolamento sui pagamenti per le prenotazioni online che impone la Strong Customer Authentication (SCA) o autenticazione forte del cliente. L’autenticazione SCA fa parte della seconda direttiva europea sui servizi di pagamento (PSD2)

Che cos’è la PSD2?

È la nuova Direttiva Europea sui pagamenti, pensata per promuovere l’innovazione e lo sviluppo dei pagamenti digitali e aumentare la protezione e la sicurezza degli utenti nei servizi di pagamento online e quindi rendere più sicuri gli acquisti online

Le principali finalità della Direttiva sono contrastare le frodi e accrescere la fiducia dei consumatori nei pagamenti digitali, modernizzando il quadro normativo che regola i servizi digitali innovativi.

Tra le misure di sicurezza più importanti che introduce la PSD2 c’è la SCA, un’autenticazione clienti avanzata a due fattori, che mira ad aggiungere ulteriori livelli di sicurezza ai pagamenti elettronici.

Questo tipo di autenticazione verrà richiesto nel caso in cui sia l’emittente della carta di credito che il conto corrente su cui vengono versati i pagamenti si trovano sul territorio dello Spazio economico europeo (SEE).

La SCA richiede che l’autenticazione utilizzi due dei seguenti tre elementi:

 

COME IMPATTA SUL SETTORE DELL’OSPITALITÀ?

La SCA inevitabilmente influenzerà qualsiasi attività commerciale che riceve pagamenti online dai propri clienti, tra queste il settore dell’ospitalità, che dovrà aggiornare il prima possibile sia le procedure che le tecnologie a sua disposizione.

La carta di credito è il principale strumento di pagamento utilizzato in ambito alberghiero: comodo, flessibile e permette di prepagare un soggiorno o emettere una pre-autorizzazione, bloccando l’importo per un determinato numero di giorni sulla carta di credito dell’ospite come garanzia della prenotazione

I clienti sono abituati ormai a pagare una camera online in un modo semplice e immediato.

Dall’1° Gennaio, la procedura per prenotare la stessa camera di sempre, richiederà un passaggio in più. Chissà se questo aumenterà il rischio che il cliente abbandoni la pagina e non concluda l’acquisto, riducendo così il tasso di conversione.

Prima dell’entrata in vigore della Direttiva PSD2, alle OTA o al booking engine era sufficiente acquisire i dati della carta di credito dell’utente per autorizzare il pagamento, senza necessità di successive convalide dei dati della carta o della persona che effettua il pagamento.

Da Gennaio, sia per le prenotazioni rimborsabili che per quelle standard, non sarà più possibileincassare né tanto meno pre-autorizzare senza il riconoscimento a doppio fattore (tranne delle piccole eccezioni). Chi continuerà con la vecchia procedura, potrà essere soggetto a negazioni di incasso e soprattutto a richieste di rimborso. Anche nel caso in cui una procedura di pagamento andasse a buon fine, il cliente potrebbe facilmente richiedere e ottenere rimborsi.

Ecco cosa potrebbe accadere con degli esempi pratici:

  • La signora Esposito prenota una camera online dal sito dell’Hotel.

Al momento del pagamento inserisce il numero della sua carta di credito e procede con l’acquisto. La transazione dovrà superare un test per valutare se la SCA (doppia autenticazione) è necessaria o meno. Il test valuta il rischio di frode, da basso ad alto. Se, per esempio, la transazione è di importo inferiore a 30 €, sarà valutata a rischio basso e quindi non sarà necessaria alcuna autenticazione, a condizione che la stessa carta non sia stata utilizzata per più di cinque transazioni (o per un totale di oltre 100 €) nelle ultime 24 ore. Da notare che, anche con transazioni esentate, la banca avrà sempre l’ultima parola, quindi potrebbe decidere che la SCA è necessaria anche per acquisti a basso rischio.

Supponiamo invece che l’importo totale sia di 350 € e che non ha mai prenotato questo hotel prima. Il test decide che si tratta, potenzialmente, di una transazione rischiosa e richiede alla signora Esposito di autenticarla due volte, vale a dire di fornire due dei tre tipi di autenticazione accettata.

  • La signora Esposito prenota su un’OTA

Per le prenotazioni ricevute tramite OTA con il modello OTA collect (l’OTA incassa i soldi per conto dell’hotel), i processi esistenti non cambieranno. In questo caso è l’OTA che raccoglie denaro dall’ospite finale e fornisce agli hotel una carta virtuale, quindi gli hotel non avranno bisogno di una doppia autenticazione per elaborare il pagamento.

Per le prenotazioni ricevute tramite OTA con il modello Hotel collect, l’hotel dovrà modificare i suoi processi e sistemi interni per garantire che il pagamento sia convalidato: prima di tutto, l’hotel deve elaborare questi pagamenti tramite un gateway di pagamento online che è conforme alla PSD2. Se non si dispone di un gateway con tale conformità di sicurezza, non può utilizzare la carta di credito né per la pre-autorizzazione né per il pre-pagamento o la caparra. Se e quando l’ospite arriverà, il pagamento potrà essere trattato come “carta presente”, saltando la SCA. Chiaramente questa alternativa è molto rischiosa in quanto permetterebbe al cliente di cancellare la prenotazione senza nessun addebito di penali anche quando la struttura ne avrebbe il diritto.

Il consiglio è quindi di incorporare un gateway di pagamento bancario sia al Booking Engine (per le prenotazioni dirette dal sito) sia al PMS (per le prenotazioni da tutti gli altri canali online) e per tutte le prenotazioni (flessibili e non rimborsabili). In questo modo avrete garantito che tutte le transazioni nell’ambito della PSD2 passino attraverso la doppia autenticazione (SCA).                         In caso di prenotazioni non rimborsabili, il pagamento verrà effettuato al momento della prenotazione. Nel caso di prenotazioni flessibili, verrà effettuata solo l’autenticazione (non il pagamento), e sempre attraverso un gateway di pagamento, verrà inviato un link al cliente che procederà in autonomia alla transazione (Pay By Link). Una volta che il cliente avrà fatto l’autenticazione e quindi accettato la pre-autorizzazione, non potrà in futuro disconoscere la transazione e quindi saremo coperti anche nel caso di un no-show o cancellazione tardiva.