Mastercard Identity Check: tutto ciò che emittenti e merchant devono sapere

Il mondo del commercio digitale presenta un dilemma fondamentale: come possono le aziende offrire un'esperienza di checkout online fluida e senza sforzo, proteggendo al contempo se stesse e i propri clienti dalla costante minaccia di frode? Le transazioni Card-Not-Present (CNP), la spina dorsale dell'e-commerce, non hanno la sicurezza intrinseca della presentazione fisica di una carta, il che porta a tassi di frode significativamente più alti. Storicamente, le transazioni CNP hanno rappresentato una quota sproporzionata delle perdite per frode rispetto al loro volume. Inoltre, il costo per prevenire le frodi attraverso misure eccessivamente aggressive, che portano a rifiutare per errore transazioni legittime (falsi rifiuti o "esperienze frustranti per il cliente"), può talvolta superare il costo della frode stessa, causando perdite di vendite e frustrazione nei clienti.

Ecco che entra in gioco Mastercard Identity Check, il programma completo di Mastercard progettato per affrontare questa sfida direttamente. Basato sullo standard globale EMV 3-D Secure, rappresenta un'evoluzione significativa nell'autenticazione dei pagamenti online. La sua missione principale è migliorare la sicurezza, combattere le frodi, aumentare i tassi di approvazione delle transazioni e semplificare il percorso di pagamento per i titolari di carta, le banche emittenti (issuer) e le aziende (merchant).

Questo post risponde a domande cruciali per issuer, merchant, fornitori di servizi di pagamento (PSP), sviluppatori software, product manager e professionisti della sicurezza che desiderano comprendere a fondo Mastercard Identity Check:

1. Cos'è esattamente Mastercard Identity Check e perché è stato sviluppato?

2. In che modo Mastercard Identity Check sfrutta la tecnologia EMV 3-D Secure per ridurre frodi e falsi rifiuti?

3. Che ruolo giocano le tecnologie avanzate, come la biometria comportamentale NuData, nel consentire un'autenticazione utente senza attrito?

4. Come possono i merchant e i PSP integrare efficacemente Mastercard Identity Check nei loro processi di pagamento esistenti?

5. Quali benefici tangibili — in termini di tassi di approvazione delle transazioni, esperienza utente e riduzione delle frodi — possono aspettarsi le aziende dall'adozione di Mastercard Identity Check?

Il percorso che ha portato a Mastercard Identity Check è iniziato con le vulnerabilità intrinseche dei primi tempi dell'e-commerce. Con l'aumento degli acquisti online, i truffatori hanno sfruttato la mancanza della presenza fisica della carta, portando a un'escalation dei tassi di frode CNP. La prima risposta del settore è arrivata nel 1999 con l'introduzione del protocollo 3-D Secure (3DS). La versione brandizzata di Mastercard di questa prima iterazione era nota come Mastercard SecureCode. Sebbene SecureCode (3DS 1.0) mirasse a replicare la sicurezza di un pagamento fisico aggiungendo un livello di autenticazione del titolare della carta e offrisse il vantaggio cruciale di trasferire la responsabilità per alcuni storni fraudolenti dai merchant, presentava notevoli svantaggi che ne hanno ostacolato l'efficacia e l'adozione:

• Attrito elevato: l'implementazione più comune prevedeva password statiche o domande di sicurezza macchinose, che spesso richiedevano agli utenti di registrarsi in anticipo e ricordare credenziali separate. Ciò aggiungeva un notevole attrito al processo di checkout.

• Esperienza utente scadente: i reindirizzamenti a pagine brandizzate dall'issuer per l'autenticazione creavano un'esperienza utente incoerente e spesso fastidiosa, generando confusione e sospetto tra gli acquirenti. Questo attrito contribuiva direttamente a tassi elevati di abbandono del carrello.

• Scambio di dati limitato: 3DS 1.0 consentiva lo scambio di solo circa 15 elementi di dati tra il merchant e l'issuer, fornendo un contesto insufficiente per una valutazione accurata del rischio.

• Design incentrato sul browser: era progettato principalmente per le transazioni basate su browser, rendendolo inadatto al mondo in rapida crescita dei pagamenti tramite app mobile e al nascente commercio IoT.

• Mitigazione inadeguata dei falsi rifiuti: i dati limitati e l'attenzione ai challenge espliciti non affrontavano efficacemente il significativo problema dei falsi rifiuti, in cui le transazioni legittime venivano erroneamente segnalate come fraudolente, danneggiando le relazioni con i clienti e causando perdite di fatturato.

È diventato evidente che l'impatto negativo di una scarsa esperienza utente – manifestato nell'abbandono del carrello e nei falsi rifiuti – rappresentava spesso una perdita finanziaria maggiore per le aziende rispetto ai costi diretti delle frodi. Questa realtà economica, unita alla necessità di una prevenzione delle frodi più forte in un mondo sempre più digitale, ha guidato lo sviluppo di un approccio modernizzato.

Il lancio di Mastercard Identity Check, basato sul protocollo EMV 3-D Secure di nuova generazione, mirava a superare queste limitazioni con una serie chiara di obiettivi:

1. Ridurre le frodi CNP: impiegare tecniche più sofisticate per rilevare e prevenire transazioni non autorizzate.

2. Minimizzare l'attrito: creare flussi di autenticazione senza attrito più fluidi e veloci per la stragrande maggioranza delle transazioni.

3. Aumentare i tassi di approvazione: ridurre i falsi rifiuti fornendo agli issuer dati più ricchi per valutazioni del rischio più accurate.

4. Supportare i canali moderni: supportare nativamente l'autenticazione all'interno di app mobili, portafogli digitali e altri dispositivi connessi.

5. Abilitare lo scambio di dati arricchiti: facilitare la condivisione sicura di un numero significativamente maggiore di dati transazionali e contestuali.

6. Mantenere il trasferimento di responsabilità (liability shift): preservare il vantaggio di trasferire la responsabilità per le transazioni fraudolente autenticate lontano dai merchant partecipanti.

Mastercard Identity Check - Early Adopter Program Learnings

È essenziale distinguere tra lo standard tecnologico di base e l'implementazione specifica di Mastercard.

EMV 3DS è la specifica del protocollo globale sviluppata e gestita da EMVCo, un'organizzazione di proprietà congiunta dei principali circuiti di pagamento globali, tra cui Mastercard, Visa, American Express, Discover, JCB e UnionPay. Definisce il framework tecnico per la comunicazione sicura e lo scambio di dati tra i tre domini chiave coinvolti nell'autenticazione di una transazione online:

1. Dominio Acquirer: include il merchant, il suo gateway di pagamento e la banca acquirente (la banca del merchant). Questo dominio avvia la richiesta di autenticazione tramite un componente tipicamente chiamato 3DS Server (o storicamente, Merchant Plug-In/MPI).

2. Dominio Issuer: include la banca emittente (la banca del titolare della carta) e il titolare della carta. Questo dominio è responsabile della verifica dell'identità del titolare della carta tramite un componente chiamato Access Control Server (ACS).

3. Dominio di interoperabilità: consiste principalmente nel Directory Server (DS), gestito dal circuito della carta (come Mastercard). Il DS agisce come un router centrale, indirizzando i messaggi di autenticazione tra il 3DS Server e l'ACS corretti in base al numero della carta (in particolare, il Bank Identification Number o BIN).

Il protocollo EMV 3DS (spesso indicato come 3DS 2.0 o 2.x) ha introdotto miglioramenti significativi rispetto all'originale 3DS 1.0:

• 10 volte più dati: supporta lo scambio di oltre 150 elementi di dati (rispetto ai circa 15 di 3DS 1.0), fornendo un contesto più ricco per la valutazione del rischio, incluse informazioni sul dispositivo, cronologia delle transazioni, dettagli del browser e dati del merchant.

• Autenticazione basata sul rischio (RBA): abilita flussi di autenticazione senza attrito in cui le transazioni a basso rischio vengono approvate silenziosamente in background sulla base dell'analisi dei dati, senza richiedere l'interazione del titolare della carta. L'obiettivo è raggiungere tassi di autenticazione senza attrito del 90-95%.

• Supporto nativo per mobile/app: include kit di sviluppo software (SDK) per un'integrazione perfetta nei flussi di checkout delle app mobili, eliminando i reindirizzamenti dirompenti del browser.

• Metodi di autenticazione avanzati: supporta metodi di autenticazione moderni come One-Time Passcode (OTP) inviati via SMS o app, biometria (impronta digitale, riconoscimento facciale) e autenticazione out-of-band, abbandonando le password statiche.

• Casi d'uso più ampi: si estende oltre la semplice autenticazione dei pagamenti per supportare l'autenticazione non legata a pagamenti (ad es. aggiungere una carta a un portafoglio digitale), pagamenti ricorrenti e tokenizzazione.

Mastercard Identity Check

Corbado 3DS ACS Passkeys

Mastercard Identity Check è il nome del programma specifico di Mastercard che implementa e governa l'uso del protocollo EMV 3DS all'interno della sua rete. È il successore del programma Mastercard SecureCode. Sebbene basato sullo standard EMV 3DS, Mastercard Identity Check incorpora gli asset e le tecnologie uniche di Mastercard per migliorare le prestazioni e la sicurezza. Ciò include:

• AI e Machine Learning proprietari: sfruttando i vasti dati di rete e le capacità di AI di Mastercard per affinare il punteggio di rischio e il processo decisionale.

• Analisi comportamentale (NuData): integrando gli insight della biometria comportamentale NuData (discussa nella prossima sezione) per comprendere i modelli di interazione dell'utente e rilevare tentativi di frode sofisticati.

• Intelligence di rete: utilizzando gli insight provenienti da miliardi di transazioni elaborate a livello globale per informare le valutazioni del rischio.

• Governance del programma: Mastercard stabilisce specifici Key Performance Indicator (KPI) e regole per i partecipanti (issuer, merchant, acquirer) all'interno del programma Identity Check per garantire prestazioni ottimali e un'esperienza utente eccellente in tutta la sua rete.

Pertanto, Mastercard Identity Check non è semplicemente un rebranding del protocollo EMV 3DS. Rappresenta la stratificazione strategica da parte di Mastercard della propria intelligence e del proprio framework di governance sulla base del protocollo standardizzato. Questa sinergia mira a fornire un servizio di autenticazione potenzialmente più efficace e differenziato rispetto a un'implementazione EMV 3DS di base, offrendo un rilevamento del rischio migliorato e un'ottimizzazione delle prestazioni all'interno dell'ecosistema Mastercard.

Mastercard Identity Check

Mastercard Identity Check si basa su una sofisticata interazione di diversi componenti tecnologici fondamentali per raggiungere i suoi obiettivi di sicurezza e fluidità. Comprendere questi componenti è cruciale per apprezzare come il sistema valuta il rischio e autentica gli utenti.

Acquisita da Mastercard nel 2017, la tecnologia di biometria comportamentale NuData è una pietra angolare delle capacità di autenticazione avanzate di Mastercard. A differenza dell'autenticazione tradizionale che si concentra su ciò che un utente sa (password) o ha (telefono per OTP), la biometria comportamentale analizza come un utente interagisce con il proprio dispositivo e l'applicazione. Si concentra sulla biometria passiva, ovvero su modelli di interazione intrinseci e spesso inconsci.

• Come funziona: durante una sessione online (come il checkout o anche l'apertura di un account), la tecnologia NuData raccoglie e analizza passivamente centinaia di sottili segnali comportamentali. Questi possono includere:

  • Dinamiche di digitazione (velocità, ritmo, pressione)

  • Movimenti del mouse (schemi, velocità, clic)

  • Gestione del dispositivo (angolo, dati dell'accelerometro)

  • Interazione con il touchscreen (pressione, schemi di scorrimento)

  • Schemi di navigazione (uso del tasto Tab rispetto al clic, progressione nei moduli, comportamento di "ritorno sui propri passi")

  • Comportamento della sessione (familiarità con il modulo, tempo impiegato, uso di copia/incolla, cambio di finestra)

• Scopo e integrazione: questi dati comportamentali vengono inseriti in modelli di machine learning che costruiscono un profilo unico per ogni utente legittimo. Il sistema analizza miliardi di punti dati ogni anno per apprendere e affinare continuamente questi profili. La sua funzione principale all'interno di Mastercard Identity Check è distinguere gli esseri umani genuini dai bot automatizzati e dai truffatori sofisticati, anche quando possiedono credenziali rubate. Rileva anomalie e segnali ad alto rischio in tempo reale, fornendo un input critico al motore di autenticazione basata sul rischio.

La tecnologia NuData è parte integrante della strategia di sicurezza a più livelli di Mastercard, alimentando soluzioni come NuDetect e contribuendo in modo significativo all'intelligence dietro Mastercard Identity Check. È particolarmente efficace contro attacchi automatizzati come il credential stuffing e i tentativi di acquisizione di account.

WSJ Mastercard Nudata

Sfruttando le ricche capacità di scambio di dati di EMV 3DS 2.0, Mastercard Identity Check incorpora una completa device intelligence. Ciò comporta la raccolta e l'analisi di un'ampia gamma di punti dati specifici del dispositivo che avvia la transazione.

• Punti dati: il protocollo EMV 3DS consente la trasmissione di oltre 150 variabili. Queste includono informazioni come:

  • Tipo di dispositivo, modello e sistema operativo

  • Tipo di browser, versione, lingua e plugin installati

  • Indirizzo IP e dati di geolocalizzazione

  • Tipo di connessione di rete e fuso orario

  • Identificatori o impronte digitali del dispositivo

  • Risoluzione dello schermo e altre caratteristiche del dispositivo

  • Mastercard può anche collaborare con aziende come Ekata per arricchire ulteriormente i dati di verifica del dispositivo e dell'identità

• Scopo: questa ricchezza di informazioni sul dispositivo aiuta a costruire un profilo di rischio completo. Consente al sistema di riconoscere i dispositivi affidabili, rilevare anomalie come discrepanze di posizione o tentativi di falsificare le informazioni del dispositivo, identificare connessioni di rete ad alto rischio e segnalare attività potenzialmente fraudolente provenienti da dispositivi non familiari o compromessi. La device intelligence è un altro input critico per il motore RBA.

Il motore RBA è l'hub di intelligence centrale di Mastercard Identity Check, responsabile della valutazione del rischio complessivo di una transazione in tempo reale e della determinazione del percorso di autenticazione appropriato.

Come funziona: il motore sintetizza le informazioni da più fonti:

• Campi dati EMV 3DS (dettagli della transazione, informazioni sul merchant, device intelligence)

• Segnali biometrici comportamentali NuData

• Dati storici delle transazioni e profili utente

• AI e modelli di machine learning proprietari di Mastercard, addestrati su dati di rete globali

Scopo: sulla base di questa analisi olistica, il motore RBA calcola un punteggio di rischio per la transazione. Questo punteggio informa la decisione se procedere con un'autenticazione senza attrito (per transazioni a basso rischio) o avviare un challenge di step-up (per transazioni a rischio più elevato) per verificare ulteriormente l'identità del titolare della carta. Il risultato (un punteggio o una raccomandazione) viene tipicamente inviato all'ACS dell'issuer per aiutarlo nella sua decisione finale di autenticazione. Mastercard offre anche servizi di Stand-In RBA per fornire copertura se l'ACS di un issuer non è disponibile o non è ancora pronto per il 3DS.

La potenza di Mastercard Identity Check risiede nella sinergia tra questi componenti. Mentre i ricchi dati sul dispositivo e sulla transazione da EMV 3DS forniscono un contesto essenziale, l'integrazione della biometria comportamentale di NuData aggiunge un livello critico di difesa. NuData può spesso rilevare tentativi di frode sofisticati, come acquisizioni di account utilizzando credenziali valide o bot progettati per imitare l'interazione umana, che potrebbero aggirare i sistemi che si basano esclusivamente su punti dati tradizionali. Questo approccio multisfaccettato consente al motore RBA di effettuare valutazioni del rischio più sfumate e sicure, consentendo un tasso più elevato di approvazioni senza attrito pur mantenendo una sicurezza robusta.

Mastercard Identity Check Program

Un obiettivo primario di Mastercard Identity Check è minimizzare le interruzioni durante il checkout online, abilitando flussi di autenticazione senza attrito quando possibile. Questa esperienza fluida, in cui l'autenticazione avviene silenziosamente in background, si basa fortemente su approvazioni basate sui dati, sull'uso intelligente delle esenzioni e su una chiara comprensione delle implicazioni in termini di responsabilità.

Il fondamento del flusso senza attrito è l'autenticazione basata sul rischio (RBA). Il protocollo EMV 3DS facilita lo scambio di una vasta quantità di dati (oltre 150 elementi potenziali) tra l'ambiente del merchant (tramite il 3DS Server) e l'ambiente dell'issuer (l'ACS). Mastercard arricchisce questi dati con la propria intelligence di rete, algoritmi di AI e insight dalla biometria comportamentale NuData. L'ACS dell'issuer (o il servizio RBA di Mastercard) analizza questo set di dati completo in tempo reale. Se l'analisi indica una bassa probabilità di frode – basata su fattori come un dispositivo riconosciuto, un comportamento di acquisto tipico, una posizione familiare, modelli comportamentali coerenti e altri indizi contestuali – la transazione può essere autenticata passivamente, senza richiedere al titolare della carta di compiere alcuna azione (come inserire un OTP o usare un'impronta digitale). Questa è l'essenza di un'approvazione basata sui dati che abilita il flusso senza attrito, con l'obiettivo di coprire il 90-95% delle autenticazioni.

In regioni come l'Europa, governate dalla Direttiva sui Servizi di Pagamento (PSD2), la Strong Customer Authentication (SCA) – che richiede tipicamente due fattori di autenticazione indipendenti – è spesso obbligatoria per i pagamenti online. Tuttavia, la normativa e il protocollo EMV 3DS consentono specifiche esenzioni in cui la SCA non è richiesta, facilitando ulteriormente le esperienze senza attrito. Mastercard Identity Check supporta l'applicazione di queste esenzioni. Le esenzioni chiave includono:

• Analisi del Rischio della Transazione (TRA): se l'acquirer o l'issuer esegue un'analisi del rischio in tempo reale e ritiene la transazione a basso rischio, e l'importo della transazione è al di sotto di determinate soglie legate al tasso di frode complessivo dell'entità, la SCA può essere esentata.

• Pagamenti di basso valore: le transazioni al di sotto di un valore specifico (ad es. 30 € in Europa) possono essere esentate, sebbene si applichino limiti cumulativi (ad es. importo totale o numero di transazioni dall'ultima SCA).

• Beneficiari di fiducia (whitelisting del merchant): i titolari di carta possono designare specifici merchant come "di fiducia" presso il loro issuer. Le transazioni successive con questi merchant in whitelist possono essere esentate dalla SCA.

• Pagamenti ricorrenti e transazioni avviate dal merchant (MIT): sebbene la configurazione iniziale di un pagamento ricorrente o di un accordo card-on-file richieda solitamente la SCA, i pagamenti successivi avviati dal merchant utilizzando tali credenziali possono essere considerati fuori ambito o esenti in determinate condizioni. EMV 3DS 2.2 e le versioni successive forniscono un supporto specifico per queste transazioni 3RI (3DS Requestor Initiated).

• Pagamenti aziendali sicuri: possono applicarsi esenzioni specifiche ai pagamenti aziendali effettuati utilizzando protocolli sicuri dedicati.

I merchant e i PSP possono indicare la loro richiesta di esenzione all'interno del messaggio di autenticazione EMV 3DS.

Corbado Outcome Based SCA Passkey

Un vantaggio significativo dell'utilizzo di 3-D Secure è sempre stato il potenziale trasferimento di responsabilità per alcuni tipi di storni fraudolenti.

• Transazioni autenticate con successo: quando una transazione viene autenticata con successo tramite Mastercard Identity Check (sia tramite flusso senza attrito che tramite challenge), la responsabilità per gli storni dichiarati come "non autorizzati" si sposta generalmente dal merchant all'issuer della carta. Questa protezione si applica anche se l'autenticazione è stata senza attrito, sebbene possano applicarsi regole e scenari specifici del circuito della carta.

• Impatto delle esenzioni: questo è un punto critico: se un merchant o il suo PSP richiede un'esenzione SCA (come TRA o basso valore) e l'issuer la concede, la responsabilità per la frode rimane tipicamente al merchant. Il merchant ottiene il vantaggio di un checkout più fluido ma mantiene il rischio finanziario della frode. Tuttavia, se l'issuer decide unilateralmente di applicare un'esenzione (ad es. in base alla propria valutazione del rischio), la responsabilità può spostarsi all'issuer.

• Autenticazione tentata/fallita: le regole sulla responsabilità quando l'autenticazione viene tentata ma fallisce o non può essere completata (ad es. ACS dell'issuer non disponibile) possono essere complesse e dipendono dalle circostanze specifiche e dalle regole del circuito della carta. Le regole di Mastercard potrebbero offrire protezione al merchant in determinati scenari, anche se l'issuer non ha completato la migrazione.

• Flussi solo dati: flussi specifici come "Identity Check Insights" di Mastercard, che comportano la condivisione di dati per la valutazione del rischio senza eseguire un tentativo di autenticazione completo, non concedono esplicitamente il trasferimento di responsabilità al merchant.

Questo crea un importante punto di decisione strategico per i merchant e i PSP. Richiedere esenzioni può ottimizzare i tassi di conversione garantendo un'esperienza senza attrito, ma comporta il costo di mantenere la responsabilità per le frodi. Al contrario, forzare l'autenticazione (anche se si traduce in un flusso senza attrito approvato dall'issuer) potrebbe garantire il trasferimento di responsabilità ma potrebbe potenzialmente introdurre attrito se è richiesto un challenge. Pertanto, è necessaria una sofisticata strategia di gestione del rischio per determinare l'approccio ottimale su base transazionale, bilanciando gli obiettivi di conversione con la tolleranza al rischio di frode.

Inoltre, il successo del flusso senza attrito e l'accuratezza della decisione RBA dipendono fortemente dalla qualità e completezza dei dati forniti dal merchant e dal loro PSP attraverso i messaggi EMV 3DS. Dati incompleti o imprecisi ostacolano la capacità dell'issuer di eseguire valutazioni del rischio affidabili, portando potenzialmente a più challenge o addirittura a rifiuti, minando così i benefici del sistema. Raggiungere prestazioni ottimali senza attrito è uno sforzo collaborativo che richiede una gestione diligente dei dati da parte dell'acquirer.

Mastercard Identity Check Program

Mastercard Frictionless Future

Per gli issuer di carte, l'integrazione con il programma Mastercard Identity Check è essenziale per sfruttarne i vantaggi in termini di sicurezza ed esperienza utente. Ciò comporta l'abilitazione dei loro portafogli di carte (identificati dai Bank Identification Number, o BIN) e la connessione all'infrastruttura di autenticazione, principalmente attraverso un Access Control Server (ACS).

L'ACS risiede nel dominio dell'issuer ed è il cuore tecnologico del processo di autenticazione dal punto di vista dell'issuer. Le sue responsabilità principali includono:

• Ricevere le richieste di autenticazione (messaggi AReq) instradate dal merchant tramite il Directory Server (DS) di Mastercard

• Verificare se il numero di carta specifico è registrato e idoneo per Mastercard Identity Check

• Eseguire la valutazione del rischio (spesso sfruttando motori RBA e dati come il punteggio Mastercard Smart Authentication)

• Decidere se autenticare senza attrito o avviare un challenge

• Gestire il processo di challenge se necessario (ad es. inviando un OTP via SMS, richiedendo la verifica biometrica tramite un'app di banking)

• Generare e restituire la risposta di autenticazione (messaggio ARes), incluso il cruciale Accountholder Authentication Value (AAV) per le transazioni autenticate con successo, al DS

Gli issuer hanno diverse strade per implementare la funzionalità ACS:

1. ACS interno: un issuer può scegliere di costruire, distribuire, ospitare e gestire la propria soluzione software ACS nel proprio ambiente IT.

   • Pro: offre il massimo controllo sulla logica di autenticazione, sulle regole di rischio, sulla personalizzazione dell'esperienza utente e sull'integrazione con i sistemi interni.

   • Contro: richiede una notevole competenza tecnica interna, significative risorse di sviluppo e manutenzione e una rigorosa aderenza agli standard di conformità EMVCo e PCI 3DS in continua evoluzione.

2. ACS in hosting (fornitore di terze parti): gli issuer possono collaborare con fornitori di ACS specializzati e approvati da Mastercard che forniscono l'ACS come servizio gestito. L'issuer in questo modello è spesso definito "Hosted Principal".

   • Pro: riduce la complessità operativa dell'issuer, i costi di infrastruttura e l'onere della conformità. Sfrutta l'esperienza del fornitore e offre potenzialmente un time-to-market più rapido.

   • Contro: può offrire meno controllo granulare e personalizzazione rispetto a una soluzione interna. Dipendenza da una terza parte per una funzione critica.

   • Ecosistema di fornitori: Mastercard mantiene un elenco di fornitori ACS conformi, con esempi che includono aziende come Entersekt, Netcetera, GPayments e Logibiztech.

3. Servizi supplementari Mastercard: Mastercard offre servizi a valore aggiunto che possono potenziare il percorso ACS scelto da un issuer:

   • Mastercard Smart Authentication for ACS/Issuers: fornisce intelligence RBA per migliorare le capacità decisionali dell'ACS.

   • Mastercard Stand-In RBA: offre un'elaborazione RBA di backup se l'ACS primario dell'issuer non è disponibile o se specifici BIN non sono ancora completamente abilitati per EMV 3DS.

   • Mastercard 3-D Secure Authentication Challenge Service: fornisce capacità di challenge biometrico (sfruttando gli standard FIDO) che possono essere integrate con il flusso ACS.

La scelta tra un ACS interno e uno in hosting rappresenta una decisione strategica significativa per gli issuer, che bilancia il desiderio di controllo con la necessità di efficienza, economicità e velocità di implementazione.

L'abilitazione di specifici intervalli di Bank Identification Number (BIN) for Mastercard Identity Check comporta una serie di passaggi coordinati:

1. Selezionare il percorso ACS: determinare se utilizzare un ACS interno o un fornitore in hosting.

2. Garantire la conformità dell'ACS: verificare che la soluzione ACS scelta (interna o di un fornitore) sia conforme alle attuali regole del programma Mastercard Identity Check e alla relativa versione della specifica EMV 3DS. Ciò comporta tipicamente che l'operatore dell'ACS completi i test di conformità di Mastercard.

3. Registrarsi a Mastercard Identity Check: iscrivere l'istituto emittente al programma tramite la piattaforma di test di Mastercard Identity Check su Mastercard Connect, accettando i termini e fornendo gli identificatori necessari come Company ID (CID) e Interbank Card Association (ICA) number.

4. Registrare gli intervalli di BIN con il Directory Server: utilizzare lo strumento Identity Solutions Services Management (ISSM) su Mastercard Connect per registrare gli specifici intervalli di BIN che parteciperanno a Identity Check. Per ogni intervallo registrato, deve essere fornito l'URL dell'ACS corrispondente. Si noti che gli intervalli di BIN precedentemente registrati per Mastercard SecureCode (3DS 1.0) richiedono una registrazione separata per Identity Check (EMV 3DS).

5. Configurare le regole di autenticazione: definire i metodi di autenticazione primari (ad es. RBA) e qualsiasi metodo di challenge di step-up (ad es. OTP via SMS, biometria) da utilizzare per i BIN registrati. Assicurarsi che sia configurato il supporto per i flussi sia senza attrito che con challenge.

6. Gestire i certificati: ottenere e gestire i necessari certificati server/client Transport Layer Security (TLS) per la comunicazione sicura con il Directory Server di Mastercard e i certificati di firma digitale, se applicabili, utilizzando il Mastercard Key Management Portal.

7. Implementare la validazione AAV: impostare processi per convalidare l'Accountholder Authentication Value (AAV) ricevuto nei messaggi di autorizzazione per le transazioni autenticate. Questo può essere fatto internamente o utilizzando il servizio di validazione AAV di Mastercard.

8. Coordinarsi con il processore: assicurarsi che il processore di pagamento dell'issuer sia in grado di gestire eventuali nuovi elementi di dati associati a Mastercard Identity Check, come i Digital Transaction Insights.

9. Andare in produzione e monitorare: una volta completate la configurazione e i test, attivare gli intervalli di BIN registrati nell'ambiente di produzione e monitorare continuamente le prestazioni delle transazioni e i KPI.

È importante riconoscere che la gestione dei BIN è un processo continuo. I cambiamenti del settore, come la migrazione dai BIN a 6 cifre a quelli a 8 cifre, richiedono agli issuer di valutare proattivamente i loro portafogli, potenzialmente consolidare i BIN e aggiornare i loro sistemi e configurazioni di conseguenza per garantire il funzionamento continuo e senza interruzioni dei servizi di autenticazione come Mastercard Identity Check.

Mastercard Identity Check Program

L'adozione di Mastercard Identity Check e del sottostante programma EMV 3DS Mastercard offre vantaggi significativi per i merchant e i fornitori di servizi di pagamento (PSP) che li servono. Gli impatti principali ruotano attorno al miglioramento dei tassi di successo delle transazioni, al potenziamento dell'esperienza del cliente e alla semplificazione delle operazioni nel panorama globale dell'e-commerce.

Uno dei vantaggi più convincenti è il potenziale aumento dei tassi di approvazione delle autorizzazioni.

• Come funziona: lo scambio di dati più ricchi tramite EMV 3DS, combinato con sofisticati motori RBA che utilizzano AI e analisi comportamentale, fornisce agli issuer una visione molto più approfondita della legittimità di una transazione. Ciò consente loro di distinguere con maggiore precisione tra clienti genuini e truffatori, portando a una riduzione dei falsi rifiuti, situazioni in cui una transazione legittima viene erroneamente respinta per sospetta frode.

• Risultati quantificati: studi e report indicano miglioramenti significativi. I dati di Mastercard hanno mostrato aumenti medi del tasso di approvazione di 10-12 punti base (0,10-0,12%) o addirittura aumenti fino al 14% su miliardi di transazioni in un anno. Altre fonti menzionano potenziali aumenti del 12%. Casi di studio, come uno che coinvolge un rivenditore di abbigliamento, hanno dimostrato aumenti sostanziali delle vendite attribuiti a migliori approvazioni e alla riduzione delle frodi tramite Identity Check.

• Vantaggi: per i merchant, tassi di approvazione più elevati si traducono direttamente in un aumento delle vendite completate, maggiori entrate e una migliore soddisfazione del cliente. Per i PSP, offrire una soluzione che aumenta in modo dimostrabile i tassi di approvazione dei loro clienti migliora la loro proposta di valore e la loro competitività.

Una conseguenza diretta di un'efficace RBA è una significativa riduzione della necessità di autenticazione step-up, in cui al titolare della carta viene richiesto attivamente di fornire un'ulteriore prova di identità.

• Come funziona: l'obiettivo è che la stragrande maggioranza (spesso citata come >90% o 95%) delle transazioni venga autenticata senza attrito sulla base della valutazione del rischio. Ciò significa meno interruzioni per il cliente durante il checkout.

• Vantaggi: questo migliora drasticamente l'esperienza utente eliminando ostacoli non necessari. La riduzione dell'attrito porta direttamente a tassi di abbandono del carrello più bassi e a tassi di conversione più alti per i merchant.

La base di Mastercard Identity Check sullo standard globale EMV 3DS facilita l'implementazione e la gestione per le aziende che operano a livello internazionale.

• Come funziona: EMV 3DS fornisce un linguaggio tecnico e un framework comuni per l'autenticazione, riconosciuti dagli issuer e dagli acquirer partecipanti in tutto il mondo.

• Vantaggi: questa standardizzazione riduce la complessità per i merchant e i PSP internazionali, che altrimenti potrebbero dover integrare più soluzioni di autenticazione regionali e disparate. L'integrazione è semplificata tramite protocolli, API e SDK standardizzati forniti da Mastercard e dai suoi partner. Inoltre, l'utilizzo di una soluzione basata su EMV 3DS come Mastercard Identity Check aiuta le aziende a soddisfare i requisiti normativi come la PSD2 SCA in Europa e mandati simili che stanno emergendo altrove.

Per i PSP, questi vantaggi per i merchant sono amplificati. Offrendo una soluzione di autenticazione robusta, globalmente coerente e ad alte prestazioni come Mastercard Identity Check, i PSP possono attrarre più merchant, ridurre i propri costi operativi legati alla gestione di diversi metodi di autenticazione e potenzialmente ridurre la propria esposizione ai costi legati alle frodi trasferiti dai merchant.

Mastercard Identity Check

Per gestire e ottimizzare efficacemente le prestazioni di Mastercard Identity Check, issuer, acquirer e merchant necessitano di un chiaro framework di Key Performance Indicator (KPI). Il monitoraggio di queste metriche fornisce insight sull'esperienza utente, sull'efficacia della sicurezza e sulla conformità alle regole del programma EMV 3DS Mastercard.

Sulla base delle guide del programma e delle best practice, i seguenti KPI sono cruciali per monitorare le prestazioni di Mastercard Identity Check:

1. Tasso di challenge: misura la percentuale di richieste di autenticazione che si traducono in un challenge attivo per il titolare della carta (ad es. richiesta di un OTP o verifica biometrica). Un tasso di challenge più basso indica generalmente un'esperienza utente migliore e più fluida. Le linee guida di Mastercard suggeriscono di puntare a challenge in meno del 10% delle transazioni, affidandosi all'RBA per la maggior parte.

2. Tasso di successo dell'autenticazione: traccia la percentuale di tentativi di autenticazione (sia senza attrito che con challenge) completati con successo dal titolare della carta e verificati dall'issuer. Alti tassi di successo sono vitali per minimizzare l'abbandono delle transazioni. Mastercard può stabilire soglie minime per i tassi di approvazione complessivi delle transazioni autenticate (ad es. 90%) e monitorare specificamente i tassi di successo dei challenge.

3. Tasso di autenticazione senza attrito (Frictionless Rate): l'inverso del tasso di challenge, misura la percentuale di autenticazioni completate con successo senza richiedere l'interazione del titolare della carta. Un alto tasso di autenticazione senza attrito è un obiettivo primario di EMV 3DS ed è fortemente correlato a tassi di successo complessivi più elevati e a una migliore esperienza utente.

4. Tasso di frode: il monitoraggio del tasso di transazioni fraudolente confermate, in particolare quelle autenticate tramite Identity Check, è essenziale per valutare l'efficacia del sistema nel prevenire le frodi. Mastercard monitora i livelli di frode dei merchant attraverso programmi come l'Excessive Fraud Merchant (EFM). Un obiettivo chiave è vedere una riduzione delle frodi rispetto alle transazioni non autenticate.

5. Tasso di approvazione dell'autorizzazione: la misura finale del successo di una transazione è il tasso di approvazione finale dell'autorizzazione da parte dell'issuer. Identity Check mira ad aumentare questo tasso riducendo i falsi rifiuti.

6. Prestazioni tecniche: sono critiche anche metriche come l'uptime di ACS e 3DS Server (Mastercard richiede una disponibilità del 99,0% per i fornitori), i tempi di elaborazione delle transazioni e i tassi di errore nei messaggi di autenticazione.

Il monitoraggio di questi KPI si basa su vari canali di reporting:

• Monitoraggio del programma Mastercard: Mastercard monitora attivamente le prestazioni dei partecipanti rispetto ai KPI di programma stabiliti. La non conformità può innescare notifiche e potenziali sanzioni o multe nell'ambito di programmi come DIMP o EFM.

• Report del Data Integrity Monitoring Program (DIMP): questo programma si concentra specificamente sull'accuratezza e la completezza dei dati delle transazioni che fluiscono attraverso la rete Mastercard. Issuer e acquirer possono accedere ai report DIMP tramite un portale dedicato per identificare le transazioni segnalate per problemi di integrità dei dati. Diverse "verifiche" DIMP si riferiscono direttamente ai dati EMV 3DS, come ID di transazione DS mancanti o non validi, indicatori di esenzione mancanti, AAV non validi o importi di transazione non corrispondenti. Gli issuer possono abbonarsi specificamente a un Mastercard Data Integrity Monitoring Report per monitorare le loro prestazioni rispetto agli obiettivi di tasso di autenticazione senza attrito.

• Reporting del fornitore di servizi di pagamento (PSP) / Fornitore: merchant e issuer utilizzano spesso le dashboard di reporting e le analisi fornite dai loro PSP, fornitori di 3DS Server o fornitori di ACS per monitorare le loro metriche di performance dell'autenticazione.

L'utilizzo efficace di questi KPI e meccanismi di reporting consente agli stakeholder di identificare aree di miglioramento, ottimizzare le configurazioni (come le regole RBA), risolvere problemi tecnici e, in definitiva, massimizzare i benefici del programma Mastercard Identity Check.

Mastercard Identity Check Program

Il panorama dell'autenticazione dei pagamenti online è in continua evoluzione, spinto dalla necessità di una maggiore sicurezza, dai cambiamenti normativi e dalla richiesta di esperienze utente sempre più fluide. Mastercard Identity Check, essendo basato sul programma EMV 3DS Mastercard, è intrinsecamente legato alla roadmap definita da EMVCo per il protocollo 3-D Secure.

Evoluzione di EMV 3DS (v2.1, v2.2, v2.3)

Il protocollo EMV 3DS ha visto diverse iterazioni dal suo lancio iniziale (versione 2.0), ognuna delle quali ha introdotto nuove funzionalità e perfezionamenti:

• EMV 3DS 2.1: è diventato la base obbligatoria, incorporando il supporto fondamentale per uno scambio di dati più ricco e migliori esperienze mobili rispetto a 3DS 1.0. Mastercard ne ha richiesto il supporto entro la metà del 2020.

• EMV 3DS 2.2: ha introdotto ulteriori miglioramenti, tra cui un migliore supporto per le esenzioni SCA (come Acquirer TRA e Trusted Merchant Listing tramite estensioni dei messaggi Mastercard) e elementi di dati perfezionati. Mastercard ha iniziato a supportare i test di conformità per la 2.2, con mandati successivi. Mastercard Gateway ha pianificato di terminare il supporto per la 2.1 a settembre 2024, rendendo la 2.2 il minimo effettivo.

• EMV 3DS 2.3 (in particolare 2.3.1): rilasciata da EMVCo alla fine del 2021/2022, questa versione rappresenta l'ultimo significativo progresso, concentrandosi sul miglioramento ulteriore della sicurezza, dell'esperienza utente e del supporto dei canali. Le caratteristiche chiave rilevanti per il futuro dell'autenticazione includono:

  • Dati e flussi migliorati: elementi di dati e flussi di messaggi aggiuntivi per semplificare ulteriormente l'autenticazione e migliorare il rilevamento delle frodi. Include dati più ricchi per pagamenti ricorrenti e token di pagamento.

  • Supporto per Secure Payment Confirmation (SPC): punti di integrazione per SPC, che consentono la conferma crittografica dei dettagli della transazione utilizzando autenticatori FIDO all'interno del flusso 3DS.

  • Supporto WebAuthn: supporto esplicito per l'utilizzo dello standard Web Authentication (WebAuthn) del W3C, facilitando l'uso di passkey e autenticatori di piattaforma (come la biometria del dispositivo) per i challenge.

  • Miglioramenti dell'autenticazione Out-of-Band (OOB): transizioni automatizzate per semplificare l'esperienza utente quando l'autenticazione deve avvenire tramite un canale separato, come un'app di banking.

  • Device Binding: consente agli utenti di collegare un dispositivo di fiducia al proprio account, riducendo potenzialmente i futuri challenge su quel dispositivo.

  • Modello Split-SDK: offre maggiore flessibilità per l'implementazione di SDK 3DS su diverse piattaforme, inclusi web/mobile tradizionali e canali emergenti come i dispositivi IoT.

  • Miglioramenti dell'interfaccia utente: più opzioni per issuer e merchant per personalizzare l'interfaccia utente durante i challenge.

Mastercard, come membro chiave di EMVCo, partecipa attivamente allo sviluppo di questi standard. Sono forti sostenitori di SPC e del più ampio passaggio a metodi di autenticazione moderni e senza password come le passkey. Aziende come DECTA hanno già ottenuto la certificazione anticipata per EMV 3DS 2.3.1.1 con Mastercard, indicando che l'adozione è in corso. Integrazione della Secure Payment Confirmation (SPC) SPC è uno standard web del W3C progettato per funzionare insieme a protocolli di autenticazione come EMV 3DS. Sfrutta le credenziali FIDO/WebAuthn (passkey) per consentire agli utenti di autenticarsi e confermare esplicitamente i dettagli della transazione (importo, beneficiario) direttamente nel browser, utilizzando l'autenticatore integrato nel dispositivo (ad es. impronta digitale, Face ID, PIN).

• Come si integra con EMV 3DS 2.3: durante un flusso di challenge 3DS, se l'issuer supporta SPC e l'utente ha una credenziale FIDO registrata (passkey) con l'issuer per quel dispositivo, l'ACS dell'issuer può restituire le informazioni necessarie nel messaggio ARes. Il sito web del merchant invoca quindi l'API SPC del browser, presentando una finestra di dialogo di conferma standardizzata e sicura. L'utente si autentica localmente (ad es. tramite biometria), firmando crittograficamente i dettagli della transazione. Questa asserzione firmata viene inviata all'ACS per la verifica.

• Vantaggi: SPC promette un'esperienza di challenge altamente sicura (resistente al phishing) e potenzialmente a bassissimo attrito rispetto agli OTP, migliorando i tassi di conversione. Fornisce una forte prova crittografica del consenso dell'utente legata a specifici dettagli della transazione. Mastercard sta promuovendo attivamente l'adozione delle passkey e il supporto SPC.

La visione più ampia di Mastercard: verso un futuro senza password Oltre alla roadmap immediata di EMV 3DS, Mastercard ha articolato una visione più ampia per il futuro dell'autenticazione online, con l'obiettivo di eliminare completamente l'inserimento manuale della carta e le password entro il 2030. Questa strategia si basa sulla convergenza di:

• Tokenizzazione: sostituzione dei Primary Account Number (PAN) sensibili con token di rete sicuri (tramite MDES - Mastercard Digital Enablement Service) per proteggere i dati della carta sottostanti. Mastercard mira alla tokenizzazione del 100% dell'e-commerce in regioni come l'Europa entro il 2030.

• Autenticazione biometrica: sfruttamento della biometria sul dispositivo (impronte digitali, riconoscimento facciale - "sorrisi e impronte digitali") tramite standard come FIDO/WebAuthn e tecnologie come SPC e il Payment Passkey Service di Mastercard.

• Click to Pay: la soluzione di checkout online semplificata di Mastercard basata sugli standard EMV Secure Remote Commerce (SRC), progettata per funzionare senza problemi con la tokenizzazione e l'autenticazione moderna.

Questo stato futuro immagina un'esperienza di checkout in cui gli utenti si autenticano in modo sicuro e confermano i pagamenti con una semplice azione biometrica, senza mai dover digitare manualmente numeri di carta o password. La continua evoluzione di EMV 3DS, inclusa la versione 2.3 e l'integrazione di SPC, sono passi fondamentali per realizzare questo ambizioso obiettivo.

Corbado EMV 3DS ACS Passkeys

Mastercard Identity Check, basato sul programma EMV 3DS Mastercard, rappresenta un'evoluzione critica nella protezione dell'ecosistema dei pagamenti digitali. Superando i limiti del suo predecessore, Mastercard SecureCode, affronta la sfida principale di bilanciare una solida prevenzione delle frodi con l'imperativo di flussi di autenticazione senza attrito nell'e-commerce moderno.

Per issuer e merchant, i vantaggi sono tangibili:

• Sicurezza migliorata: lo sfruttamento di uno scambio di dati ricco, sofisticati motori di autenticazione basata sul rischio (RBA), la biometria comportamentale NuData e la device intelligence migliorano significativamente l'accuratezza del rilevamento delle frodi.

• Migliore esperienza utente: l'attenzione ai flussi senza attrito minimizza le interruzioni del checkout, riducendo l'abbandono del carrello e promuovendo la fedeltà dei clienti.

• Tassi di approvazione più alti: una valutazione del rischio più accurata porta a un minor numero di falsi rifiuti, aumentando le vendite legittime e le entrate.

• Protezione della responsabilità: il potenziale trasferimento di responsabilità sulle transazioni autenticate rimane un incentivo chiave per l'adozione.

L'implementazione di Mastercard Identity Check richiede un'attenta considerazione dei percorsi di integrazione, in particolare la scelta dell'ACS per gli issuer, e una gestione diligente dell'abilitazione dei BIN e della qualità dei dati. Il monitoraggio delle prestazioni attraverso il framework KPI e gli strumenti di reporting forniti, come il Data Integrity Monitoring Report, è essenziale per l'ottimizzazione e la conformità. Guardando al futuro, l'evoluzione continua con EMV 3DS 2.3 e oltre, incorporando standard come Secure Payment Confirmation (SPC) e WebAuthn per consentire un'autenticazione ancora più sicura e facile da usare utilizzando passkey e la biometria del dispositivo. Ciò si allinea con la visione più ampia di Mastercard di un futuro senza password e senza numeri per i pagamenti online entro il 2030, ancorato alla tokenizzazione e alla biometria.

Mentre il panorama dell'autenticazione si sposta verso questi metodi più moderni e resistenti al phishing, comprendere le basi gettate da programmi come Mastercard Identity Check è cruciale. Per le aziende che cercano di implementare un'autenticazione di nuova generazione che combini una sicurezza robusta con una convenienza utente senza pari, esplorare soluzioni basate sugli standard FIDO, come le passkey offerte da fornitori come Corbado, rappresenta il logico passo successivo per rendere le interazioni e i pagamenti online a prova di futuro.