Tag: SCA

Regole per le carte di credito europee (SCA+PSD2)

Dal 1° gennaio 2021 è entrata in vigore la SCA (Strong Customer Authentication – autenticazione forte) che è uno dei pilastri della seconda direttiva europea sui servizi di pagamento (PSD2) e che richiede una autenticazione aggiuntiva per le transazioni con carta di credito effettuate da remoto (senza avere la carta di credito del titolare “in mano”).

Da notare:

  • L’autenticazione SCA si applica ai pagamenti online “avviati dal cliente” sul territorio europeo.
  • I requisiti si applicano alle transazioni in cui sia la banca dell’azienda sia l’istituto bancario del titolare della carta si trovano nello Spazio economico europeo (SEE).
  • La nuova data di applicazione del regolamento SCA sarà il 14 di settembre 2021 per il Regno Unito (a prescindere dalla Brexit).

Cosa significa e come vi potete muovere nelle varie situazioni?

Cliente prenota alla reception
Con il cliente in reception nulla cambia perché avete la carta di credito in mano (addebito tramite POS). La SCA non è necessaria.

Cliente prenota al telefono/tramite e-mail
Cliente al telefono (transazioni c.d. MOTO – Mail Order Telephone Order) o richiesta tramite e-mail. La SCA non è necessaria (per il momento). Regolate i pagamenti come di solito. L’esito della transazione dipende dalla configurazione del vostro POS (chiedere alla Banca) e dagli algoritmi di valutazione del rischio che mettono in pratica gli enti emittenti. Se volete avere qualcosa di più sicuro utilizzate il link di pagamento Quovai (leggete qui il nostro articolo che si trova nella Guida Quovai sul PMS) e inviatelo al cliente per generare un token di pagamento Stripe che poi utilizzerete per addebitare il cliente in un secondo momento.

Cliente prenota sul vostro sito con booking engine
Diversi scenari:

    • Usate Stripe (come payment gateway) tramite Quovai PMS e addebitate l’importo al momento della prenotazione.
    • Usate Stripe (come payment gateway) tramite Quovai PMS e addebitate l’importo entro sette (7) giorni dal momento della prenotazione (pre-autorizzazione).
    • Usate Stripe (come payment gateway) tramite Quovai PMS, non addebitate l’importo immediatamente ma ottenete un token (un riferimento dentro la piattaforma di Stripe) che potrete usare in futuro.
    • Non usate Stripe, ricevete dal PMS il numero della carta di credito visibile, ma vi esponete al rischio che al momento di utilizzare la carta la transazione sia rifiutata oppure il cliente possa contestare (in casi estremi) l’importo.
    • Non usate Stripe, chiedete la carta di credito a garanzia ma la ignorate mettendo in conto un certo numero di no show ogni anno (comunque limitati dal fatto che il cliente inserendo la carta di credito è responsabilizzato).

Cliente prenota su OTA (es. Booking.com)
Diversi scenari:

  • Hotel collect con carta di credito comunicata a voi, ovvero cliente inserisce la carta ma paga da voi (ricevete la carta tramite extranet o channel manager): vi esponete al rischio che al momento di utilizzare la carta la transazione sia rifiutata oppure il cliente possa contestare (in casi estremi l’importo)
  • OTA collect con carta virtuale (per metodi di pagamento diversi da carta di credito, es. Paypal, WeChat, etc). L’OTA addebita il cliente al momento della prenotazione. L’OTA si occupa della SCA e per voi non ci sono problemi. Al momento del check-in potrete addebitare la carta virtuale.
  • OTA collect con prepagamento esclusivo. L’OTA addebita il cliente e vi paga con bonifico mensile l’importo delle prenotazioni dedotte le commissioni. L’OTA si occupa della SCA e per voi non ci sono problemi.

Cosa fare?

  • Se non avete Stripe, aprite un account Stripe. Contattaci per collegarlo a Quovai (il collegamento è gratuito).
  • Se avete Stripe, contattaci per collegarlo a Quovai (il collegamento è gratuito).
  • Se volete modificare le condizioni di pagamento presso le OTA contattate direttamente i loro servizi clienti.

Dal 14 settembre 2019 una nuova normativa (PSD2)…

Dal 14 settembre una nuova normativa
Il 14 settembre 2019 entrerà in vigore una direttiva* (valida nei Paesi dello Spazio Economico Europeo – EU 28 ed Islanda, Liechtenstein e Norvegia) che cambierà il modo di lavorare delle strutture ricettive, in particolare per quanto riguarda i pagamenti elettronici: le carte di credito.

Si tratta della direttiva PSD2 (Payment Services Directive) che introduce importanti novità in termini di sicurezza per gli utenti europei che utilizzano i canali online per l’operatività bancaria.

* La Banca d’Italia (in consultazione con l’European Banking Authority) ha concesso eccezionalmente una proroga limitata (fino a quando non si sa ancora ma sapremo successivamente). 

In cosa consiste la normativa?
Una delle principali novità della direttiva PSD2 è la SCA (Strong Customer Authentication) che è un’autenticazione forte del cliente basata su due o più elementi:

1. “Conoscenza”, ad esempio la password personale o il PIN che solo l’utente conosce,
2. “Possesso”, una password temporanea (c.d. One Time Password) generata tramite token mobile (una APP su smartphone) o token fisico (ad esempio una “chiavetta”), e valida per un solo utilizzo
3. “Inerenza”, qualcosa di univoco che contraddistingue l’utente come ad esempio la sua impronta digitale, il riconoscimento vocale, i dati comportamentali.

Un esempio che avrete sicuramente visto in passato è la cosiddetta 3D Secure 1 (3DS1) authentication, ovvero il caso in cui dopo aver fornito il numero della carta di credito per un acquisto venite re-indirizzati ad un sito di Visa o Mastercard per ricevere un codice via SMS e confermare la vostra identità. Molte più transazioni, che oggi richiedono solo il numero della carta di credito, richiederanno un tipo di autenticazione che si chiama 3D Secure 2 (3DS2) che migliora l’esperienza di acquisto in paragone del 3DS1.

Cosa cambia praticamente?
Gli enti emittenti le carte di credito rifiuteranno le transazioni fatte con carta non presente (come quanto si addebita a un cliente un no-show oppure una penale utilizzando la carta fornita in prenotazione o un booking online) se tale carta non è stata raccolta nelle modalità indicate dalla normativa PSD2/SCA, cioè per esempio fornendo, oltre al numero di carta di credito, anche un codice ricevuto via SMS, o tramite gli altri elementi sopracitati (1, 2, 3).

Questo potrebbe significare che una carta raccolta a garanzia di una prenotazione non sarà utilizzabile in fase di addebito di una penale o no show o una tariffa non rimborsabile. In pratica sarà inutile.

Come risolviamo il problema?
QUOVAI risolve il problema adattando la propria modalità di check-out al sistema integrato Stripe per le transazioni online in modalità SCA.

In questo modo le carte di credito registrate sul PMS QUOVAI verranno salvate in una modalità che vi consentirà l’utilizzo entro 90 giorni. Dopo 90 giorni (questo limite è insito nella direttiva PSD2), Quovai vi fornirà un sistema per chiedere al cliente un rinnovo del permesso ad utilizzare la carta di credito nei casi eccezionali in cui trascorrano più di 90 giorni tra la prenotazione e il check-in.

Esistono esenzioni alla SCA?
Certo, ecco alcune transazioni che non hanno l’obbligo di usare la SCA:

• Transazioni MOTO (Mail Order Telephone Order): Tutti gli ordini fatti tramite mail o telefono saranno esenti dalla SCA (almeno per il momento), poiché non vengono considerati come pagamenti elettronici (elaborazione manuale).
• Transazioni inter-regionali: Tutti i pagamenti dove issuer o acquirer risiedono fuori dall’Europa sono esenti dalla SCA.
• Bonifici bancari.
• Transazioni con un importo inferiore a 30 euro o le 5 transazioni fino a 100 euro, successive all’ultima SCA.

Praticamente cosa dovrete fare?
a) Le strutture ricettive che vorranno usare la nuova modalità nel modo più flessibile dovranno aprire con noi un utenza Stripe (se non ce l’hanno già). E’ gratis ed è molto utile. Facciamo praticamente tutto noi, dovrete solo fornirci alcuni dati. L’unico costo di Stripe è la commissione di 1,4% + 0,26 a transazione in caso di utilizzo della carta di credito a garanzia.

b) Per le strutture che non vorranno aprire un’utenza Stripe, Quovai utilizzerà la propria, salvando la carta di credito del cliente sul proprio conto Stripe. In caso di no-show o di penale, Quovai addebiterà la carta di credito del cliente, retrocedendo la somma dovuta alla struttura meno un piccolo costo amministrativo Quovai.

 

Ecco una piccola tabella riassuntiva:

TIPO TRANSAZIONE “SCA” NECESSARIA SOLUZIONE
Cliente in reception NO Regolare i pagamenti in presenza del titolare della carta di credito
Cliente al telefono (transazioni c.d. MOTO – Mail Order Telephone Order) NO (per il momento) Regolare i pagamenti come di solito
Booking online via sito web e booking engine SI’ QUOVAI adatta la propria modalità di check-out al sistema STRIPE (SCA compliant)
OTA (booking.com, altro) – modalità OTA collect (pagamenti online) L’OTA gestirà la SCA Carta virtuale dell’OTA (non dovrai fare niente). Verificate in questo caso eventuali addebiti di commissioni aggiuntive.
OTA (booking.com, altro) – modalità hotel collect SI’ (SCA richiesta) se addebiti la carta senza il titolare fisicamente presente per (p.e.) una tariffa non-rimborsabile

NO (esente SCA) se addebiti la carta al check-in o check-out con il titolare presente

 Nei casi in cui le OTA raccolgono i dati della carta di credito per poi fornirli all’hotel, potrebbe accadere che decidano invece di far pagare il cliente direttamente sul portale (come per OTA collect). Verificate in questo caso eventuali addebiti di commissioni aggiuntive.

 

Avvertenze

Le informazioni fornite non sono da considerarsi una consulenza legale o contabile ma solo generiche note di carattere divulgativo.

Va osservato inoltre che anche se la nuova direttiva PSD2 entrerà in vigore il 14 settembre 2019, le banche e le società di emissione di carte avranno facoltà di implementare gradualmente la SCA per le transazioni con carta. Seguiremo tutti gli sviluppi e vi terremo al corrente degli ultimi aggiornamenti.