Come attivare il 3-D Secure

di Lorenzo Renzetti
()

Il 3-D Secure è un protocollo di sicurezza utilizzato per autenticare le transazioni online, aggiungendo un livello aggiuntivo di protezione per le transazioni con carta di credito o di debito. Ecco come attivare il 3-D Secure per la tua carta di pagamento:

  1. Contatta la tua banca o istituto finanziario: Il 3-D Secure è abilitato direttamente dalla tua banca o istituto finanziario emittente della carta. Contatta il servizio clienti della tua banca tramite telefono, e-mail o tramite il loro sito web per richiedere l’attivazione del 3-D Secure per la tua carta.
  2. Conferma l’identità: Durante la procedura di attivazione, potrebbero chiederti di confermare la tua identità fornendo informazioni aggiuntive o completando un processo di verifica. Questo può includere la conferma di dettagli personali, la creazione di una password sicura o l’utilizzo di un codice OTP (One-Time Password) inviato tramite SMS o tramite un’applicazione autenticatore.
  3. Registra la tua carta: Una volta che il 3-D Secure è attivato per la tua carta, potrebbe essere necessario registrare la tua carta per l’uso online. Questo può essere fatto durante il processo di pagamento su un sito web o tramite l’applicazione mobile della tua banca.
  4. Segui le istruzioni: Segui attentamente le istruzioni fornite dalla tua banca per completare la registrazione e l’attivazione del 3-D Secure. Potrebbero esserci delle domande da rispondere o delle procedure specifiche da seguire per garantire che il protocollo di sicurezza sia attivato correttamente per la tua carta.
  5. Utilizza la tua carta in modo sicuro: Una volta che il 3-D Secure è attivato e la tua carta è registrata, potrai utilizzare la tua carta per effettuare transazioni online in modo sicuro. Durante il processo di pagamento, potrebbe essere richiesta l’autenticazione aggiuntiva tramite un codice OTP o un’altra forma di verifica per confermare che tu sia il legittimo titolare della carta.

Assicurati di seguire attentamente le istruzioni fornite dalla tua banca o istituto finanziario durante il processo di attivazione del 3-D Secure per garantire una corretta attivazione e protezione delle tue transazioni online.

Indice

Cos’è e come funziona la tecnologia 3-D Secure

Per capire come funziona il 3DS, dobbiamo fare un veloce passo indietro ad alcuni anni fa, quando il sistema di sicurezza più utilizzato per le transazioni online consisteva nell’uso di un token, un apparecchio grande quanto un portachiavi munito di almeno un pulsante e di un piccolo schermo a cristalli liquidi.

Questo dispositivo conteneva una batteria ed una scheda, quest’ultima programmata per fare solo due cose: mantenere una misura temporale certa per tutta la durata della batteria, e generare un numero pseudo-casuale sulla base di un algoritmo segreto, legato direttamente all’orario segnato dall’orologio interno.

Al momento del rilascio del token, che veniva consegnato al cliente assieme alla carta e ad un PIN, la banca provvedeva a sincronizzarlo con i propri sistemi, in maniera tale che l’orologio interno del token “battesse” in autonomia lo stesso orario del server di riferimento.

Qualora poi il cliente avesse voluto utilizzare la carta per compiere delle operazioni sul proprio conto virtuale, avrebbe inserito sul sito le proprie credenziali, il PIN e il codice temporaneo generato dal token, premendo il suo unico pulsante; il server della banca, in contemporanea, avrebbe compiuto la stessa operazione, generando il numero casuale e confrontandolo con quello immesso dal cliente.

Poiché gli orologi del token e del server erano sincronizzati, si sarebbero create due cifre identiche, chiamate entrambe OTP (one-time password). Avendo una durata limitata nel tempo, virtualmente, queste non sono (dal punto di vista teorico) clonabili/calcolabili da un malintenzionato.

Tale sistema non consentiva però di compiere acquisti sicuri, ma solo di accedere con sicurezza al proprio c/c sul server della banca. Per questa ragione, è stato implementato il sistema 3DS, che consente di versare il denaro direttamente sul conto del negoziante, e sfrutta (o può sfruttare) gli stessi strumenti del controllo diretto tramite password, ovvero la OTP.

Dal momento che le prime società a sviluppare questa tecnologia furono Visa e, subito dopo, MasterCard, potresti trovare il nome di queste due imprese associato a quello del protocollo, per ragioni di carattere commerciale. Il protocollo 3DS usato oggi, tuttavia, è stato sviluppato dal consorzio EMVCo (controllato equamente da Visa, MasterCard, JCB, American Express, China UnionPay e Discover), e permette un’autenticazione sicura anche durante le transazioni senza carta (CNP).

Funzionamento della tecnologia EMV 3-D Secure

La sigla EMV 3-D Secure Three-Domain Secure sta per 3 domini sicuri, giacché la procedura – che sfrutta le caratteristiche del linguaggio XML – si fonda, al momento in cui scrivo, sull’interazione di tre server:

  • Acquirer – il server del soggetto che richiede il pagamento, come un negozio online;
  • Issuer – il server della società che ha emesso la carta (può essere una banca, PosteItaliane o un’impresa di servizi finanziari);
  • Dominio intermedio (chiamato anche Directory Server) – è il cuore del protocollo, che “smista” i dati scambiati tra acquirer e issuer, facendo da filtro e verificando la validità della transazione.

Solitamente, ad un certo punto della procedura – come vedremo – viene chiesto all’utente di inserire una OTP, soprattutto se la transazione è considerata ad alto rischio. È ciò che prevede il sistema 3-D Secure 2.0.

Nel nostro tempo, per ottimizzare i tempi e ridurre i costi imponenti della diffusione dei token (oggetti, peraltro, anche inquinanti, perché muniti di batteria e circuiti elettrosaldati non recuperabili), questi codici temporanei sono tipicamente ottenuti in maniera digitale. Nella fattispecie, per calcolare la OTP viene utilizzato lo smartphone, attraverso un’app apposita (sviluppata dall’emittente della carta o dall’istituto bancario), nonché sfruttando il servizio SMS.

A loro volta, le applicazioni possono essere protette da un sistema di autenticazione biometrica (riconoscimento facciale o impronta digitale), oltre che da password alfanumeriche complesse.

A cosa serve abilitare il 3-D Secure

Attivare il servizio 3DS è oggi imprescindibile per compiere acquisti online, perché molte società emittenti di carte di credito/debito lo impongono ai loro clienti senza dare alcuna alternativa.

Questa scelta, frutto dello studio sinergico di tanti professionisti della cyber-sicurezza, non va ovviamente a limitare la libertà dei titolari delle carte, ma serve a tutelare in maniera notevole tutto il sistema dell’e-commerce, che riesce a diffondersi solo nella misura in cui i clienti si sentano protetti anche sotto il profilo finanziario. E bada bene che tra i clienti delle carte di credito non ci sono solo gli utenti che acquistano online, ma anche i negozianti, che ovviamente non possono conoscere chi acquista, e desiderano essere garantiti nel caso in cui quest’ultimo, qualche tempo dopo, scopra di non aver compiuto personalmente l’operazione (ad es. a causa di una carta clonata): in questo caso, il protocollo 3DS viene in soccorso, giacché – a seconda dei contratti stipulati – il negoziante farà ricadere tutta la responsabilità sull’issuer (emittente della carta), che tramite l’OTP o altri sistemi è il solo a poter identificare il suo cliente.

In questo modo, quindi, si tutela l’intero e-commerce come organismo socio-economico: gli issuers continuano a vendere servizi finanziari, i negozianti sono tutelati rispetto all’eventuale disconoscimento della spesa, e il consumatore sa di poter contare su di uno strumento affidabile, difficilissimo da clonare e/o hackerare. Tralascio intenzionalmente il discorso legato alla tecnologia NFC, che meriterebbe un approfondimento dedicato.

Va precisato, da ultimo, che questo protocollo di sicurezza può essere usato anche per altre transazioni digitali ad alto rischio, correlate a servizi di vario genere. Ne rappresentano un esempio i pagamenti delle bollette online, che appunto, potrebbero richiedere l’inserimento di dati sensibili, come i numeri della carta.

Circuiti bancari compatibili con 3-D Secure

Puoi verificare direttamente se la tua banca ha abilitato questa tecnologia e la supporta nelle carte di credito o prepagate che emette.

Allo stato attuale, il servizio è disponibile, in maniera diretta o tramite software e tecnologie di terze parti, per i seguenti istituti di credito italiani:

  • PosteItaliane;
  • UbiBanca;
  • Monte dei Paschi di Siena;
  • Intesa San Paolo;
  • Banco BPM;
  • Unicredit.

Il servizio è attivo anche presso istituti bancari esteri, come l’Unione di Banche Svizzere (UBS). Può essere abilitato, inoltre, tramite società emittenti di carte associate ai circuiti Visa e Mastercard, tra le prime ad adoperare la tecnologia 3DS, nonché mediante vendor con circuiti propri, come American Express (AMEX). Da non dimenticare Nexi, una società creata a seguito della fusione tra ICBPI e CartaSi, che offre infrastrutture per il pagamento digitale a diverse banche italiane.

Per essere certo di trovare un sistema di pagamento compatibile 3-D Secure, ti suggerisco di consultare:

Attivazione della tecnologia 3DS

Attualmente, quasi tutte le società che ti ho elencato sopra hanno previsto automaticamente delle modalità di attivazione di questa tecnologia.

Solitamente, la sua introduzione, per i clienti che non l’avessero ancora attivata, è preceduta dall’invio di una lettera con cui l’istituto emittente spiega in maniera dettagliata la procedura da adottare, che in alcuni casi può richiedere l’obbligo di recarsi fisicamente presso uno sportello della filiale per comunicare il numero di cellulare da associare alla carta.

Qualora mai ciò non si fosse verificato, devi contattare direttamente l’emittente per ottenere ogni informazione necessaria. Non è possibile dettagliare un esempio pratico in questo caso.

Come usare il 3-D Secure per pagare online

La procedura per adoperare il 3DS online può subire alcune variazioni a seconda delle scelte dell’emittente. Tuttavia, di solito, funziona in questo modo:

  1. Presso il sito del venditore online, al momento del pagamento, troverai un form, in cui dovrai inserire:
    1. Nome e cognome dell’intestatario della carta;
    2. Numero della carta;
    3. Codice di verifica (CVC/CVV), solitamente – ma non sempre – collocato sul retro della carta (è un vecchio metodo per essere certi che tu l’abbia con te e non stia usando, ad es., una foto della carta rubata a qualcuno);
    4. Data di scadenza della carta;
    5. Eventualmente, un indirizzo di fatturazione (in alcuni casi, può non essere richiesto).
  2. Una volta inseriti i dati, dovrai confermarne l’immissione selezionando un apposito tasto di autorizzazione, che ti indirizzerà (nella maggior parte dei casi) ad una schermata di riepilogo, in cui ti verrà ribadito l’ammontare definitivo del prezzo da pagare;
  3. In alcuni casi, per ragioni di intermediazione bancaria (ad es. se stai adoperando una carta emessa da un partner del provider, ma non ad esso direttamente collegata), potresti trovare una piccola commissione aggiuntiva;
  4. Se avrai dato l’autorizzazione a procedere, verrai reindirizzato (a seconda dei casi) al server dell’issuer, che ti chiederà di inserire la OTP. Se l’issuer adopera gli SMS, entro pochi secondi riceverai il messaggio contenente il PIN da inserire; se invece l’issuer adopera un’app per smartphone (che sostituisce il token) ti potrebbe essere chiesto di premere un pulsante di conferma direttamente su quest’ultima. In tal caso, ovviamente, lo smartphone dovrà essere connesso a Internet;
  5. Compiuta la verifica dell’identità come sopra, il server ti restituirà il messaggio positivo di avvenuto pagamento, o – eventualmente – un messaggio di errore, che dovresti tempestivamente comunicare al tuo fornitore di servizi finanziari. In alcuni casi, l’issuer potrebbe fornirti anche un ulteriore servizio, consistente in un SMS di conferma dell’avvenuta transazione.

Annullare l’attivazione del 3-D Secure

Non esistono validi motivi per disattivare l’uso del solo sistema 3DS, ed in molti casi non è un’ipotesi contemplata: se hai perso la carta, il cellulare, o vuoi cambiare numero, dovrai infatti ricorrere direttamente all’emittente della carta per compiere ogni operazione di recupero necessaria.

Se invece ti stai chiedendo come disabilitare il servizio perché non riesci ad effettuare dei pagamenti online, ti suggerisco di chiedere informazioni al contact center dell’emittente della carta, che potrebbe non essere quello della tua banca (ad es. il contact center di MasterCard o Visa).

Tecnologie alternative al 3-D Secure

Il 3DS non è ovviamente il solo protocollo utilizzato per garantire la sicurezza online. Un sistema alternativo ma non molto diffuso, almeno in Italia, è il Dynamic CVV, che concettualmente assomiglia molto al vecchio sistema basato sulla OTP tramite token: la carta di credito, infatti, presenta sul retro uno schermo in e-ink (come molti lettori di e-book) che sostituisce il codice CVC/CVV statico, e cambierà ad ogni transazione, garantendo – almeno finché non si perde la carta – un controllo maggiore sull’identità dell’utente.

Completamente slegato da queste tecnologie – e concettualmente autonomo rispetto ad esse – è poi il servizio offerto da PayPal, che non usa intermediazioni, garantisce la protezione del conto e degli acquisti, e inoltre gestisce i pagamenti dell’acquirente tramite autenticazione.

Quanto è stata utile questa guida per te?

Indica il tuo grado di soddisfazione:

Autore
Lorenzo Renzetti
Sono un blogger e divulgatore informatico appassionato dell'informatica e dei servizi di social networking. Creo contenuti volti a migliorare l'esperienza utente su multi-piattaforma, tutelando privacy e sicurezza.
Informazioni biografiche

Creato con il in Italia - Privacy Policy - Cookie Policy - Preferenze privacy