GH GambleHub

3-D Secure 2. 0 e SCA

1) Perché l'operatore iGaming 3DS2 e cos'è SCA

3-D Secure 2. x (EMV 3DS) - Protocollo di autenticazione del titolare della carta nell'e-commerce.
SCA (Strong Customer Authentication) è un requisito di regolazione (PSD2/UK) che impone l'esecuzione di controlli a due fattori in diversi scenari.

I vantaggi di 3DS2 per i clienti sono:
  • Liability shift: se l'autenticazione è riuscita, il rischio di frode passa all'emittente.
  • Prima conversione vs 3DS1: la raccolta di 100 + elementi data consente a frictionless senza challenge.
  • Script nativi: SDK per la conferma in-app, decoupled e out-of-band.

2) Ruoli e componenti (EMV 3DS)

3DS Server (con o con PSP) - Consente di generare query nel diagramma, aggregare i dati del device, gestire le versioni 2. 1/2. 2/2. 3.
Directory Server (DS) - Router diagramma (Visa/Mastercard/AmEx, ecc.).
ACS (Access Control Server) - Server emittente decide frictionless o challenge.
SDK/Method: raccolta dei segnali device (fingerprinting), web-SDK/iframe e mobile-SDK.

3) Flussi UX tipici

3. 1 Frictionless (senza challenge)

1. Merchant/PSP-DS: AReq con dati 3DS (device, storia, segnali di rischio).
2. DS/ACS → ARES (frictionless) - Autenticazione completata senza la partecipazione dell'utente.
3. Di seguito viene visualizzata l'autorizzazione (Auth).

Quando si attiva: basso rischio, whitelist (Trusted Beneficiary), LVP, dati di qualità.

3. 2 Challenge (con challenge)

1. ARes richiede CReq/CRES (OTP, Task-Conference in banca, biometria).
2. Dopo il successo dell'autorizzazione, la liability maiusc è salvata.

3. 3 Decoupled / Out-of-Band

Conferma nell'applicazione della banca senza ridirect. Utile per gli scenari mobile.

3. 4 3RI (3DS Requestor Initiated)

Utilizzato per le transazioni MIT (MIT) - sottoscrizioni, retrai. Non c'è SCA su ogni ricorrenza, ma è necessario un riferimento corretto al CIT iniziale.

4) SCA: dove è obbligatorio e dove agisce

Obbligatorio: la maggior parte delle transazioni e-commerce in EEA/UK se l'emittente e l'equayer sono nella zona SCA.
Fuori dalla zona/Out-of-scope: MOTO (e-mail/telefono), alcuni canali aziendali, percorsi interstatali (può essere utilizzato da un emittente TRA).

4. 1 Eccezioni (Exemptions)

TRA (Communication Risk Analysis) - Basso rischio provider/banca (confermato da metriche di frodo).
LVP (Low-Value Payments) - Piccole somme, con soglie e contatori dell'emittente.
Whitelist (Trusted Beneficiary) - Il destinatario nell'elenco bianco del client dell'emittente.
Secure Corporate/Merchant Iniziated (MIT): prelievi successivi fuori SCA se si dispone di un CIT iniziale con SCA e collegamenti corretti.

💡 L'emittente può rifiutare exemption e richiedere SCA → viene visualizzato soft-decline.

5) Etichettatura transazioni e flag per il iGaming

CIT (Customer Initiative Communication) - Il prelievo primario richiede generalmente SCA (o exemption).
MIT Recording/Unscheduled COF: successivi prelievi; non richiedono SCA se c'è un collegamento con il CIT iniziale (link/ID interdipendenti).
Gli indicatori corretti nelle richieste PSP/Schema sono critici per la liability shift e l'omissione SCA nelle ricorrenze.

6) Dati che influenzano la soluzione ACS

Trasferire il massimo dei campi rilevanti:
  • Device/Browser: user-agent, accept headers, screen, timezone, language.
  • Account data: età dell'account, data dell'ultima password, numero di ingressi non completati.
  • Trasmissione data: MSS/categoria, somma/valuta, precedenti tentativi, velocity.
  • Shipping/Billing: corrispondenza degli indirizzi, cronologia del destinatario.
  • 3DS method complet indicator: se 3DS Method (fingerprint) è stato eseguito.
  • Più ricco è il contesto, maggiore è la possibilità di frictionless.

7) Flussi di integrazione con l'orchestratore dei pagamenti

7. 1 Sequenza (web/mobile)

1. Iniziate 3DS (3DS Server DS/ACS) è in grado di ottenere ARES.
2. Se challenge è possibile eseguire CReq/Cres tramite SDK/iframe.
3. Successo → Auth (autorizzazione) con risultato 3DS (ECI, CAVV/cryptogram, dsTransID).
4. Webhook PSP → l'orchestratore → Ledger/DWH (senza PAN).

7. 2 Soft-decline e retrai

L'autorizzazione senza SCA può tornare «soft-decline (code)» per ripetere il pagamento con SCA.
L'orchestratore tiene una macchina di tentativi state: no SCA soft-decline 3DS2 Auth.

7. 3 Multi-PSP

Verificare il supporto delle versioni 3DS (2. 1/2. 2/2. 3), app-SDK, decoupled.
Smart-routing: in caso di degrado ACS in parte degli emettitori, utilizzare il percorso di riserva (se i criteri/schemi lo consentono).

8) pattern UX che migliorano la conversione

Native/SDK nelle applicazioni mobili: meno ridiretti, maggiore completamento.
Pre-collect dati (e-mail, indirizzo, segnali comportamentali) fino a 3DS.
Schermate di attesa trasparenti e testo comprensibile (localizzazione di lingua/regione).
Timeout con rimborso morbido e ripetizione del challenge.
Whitelisting prompt: suggerisci al cliente di aggiungere merchant a quelli affidati alla banca (dove disponibile).

9) Errori e casi estremi

Timeout/Unavailable ACS → codici corretti e ripetizione (o fallback per criteri).
Versione downgrade: se 2. 2/2. 3 non disponibile, reimpostato alla versione compatibile.
Partial method: se 3DS Method non è terminato, invia comunque AReq - dati parziali migliori di zero.
Mixed flows: 3DS + Verifica indirizzi AVS - Abilita lo stato.
Marceback dopo 3DS: contesta i manufatti (ECI, CAVV, ARES/CRES refs).

10) Documenti e manufatti da conservare

ID transazione 3DS (dsTransID, threeDSServerTransID).
Risultati dell'autenticazione (ECI, CAVV/AVV, ARes/CRES states).
Logi SDK (senza PII/PAN), timeline e codici di errore.
Collegamenti MIT al CIT iniziale per le sottoscrizioni/ripetizioni.
Criteri di elaborazione soft-decline ed esclusioni TRA.

11) Metriche e target (KPI per il iGaming)

Conversione

3DS completamento rate (percentuale di autenticazione completata).
Frictionless vs challenge (obiettivo: frictionless).
Abandonment rate sugli schermi 3DS.

Rischio

Frod-rit dopo liability shift (sotto - meglio).
La quota soft-decline e il successo dei successivi retrai con 3DS.

Tecnica

Tempo 3DS p95 (inizio risultato).
Errori SDK/iframe, timeout ACS.

12) Assegno foglio di avvio 3DS2 + SCA

  • 3DS Server è connesso (versione 2. 1/2. 2/2. 3), test-bins completati.
  • Gli script web SDK/mobile-SDK sono integrati (in-app + webview).
  • Raccolta de-vice/browser data attivata (3DS Method).
  • Le etichette CIT/MIT/COF sono corrette; memorizzato un riferimento al CIT iniziale.
  • Il flusso soft-decline di ripetizione con SCA è stato implementato nell'orchestratore.
  • Exemptions (TRA/LVP/whitelist) sono configurati e logici per cause/risultati.
  • Multi-PSP: versione 3DS e percorso fallback convalidati.
  • Дэшборды KPI: frictionless %, challenge success %, abandon, soft-decline.
  • I criteri di conservazione degli artefatti 3DS e dispute playbook sono pronti.
  • I test A/B dei suggerimenti UX (localizzazione, testi, timeout) sono programmati.

13) Relazione con PCI DSS e tornitura

3DS2 non sostituisce PCI DSS, che parla di autenticazione e PCI di protezione dei dati.
Per PAN-safe, immettere una mappa in hosted fields/iframe; l'orchestratore vede solo i token e i manufatti 3DS (ECI/CAVV).
Per COF/MIT, utilizzare network tokens o vault-token per ridurre il frodo e aumentare l'autorizzazione.

14) FAQ breve

Dobbiamo sempre fare 3DS? Nella zona SCA sì, a meno che non ci sia un'esemption/eccezione corretta. L'emittente potrebbe richiedere il challenge.
Se la banca si è rotta? Utilizzare i criteri retrae/timeout e, se possibile, un percorso diverso.
La 3DS darà un aumento della conversione? Il 3DS2 corretto con dati ricchi aumenta la percentuale di frictionless e riduce i from/charjback.
Qual è la cosa più importante per avere successo? Ricco di dati contestuali, corretti flag CIT/MIT/COF, rapido UX e elaborazione soft-decline.

15) Riepilogo

Per il iGaming 3DS2 + SCA non si tratta dì dolore obbligatorio ", ma di uno strumento di crescita: più frictionless, meno frode, trasferimento di responsabilità all'emittente, monetizzazione stabile delle sottoscrizioni e dei prelievi. Posate le bandiere giuste (CIT/MIT/COF), mantenete gli exempzioni secondo le regole, assicurate l'input pan-sicuro e costruite un orchestratore con ritagli e osservabilità intelligenti, in modo che l'autenticazione diventi un alleato e non un freno alla conversione.

Contact

Mettiti in contatto

Scrivici per qualsiasi domanda o richiesta di supporto.Siamo sempre pronti ad aiutarti!

Telegram
@Gamble_GC
Avvia integrazione

L’Email è obbligatoria. Telegram o WhatsApp — opzionali.

Il tuo nome opzionale
Email opzionale
Oggetto opzionale
Messaggio opzionale
Telegram opzionale
@
Se indichi Telegram — ti risponderemo anche lì, oltre che via Email.
WhatsApp opzionale
Formato: +prefisso internazionale e numero (ad es. +39XXXXXXXXX).

Cliccando sul pulsante, acconsenti al trattamento dei dati.