PSD2, SCA e Scommesse: Protezione Pagamenti | BetCard

Ogni volta che la tua banca ti chiede un codice OTP o una conferma biometrica prima di completare un deposito su un bookmaker, stai interagendo con la PSD2. Non è un capriccio del tuo istituto bancario, non è una misura di sicurezza aggiuntiva che puoi disattivare — è un obbligo di legge europeo che si applica a qualsiasi pagamento online nell’Area Economica Europea dal 31 dicembre 2020. Capire come funziona la PSD2 e la Strong Customer Authentication non è un esercizio accademico: è la chiave per capire perché certi depositi vanno in pochi secondi mentre altri richiedono passaggi aggiuntivi, e come configurare il tuo sistema per ridurre al minimo le frizioni.

Strong Customer Authentication (SCA): Come Funziona e Perché Si Attiva nelle Scommesse

Il 3D Secure (SCA) è obbligatorio nell’Area Economica Europea per i pagamenti online dal 31 dicembre 2020 come requisito della direttiva PSD2. Ma “obbligatorio” non significa “si attiva sempre” — la PSD2 prevede un sistema sofisticato di esenzioni che determina quando l’autenticazione è richiesta e quando può essere saltata.

La SCA si basa sul principio dell’autenticazione a due fattori: il sistema deve verificare l’identità del pagante tramite almeno due dei tre fattori seguenti. Il primo è “qualcosa che sai” — un PIN, una password, una risposta a una domanda di sicurezza. Il secondo è “qualcosa che hai” — il tuo smartphone, un token fisico, una carta fisica. Il terzo è “qualcosa che sei” — impronta digitale, riconoscimento facciale, voce. Per un deposito con Mastercard su un bookmaker, il sistema tipico usa la carta come fattore “qualcosa che hai” e l’OTP o la biometria come secondo fattore.

Mastercard Identity Check — l’implementazione 3D Secure 2.0 di Mastercard — utilizza oltre 100 parametri di rischio comportamentale per valutare ogni transazione in tempo reale. Questi parametri includono: storia delle transazioni precedenti, dispositivo usato, indirizzo IP, importo della transazione rispetto alla media storica, ora del giorno, geolocalizzazione. Se il profilo di rischio è basso — stai usando lo stesso dispositivo che usi sempre, stesso bookmaker che hai già usato ieri, importo simile alla media — il sistema può esentare la transazione dall’autenticazione aggiuntiva. Questo è il flusso “frictionless”: il pagamento viene approvato senza che tu faccia nulla.

Se invece il profilo di rischio è più alto — nuovo dispositivo, importo insolito, primo utilizzo del bookmaker — il sistema attiva il “challenge flow”: ti viene chiesta l’autenticazione aggiuntiva. È questa la richiesta OTP o biometrica che vedi quando depositi in condizioni insolite.

PSD2 e UX nei Siti Scommesse: Come i Bookmaker ADM Gestiscono l’Autenticazione

I bookmaker ADM hanno lavorato intensamente negli ultimi anni per ottimizzare l’esperienza di pagamento entro i vincoli della PSD2. L’obiettivo è ridurre al minimo le autenticazioni visibili all’utente — non per aggirare la sicurezza, ma usando legittimamente le esenzioni previste dalla direttiva.

La principale esenzione sfruttata dai bookmaker è la “transazione ricorrente da mittente affidabile” (trusted beneficiary). Se aggiungi esplicitamente il bookmaker alla lista dei beneficiari affidabili della tua banca, i pagamenti successivi verso quel bookmaker possono essere esentati dall’autenticazione aggiuntiva. Alcune banche permettono di impostare questa whitelist dall’app; in altri casi il processo avviene durante la prima transazione autenticata verso un nuovo beneficiario.

Un’altra esenzione rilevante è quella per le transazioni di basso valore — sotto i 30 euro — che possono essere elaborate senza SCA fino a un certo numero di transazioni cumulative. Per i depositi piccoli e frequenti, questo si traduce in un’esperienza più fluida. Per approfondire come la sicurezza Mastercard si integra con questi meccanismi, la guida completa sulla sicurezza Mastercard nelle scommesse copre 3D Secure, PSD2 e protezioni ADM nel dettaglio.

La gestione dell’autenticazione varia anche tra bookmaker. Gli operatori più avanzati tecnicamente — quelli che hanno investito nell’aggiornamento post-riforma ADM 2025 — hanno implementato sistemi di rischio proprietari che si integrano con il sistema Mastercard Identity Check. Questo permette loro di segnalare al circuito che certi utenti hanno un profilo a basso rischio, aumentando la probabilità di esenzioni frictionless per i loro utenti abituali.

Esenzioni SCA: Quando la PSD2 Non Ti Chiede l’Autenticazione

La PSD2 non impone l’autenticazione per ogni singola transazione — prevede un sistema di esenzioni che, se applicate correttamente dall’acquirer e dall’emittente, riducono significativamente la frequenza di richiesta di autenticazione. Capire queste esenzioni aiuta a capire quando aspettarsi il 3D Secure e quando il pagamento può andare frictionless.

L’esenzione per analisi del rischio (Transaction Risk Analysis, TRA) è la più rilevante per i depositi sui bookmaker. Permette di esentare transazioni fino a 500 euro se il sistema di pagamento dimostra tassi di frode sufficientemente bassi. Mastercard Identity Check applica questa esenzione usando oltre 100 parametri comportamentali — e i bookmaker ADM con bassa incidenza di frode possono beneficiare di esenzioni molto frequenti per i propri utenti abituali.

L’esenzione per basso valore copre transazioni sotto i 30 euro, fino a 5 transazioni consecutive o 100 euro cumulativi senza autenticazione. Per i piccoli depositi frequenti nel live betting, questa esenzione si attiva spesso — ma si azzera dopo 5 utilizzi consecutivi, quindi la sesta transazione richiede autenticazione anche se sotto i 30 euro.

L’esenzione per beneficiario affidabile (trusted beneficiary whitelist) è la più potente per i bookmaker abituali. Se il tuo istituto bancario ti permette di aggiungere un beneficiario alla whitelist, tutti i pagamenti successivi verso quel beneficiario sono esentati dalla SCA in modo sistematico. Non tutti gli istituti italiani supportano questa funzione — verificalo nelle impostazioni della tua app bancaria.

Domande su PSD2 e SCA nelle Scommesse