Si ordiniamo su Amazon, clicchiamo su “Acquista ora”, e il pagamento viene elaborato senza che venga richiesto alcun codice di sicurezza dalla banca. Niente SMS, niente notifiche sull’app bancaria. La prima volta, ci si chiede se la transazione sia davvero sicura. Questo comportamento, lontano dall’essere un bug, si basa su un meccanismo preciso regolato dalla normativa europea e dalle scelte tecniche di Amazon.
Esenzioni DSP2: il quadro normativo che consente ad Amazon di bypassare il codice
La direttiva europea DSP2 impone in linea di principio una autenticazione forte (SCA) per i pagamenti online. Devono essere convalidati due fattori su tre: qualcosa che si conosce (password, codice), qualcosa che si possiede (telefono, carta), o qualcosa che si è (impronta digitale).
Da scoprire anche : Perché la puff conquista sempre di più nella vita quotidiana
La stessa direttiva prevede casi in cui questa verifica può essere bypassata. Si parla di esenzioni normative, e Amazon le sfrutta metodicamente per semplificare il percorso d’acquisto. Diverse situazioni permettono di farne a meno:
- Le transazioni di importo ridotto, al di sotto di una soglia definita dalla normativa, non attivano automaticamente l’autenticazione forte.
- Il “merchant whitelisting” consente al cliente di dichiarare Amazon come commerciante fidato presso la propria banca, il che elimina la verifica per gli acquisti successivi.
- L’analisi del rischio in tempo reale (Transaction Risk Analysis) consente all’emittente della carta o al fornitore di pagamento di valutare il livello di rischio e di concedere un’esenzione se il tasso di frode rimane al di sotto delle soglie normative fissate dall’EBA.
Si comprende meglio perché l’autenticazione a due fattori su Amazon non si attivi ad ogni ordine. Il sistema si basa su un arbitraggio tra sicurezza e fluidità, regolato dalla legge.
Ulteriori letture : Scopri come rimanere informato grazie a notizie online sempre aggiornate
Rilevamento delle frodi interne su Amazon: cosa sostituisce l’SMS della tua banca
Se Amazon può permettersi di non attivare la verifica bancaria, è perché la piattaforma ha sviluppato i propri meccanismi di rilevamento. Il principio è semplice: piuttosto che richiedere un codice ad ogni acquisto, Amazon analizza il comportamento dell’account in tempo reale.
Il sistema valuta diversi segnali prima di convalidare un pagamento. L’indirizzo IP utilizzato, il terminale (computer, telefono), la cronologia degli ordini, l’indirizzo di consegna, l’importo della transazione. Quando il profilo di rischio è considerato basso, l’ordine viene elaborato senza attriti.
Al contrario, un acquisto da un nuovo dispositivo, verso un indirizzo mai utilizzato, con un importo insolito, attiverà una verifica. Si può ricevere un SMS, una richiesta di conferma via e-mail, o una notifica nell’app bancaria. Il trigger dipende dal livello di rischio stimato, non solo dall’importo.
Questo modello ha una conseguenza diretta sull’esperienza d’acquisto. Amazon ottimizza la conversione riducendo il numero di passaggi di convalida. Meno attriti significano meno abbandoni del carrello, il che rappresenta un importante leva commerciale per la piattaforma.
Frodi ed esenzioni: il rischio si sposta, non la sicurezza
L’autenticazione forte ha ridotto significativamente le frodi sui pagamenti online soggetti a SCA dalla sua piena attuazione. I rapporti dei supervisori europei confermano questa tendenza. Tuttavia, i tentativi di frode non scompaiono.
Si spostano verso le transazioni che beneficiano proprio delle esenzioni: pagamenti di piccolo importo, acquisti con un clic, commercianti fidati. I truffatori prendono di mira i percorsi semplificati, quelli in cui non viene richiesto alcun codice. È un effetto meccanico della normativa.
La scommessa di Amazon sulla fluidità
Amazon investe nel rilevamento interno per compensare questo rischio. L’obiettivo è mantenere un tasso di frode sufficientemente basso per continuare a beneficiare delle esenzioni DSP2. Se il tasso di frode supera le soglie fissate dall’EBA, la banca emittente può rifiutare l’esenzione e richiedere sistematicamente l’autenticazione forte.
Quindi, l’equilibrio è fragile. Amazon deve mantenere un tasso di frode basso per conservare le sue esenzioni normative. È un circolo: più il rilevamento interno è efficace, meno la banca impone verifiche, e più il percorso d’acquisto rimane fluido.
Verifica bancaria rifiutata su Amazon: cosa fare concretamente
Può capitare che la verifica si attivi e fallisca. L’acquisto è bloccato, l’ordine non passa. Diverse cause sono possibili, e i feedback variano su questo punto a seconda delle banche e delle configurazioni dell’account.
- Il numero di telefono associato alla carta di credito non è più aggiornato presso la banca, il che impedisce la ricezione del codice SMS.
- L’app bancaria utilizzata per convalidare il pagamento non è attivata o non è aggiornata sul telefono.
- La carta registrata su Amazon è scaduta o è stata sostituita senza che l’account Amazon sia stato aggiornato.
- Il limite di pagamento online della carta è stato raggiunto o la carta non consente transazioni internazionali.
Il riflesso più efficace è verificare prima le impostazioni di sicurezza presso la banca. Aggiornare il numero di telefono presso la propria banca risolve la maggior parte dei blocchi legati alla ricezione del codice di convalida.
Dal lato di Amazon
Nel proprio account Amazon, si può anche rimuovere e poi reinserire il metodo di pagamento. Questa operazione costringe a una nuova verifica della carta e ripristina i dati trasmessi alla banca al prossimo acquisto.
L’assenza sistematica di autenticazione a due fattori su Amazon non è né un’assenza né una falla. È il risultato di un quadro normativo europeo che prevede esenzioni, combinato con un sistema di rilevamento delle frodi proprio della piattaforma. La sicurezza del pagamento si basa su tutta la catena, dalla banca emittente fino agli algoritmi di Amazon, e non solo su un codice ricevuto via SMS.