Voglio chiarire che oggi Stripe e Redsys sono identici in molti aspetti, incluso il poter pagare direttamente dal checkout senza abbandonare il sito come puoi provare nel mio negozio di esempio tramite InSite, e sebbene molte persone affermino continuamente che Stripe è migliore per i pagamenti poiché c’è una maggiore finalizzazione del pagamento, non è vero. Bene, puntualizziamo, è vero se si parla senza conoscere realmente come funziona Redsys (in realtà la PSD2) e Stripe, poiché con Redsys possiamo eguagliare la stessa bassa percentuale di abbandono che esiste in Stripe nel pagamento (che è molto ridotta) e persino ridurla (sì, ridurla), solo che bisogna conoscere la possibilità e cosa significa questo per il commercio. E no, non ha nulla a che fare con “la tecnologia superiore” di Stripe, come molte persone ripetono costantemente come se fosse un mantra.
Ma per capire tutto questo bisogna partire dall’inizio. Alla fine del 2018 è iniziata l’applicazione progressiva della nuova normativa PSD2. A settembre 2019 è entrata in vigore e chi lo richiedeva poteva iniziare a utilizzarla nei propri terminali, e il 31 dicembre 2020 è diventata obbligatoria, anche se in alcuni casi sono stati attivati nel corso del 2021 il flusso PSD2 nei terminali per richieste di aziende che non avevano “avuto tempo” di adeguare il proprio codice. Lo metto tra virgolette perché avevano avuto quasi 3 anni per farlo, quindi più che non aver avuto tempo, è stata trascuratezza (secondo il mio punto di vista). Io ho adeguato il mio plugin premium di Redsys nel corso di 4 mesi, senza fretta, riuscendo a rilasciare una versione beta che supportava già la PSD2 a settembre 2020 per avere feedback dagli utenti prima che diventasse obbligatoria 4 mesi prima che entrasse in uso in modo obbligatorio. Infatti in quel momento ho aiutato molte aziende ad adeguare il codice dei loro siti realizzati su misura alla PSD2 e ho consigliato diverse aziende di sviluppo conosciute, poiché la verità è che non è semplice e era più facile rivolgersi a qualcuno che aveva già “lottato” per applicare la nuova normativa, piuttosto che iniziare da zero cercando informazioni.
In cosa consiste esattamente la PSD2? È fondamentalmente una doppia autenticazione dell’acquisto. Fino all’entrata in vigore della PSD2, l’autenticazione consisteva nel CVV/CVC e in alcuni casi nell’invio di un SMS se richiedevate alla banca di attivarlo (alcune banche lo attivavano anche se non lo richiedevate), molte persone non lo sapevano o non volevano attivarlo “per comodità”. Dopo l’entrata in vigore della PSD2, quella seconda autenticazione, che in generale consiste nell’autorizzare l’operazione tramite l’app della banca, è diventata obbligatoria in Europa. Questo ha aumentato enormemente la sicurezza, ma anche la complicazione nel pagamento per molte persone, tanto che alcuni ancora oggi non lo finalizzano per non sapere come farlo, o ad esempio perché non hanno il cellulare a portata di mano.
E qui inizia il punto importante, quindi memorizzalo bene per tenerlo a mente e chiaro. Questa sicurezza è bidirezionale. Cosa significa? Che offre sicurezza sia al cliente che acquista in un commercio con la propria carta, sia al commercio che chi acquista è realmente il proprietario della carta ed è garantito dal sistema bancario, cioè, chi acquista ha la sicurezza che avendo la doppia autenticazione il commercio non potrà utilizzare la sua carta per effettuare addebiti indebiti, e il commercio sa che se ha ricevuto il pagamento dell’ordine lo incasserà perché il sistema bancario gli ha garantito che la persona che ha acquistato è il proprietario della carta, quindi in caso di furto della carta (ad esempio), incasserai comunque se quell’operazione è stata autenticata.
Inizi a vedere un po’ dove voglio arrivare? Qui sta fondamentalmente la differenza tra Stripe e Redsys. Stripe richiede molte meno autenticazioni (in pratica quasi nulle) e Redsys richiede per impostazione predefinita di autenticare praticamente tutte le operazioni. Questo è ciò che provoca che ci siano molte più finalizzazioni di pagamento in Stripe che in Redsys. Ma come può essere questo se la PSD2 obbliga all’autenticazione? E cosa succede con tutte quelle operazioni non autenticate in Stripe? Suppongo che ti sarai posto queste due domande, e se non te le sei poste dovresti farlo con tutto ciò che ti ho spiegato fino a questo momento.
All’interno della direttiva PSD2 esistono le esenzioni, che sono conosciute come SCA (Strong Consumer Authentication o autenticazione rafforzata dei consumatori). Ci sono vari SCA, ma ce ne sono tre in particolare importanti in questo ambito. Una è il MIT, che non si applica in questo caso poiché è esclusivo per abbonamenti. Quelli che dobbiamo conoscere e tenere in considerazione sono il LWV e il TRA.
Il LWV è un SCA che si applica quando l’ordine è a basso costo. Cioè, quando l’importo è inferiore a 30€ si può inviare nella richiesta di pagamento e non verrà richiesta l’autenticazione. Stripe lo applica direttamente se l’ordine rientra nel range di prezzo e in Redsys bisogna richiederlo affinché lo attivino e inviare l’SCA al momento del pagamento di un ordine se necessario. Trasferito al mondo offline, è quando paghi in un negozio fisico con la carta, e per il valore dell’acquisto non ti richiede il pin per pagare, ovviamente questo non si nota tanto se paghi con il cellulare tramite NFC, perché richiede sempre l’impronta per sicurezza di accesso al metodo di pagamento, come minimo con l’applicazione che utilizzo io (CaixaBank).
Il TAR, che è il “pericoloso”, è come il LWV, ma con la differenza che è per importi molto più alti. TRA significa (Transaction Risk Analysis). L’applicazione massima del SCA TRA dipende solitamente dalla banca nel caso di Redsys, ma in generale sono molto riluttanti ad attivarlo/accettarlo per importi superiori a 250€. Se ti attivano il TRA in Redsys, potrai richiedere che venga applicato e Redsys effettuerà una valutazione se lo invia o meno all’emittente, ma tieni presente che il rischio lo assumerai tu (come spiegherò un po’ più tardi). Stripe lo ha attivo direttamente e con importi fino a 500€. Ciò che farà Stripe è effettuare un’analisi del rischio, e se non vede nulla di significativo invierà il TRA all’emittente della carta per la richiesta di pagamento con cui non verrà effettuata l’autenticazione (se l’emittente del cliente lo accetta). Nella cattura della seguente tabella che puoi trovare qui, puoi vedere come applicano l’analisi del rischio per inviare o meno il TRA.
Questo precedente può sembrare molto interessante e uno potrebbe pensare, “Ah, fantastico, invio sempre TRA!” È un pensiero che può venire molto rapidamente in mente, vero? Meno richiesta di autenticazioni, più conversioni, più vendite, fantastico! “Ora capisco perché con Stripe non c’è tanto abbandono nel pagamento, perché molto pochi devono autenticarsi”.
Sì, avresti ragione nel dire che il motivo è questo, invia LWV o TRA nella quasi totalità delle transazioni, e questo fa sì che non venga richiesta praticamente nessuna autenticazione, se l’emittente/banca del cliente lo accetta, perché magari l’emittente/banca non accetta il TRA per qualsiasi motivo e richiede l’autenticazione. E come ho già commentato in precedenza, puoi richiedere a Redsys che te lo attivino. Il LWV sarebbe praticamente immediato, e il TRA potrebbe richiedere un po’ più di tempo. Ma attenzione, ti informeranno di quali conseguenze ha il fatto di attivarti questi SCA e forse non lo vedrai più come una buona idea perché la conoscenza è potere, soprattutto in termini di decisione.
Se approfondiamo di più sugli SCA, l’ente che invia l’SCA (sia il commercio che la banca), sia LWV che TRA, deve farsi carico in caso di frode/rapina. Se approfondiamo la PSD2/SCA, possiamo vedere che chi deve farsi carico in caso di frode, deve essere colui che invia la conformità del TRA (in questo articolo di Adyen spiegano molto bene tutto). Possiamo vedere che quasi alla fine, dice questo:
2. Transazioni a basso rischio – TRA (Transaction Risk Analysis)
Le banche emittenti possono considerare certe transazioni come a basso rischio. Per questo, si basano sui livelli di frode medi dell’emittente, dell’acquirente o di entrambi contemporaneamente. In questi casi, l’esenzione può essere richiesta sia dal commercio che dalla banca emittente.
La responsabilità in caso di chargeback ricadrà sull’emittente se è stato lui a richiedere l’esenzione o sul commercio se è stato lui a richiederla.
La cosa più importante è l’ultimo paragrafo. Quindi hai già un’idea di cosa ti dirà la tua banca. Possono attivarti LWV o TRA nel terminale per richiedere di non autenticare l’operazione, ma se quella carta è stata rubata (ad esempio) e la banca emittente accetta il TRA, ti ritroverai senza il prodotto (se lo hai già inviato) e senza i soldi, perché dovrai restituirli. Se c’è autenticazione, anche se la persona ha rubato la carta e il cellulare e ha acquistato nel tuo sito, nessuno potrà reclamarti nulla. Continui con i soldi perché è un problema del proprietario della carta e della banca emittente, si chiariranno tra di loro chi è il colpevole di quell’addebito, la banca per non aver annullato rapidamente la carta in tempo, o il proprietario della carta per non aver denunciato immediatamente il furto. Ma sicuramente tu non lo sei.
E ora starai pensando, “Ah, beh, è Stripe che invia TRA, che si svegli!” E sarebbe logico in questo caso perché lo sta inviando senza che tu sappia nulla, ma questa è l’unica parte insidiosa di tutto questo. No, sta inviando TRA a tuo nome senza che tu ne sia a conoscenza e senza conoscere le conseguenze che ha su ordini fino a 500€, e in caso di frode ti passerà il problema a te aprendo una disputa, cioè, sta facendo in modo che le persone non si autentichino senza spiegare le conseguenze di ciò ai commercianti, ma se c’è qualche problema, che se lo mangi il commercio senza aver richiesto di assumere quel rischio. Per questo dico che è la parte insidiosa di tutto questo. Cioè, se hai la sfortuna che una mafia di furto/clonazione di carte passa per il tuo sito e acquista tramite diversi utenti e carte prodotti per un valore ad esempio di 10.000€, che non ti succeda nulla con Stripe, perché avrà inviato TRA, non si saranno autenticati, e ti passeranno il problema tramite disputa quando appariranno tutte le denunce che le carte erano state rubate o clonate e che gli acquisti non erano stati autenticati. Ma non solo dovrai restituire i soldi, si applicherà anche una tariffa per ciò che viene definito chargeback, cioè, che non solo rimarrai senza i soldi e il prodotto, dovrai anche pagare per questo. Nel caso di Stripe, per ogni disputa che perdi saranno ad oggi 15€ (pensa che all’interno di quei 10.000€ possono esserci centinaia di ordini diversi) + 20€ per ogni restituzione di denaro (lo stesso, possono essere centinaia di clienti/ordini), e non so se c’è una % del valore di sanzione. Ma solo con i 15€ + i 20€ per transazione/cliente, fai i conti. Potresti pagare più con tutte queste spese, che i 10.000€ che ti avevano già truffato, senza contare la perdita di beni/prodotti.
Tutto questo è un’argomentazione contro Stripe? No, ti racconto solo ciò che loro non dicono, affinché un giorno non abbia una sorpresa molto sgradevole. Ora almeno sai come è il tavolo da gioco, e puoi decidere con tutti i dati a disposizione.
Stripe ha cose buone rispetto a Redsys, come la facilità di contratto, il pannello di gestione delle transazioni, fatturazione, ecc. Che può essere un valore aggiunto che ti inclina al suo utilizzo. Ma d’altra parte Redsys ha molta sicurezza e tariffe molto basse.
In questo momento potresti pensare, “A me non è mai successo nulla di simile”, fino a quando un bel giorno potrebbe succedere e ti trovi in una situazione simile a quella precedente. Ma ora non potrai più dire che non te lo aspettavi o non lo conoscevi, ma se comunque sei disposto ad accettare il rischio di TRA e in misura molto minore LWV, in Redsys puoi averlo ugualmente e con commissioni molto più basse di quelle che applica Stripe (e ancora di più dopo l’aumento che hanno effettuato), e tramite il mio plugin di Redsys per WooCommerce potrai richiedere LWV e TRA (se sei disposto ad assumere il rischio) a Redsys (se te li hanno attivati nel terminale) e anche avere il modulo della carta di credito nel checkout senza abbandonare il sito, che può essere fatto anche con Redsys come potrai verificare nel mio negozio di esempio.
Può essere molto interessante l’attivazione di LWV nel terminale affinché tutti i pagamenti inferiori a 30€ non vengano autenticati, ma bisogna fare attenzione con il TRA. Senza dubbio, l’invio del TRA, che come ho detto puoi farlo anche con Redsys, aumenterà quasi sicuramente le tue vendite non richiedendo tanto l’autenticazione, ma aumenterà anche molto la possibilità di essere truffato.
Hai davvero tutte le informazioni su come funziona la PSD2. Credo che non troverai molte voci così chiare come questa riguardo al funzionamento e ai rischi che esistono con gli SCA. In questi momenti, sapendo tutto ciò che sai dopo aver letto l’articolo, puoi davvero prendere una decisione su cosa vuoi per raggiungere un obiettivo tenendo conto delle conseguenze. Ora puoi valutare come intendi affrontare il tuo metodo di pagamento, più autenticazioni per non utilizzare alcun tipo di SCA per vivere tranquillo, applicare LWV avendo un bilanciamento tra sicurezza e rischio basso essendo di importi ridotti, o utilizzerai TRA massimizzando le vendite riducendo le autenticazioni ma massimizzando anche i rischi.
Come puoi vedere, con Redsys puoi anche ridurre al minimo le autenticazioni e massimizzare le vendite per non abbandono del pagamento come in Stripe grazie a richiedere e farti attivare gli SCA LWV e TRA, ma la decisione di accettare il rischio in Redsys è tua, e in Stripe viene imposta e con l’ignoranza della maggior parte dei commercianti sui rischi che stanno assumendo. E la cosa peggiore è che la maggior parte lo interpreta come se con Stripe si avessero più vendite perché ha una tecnologia migliore.
Pues muy interesante y tiene sentido. También para explicar a los comerciantes el porqué de tantos pasos, autenticaciones,etc. que a veces se reclama para hacerles más fácil el camino a los compradores, pero no tienen en cuenta que los pasos de seguridad tienen su porqué…
Está claro que según el tipo de negocio se puede plantear más uno el tomar una u otra alternativa. Para tiendas de productos como comentas donde de pronto pudieran hacerte grandes cantidades de pedidos pues igual hay que andarse con más ojo.
Lo que creo que para poco volumen de ventas, es más económico Stripe y pagar por cada transacción que Redsys que creo que funciona por cuotas mensuales y adicionalmente algo por transacción, o según condiciones del banco ¿no? La verdad, esperaba ver incluido algo en cuanto a comparativa de costes.
Hola Taisa, gracias por comentar 🙂
Stripe funcina con un fijo por transacción (0,25€) más un porcentaje de esta (1,5%), mientras Redsys en solo un porcentaje por transacción que no suele superar el 0’45%, y mucha gente incluso ha conseguido mediante negociación con su banco rebajarlo hasta el 0’20%. No hay cuota de mantenimiento en Redsys siempre y cuando llegues a un mínimo facturado, que cada banco pone el suyo. Por regla general suele estar sobre los 300-400€ de facturación.
En esta entrada me he enfocado más al tema técnico que no al económico, porque creo que hay muchísmo más desconocimientom por no decir nulo de como funciona la PSD2 y de los «trucos» que hay para que haya más «frictionless» (sin autenticación) pero asumiendo sus posibles peligros y consecuencias.
Saludos
Buen artículo sin embargo hay una parte que probablemente no conozcas. El motor de riesgo de stripe está basado en cientos de variables sobre la transacción, machine Learning e inteligencia artificial. Y sabe cuando enviar la exención y cuando no. Ten en cuenta que todos pagamos varias veces al mes a través de stripe y nos conocen. Todo eso Redsys ni se lo huele. Bastante tienen con poner reglitas estáticas que para algunos comercios pueden valer y para otros no. Y no son sólo las exenciones a la psd2. También al dotar de mucha mayor información a las operaciones, el emisor no siempre pide el challenge y las operaciones tienen el mismo nivel de protección que si se hubiera producido.
Muy posiblemente, Martin.
Muchas gracias por tu aporte 🙂
Sí y no. Por ejemplo, CaixaBank con Redsys (Cyberpac) tiene un completo que cuesta entre 2cts y 0,5 cts por transacción (Addon Sales Conversion) donde la empresa global payments (bastante reputada a nivel mundial) es la encargada de hacer el análisis de riesgo. Yo, de las operaciones que van via tarjeta (no cuento Apple Pay y Google Pay) solo tengo que autenticar un 8% aproximadamente, y normalmente es debido a que es de un importante bastante grande la operación a la vez que es de un país de fuera de Europa, ha hecho muchas compras …
Si tu banco tiene algo parecido entonces es importante considerar si sale a cuenta un Stripe o mejor pelearse unas semanas con bancos, romperse un poco (bastante) la cabeza integrando todo y pagar comisiones de hasta el 0,05% o 0,01% cuando es entre comercio-tarjeta del mismo banco.
Stripe lo que mas me gusta es todas las opciones de pagos incluidas que tiene, ya que no tienes que abrirte cuentas en cada sistema de pagos, solo Paypal, tiene klarna, sepa, etc incluidos en tu cuenta de Stripe, ademas que solia obtener mas conversion dado que no falla tanto como redsys, que veo denegación todos los días, y de altas compras importantes en mi tienda, lo peor que tiene Stripe he incluso Paypal, en mi opinión y experiencia de comerciante por casi 5 años, es que puedes levantarte un día y te inhabilitaron la cuenta sin retorno, todo el dinero que tenias estará bloqueado por 4 meses y con el riesgo muy alto de que Stripe & Paypal lo reembolse a los clientes.