Il carattere obbligatorio della Strong Customer Authentication prevede che le transazioni rientranti in determinate casistiche possano essere esonerate dal passaggio attraverso i protocolli di sicurezza. Queste casistiche si suddividono in eccezioni ed esenzioni.
L’eccezione all’applicazione della SCA è prevista per:
One-leg transactions. Si tratta di pagamenti in qualsiasi valuta per i quali l'acquirer o l’issuer abbia sede al di fuori del SEE.
Mail Order Telephone Order (M.O.T.O.). Tutte le transazioni effettuate senza la presenza del titolare della carta, dette anche card not present.
Merchant Initiated Transactions (M.I.T.). Sono transazioni per le quali l’ordine di pagamento è avviato dall'esercente in assenza dell’acquirente, previa autorizzazione da parte dello stesso.
Card on file. Pagamenti in cui l’autenticazione viene realizzata in precedenza per il tramite di un terzo soggetto.
Le casistiche di pagamento per le quali è possibile chiedere un’esenzione della SCA sono:
Transazioni Low-value. Transazioni di modesto valore, al di sotto di 30 euro, che sommate non superano 100 euro o cinque transazioni singole consecutive esenti dall'ultima volta che è stata effettuata la SCA.
Low Risk Based Analysis o RBA. Transazioni considerate a basso rischio, di importo compreso tra 30 euro e 500 euro, per le quali l’esenzione è possibile nel caso in cui l’issuer della carta o l’acquirer che sta gestendo la transazione abbia un tasso di frodi pari o inferiore a determinati tassi di riferimento normativamente stabiliti.
Recurring Payments. Nel caso di abbonamenti o pagamenti ricorrenti con valore e beneficiario fissi, la SCA sarà richiesta solo per la prima transazione, salvo variazioni di importo.
Whitelisting o beneficiari di fiducia. I clienti potranno decidere, secondo le modalità e la disponibilità stabilite dall’issuer, di aggiungere un’azienda nella lista di “Beneficiari di fiducia”. La SCA verrà applicata solamente al primo pagamento avvenuto a seguito dell’inserimento dell’azienda nella lista.
Uno strumento utile per valutare il grado di rischio di una transazione è la Transaction Risk Analysis (TRA), che mira a valutare il grado di rischio di una transazione prendendo in considerazione una serie di parametri fra cui:
l’importo della transazione;
le abitudini del cliente (localizzazione, modalità comportamentali…);
possibili scenari di frode;
eventuali elenchi di informazioni note come fraudolente (come gli IBAN conclamati come fraudolenti);
la possibile compromissione del device del cliente.