La modalità di pagamento in redirect verso soluzioni fornite dai singoli PSP o terze parti da loro convenzionate, introdotta per facilitare i pagamenti su conto corrente e similari per i cittadini ed imprese, è studiata secondo le seguenti stelle polari:
principio di neutralità: la piattaforma pagoPA deve mettere a disposizione di tutti i PSP le medesime interfacce ed integrazioni tecnologiche senza alcuna customizzazione; é chiesto quindi a tutti i PSP che oggi hanno soluzioni custom di adeguarsi alla nuova modalità, unica disponibile per il modello unico di pagamento obbligatorio sulla piattaforma pagoPA;
compliance PSD2: come oggi resta responsabilità del PSP, che mette a disposizione lo strumento di pagamento (direttamente o per il tramite di terzi), garantire il rispetto della normativa vigente in termini di sicurezza, autenticazione (SCA) e best practice bancarie;
regole chiare descritte nelle SANP: è scelta della società PagoPA S.p.A. declinare quali modalità di pagamento permettere di veicolare dentro la modalità di redirect, secondo principi che devono essere chiari e descritti nelle SANP.
NB: le modalità di pagamento, anche se per pagamenti su conto corrente (es: mybank, BancomatPay, ...), nativamente integrate con il payment gateway di pagoPA, non possono essere integrate in modalità redirect.
Precondizione del PSP per abilitare tutti gli strumenti di pagamento disponibili, fra cui la redirect, è l’integrazione al Nodo dei Pagamenti secondo le specifiche del modello unico e la valorizzazione del catalogo dati informativo per il tramite del backoffice pagoPA fruibile dall’area riservata.
Il PSP deve mettere a disposizione della piattaforma pagoPA le seguenti interfacce:
API recupero URL: esposta su rete pubblica dal PSP ed invocata dalla piattaforma pagoPA per recuperare la URL che il browser dell’utente utilizzerà per atterrare in modalità redirect, veicolando in anticipo al PSP informazioni sul pagamento che sarà effettuato;
redirect: pagina web ottimizzata per dispositivi mobile su cui l’utente atterra in redirect, che mette a disposizione le funzionalità di autenticazione e autorizzazione del pagamento. A fronte di qualsiasi esito del pagamento o annullo da parte dell’utente deve mandatoriamente scatenare l’API di callback esito e la redirect verso la piattaforma pagoPA all’urlback indicata nell'API recupero URL con il relativo esito;
API callback esito transazione: API esposta da pagoPA ed invocata dal PSP a fronte di qualsiasi esito del pagamento o annullo da parte dell’utente per permettere di chiudere in modo corretto l’operazione in corso, che, essendo una redirect attraverso il browser dell’utente, per definizione non è di sicuro recapito;
API annullo: API esposta dal PSP ed invocata da pagoPA per richiedere annullo di un pagamento il cui esito non è mai arrivato alla piattaforma oppure per quei casi residuali dove per problemi tecnici il pagamento non venga finalizzato.
La connettività segue le regole standard della piattaforma pagoPA, consultabili da Connettività.
I campi contrassegnati con﹡sono obbligatori
L’utente, tramite GET all’url fornita dal PSP nella response alla chiamataAPI recupero URL, viene reindirizzato dalla piattaforma pagoPA sul FE del PSP per effettuare l’autorizzazione del pagamento.
Il PSP, per la corretta gestione, dovrà utilizzare le informazioni relative al pagamento inviate dalla piattaforma pagoPA nella chiamataAPI recupero URL.
Il workflow del pagamento sarà interessato dai seguenti step in base all'esito del pagamento:
redirect su pagina pagoPA: l’utente, una volta concluso il pagamento, viene reindirizzato direttamente su pagoPA, all’indirizzo indicato nel parametro urlBack dellaAPI recupero URL;
Come descritto nel paragrafo precedente è l’API server to server che il PSP, in tempo reale, deve obbligatoriamente invocare per notificare l’esito del pagamento a pagoPA.
L’API ha il fine di fornire un’esito finale anche nel caso in cui fallisca la redirect dal FE del PSP alla piattaforma pagoPA.
Questa API deve essere esposta da tutti i PSP per permettere alla piattaforma pagoPA di poter annullare un pagamento a fronte di errore tecnico.
La piattaforma pagoPA invoca questa API per richiedere l’annullo di un pagamento nei seguenti casi:
l’esito (positivo o negativo) non è mai arrivato alla piattaforma pagoPA e, per effetto, neanche all’EC;
per problemi tecnici, dopo che la piattaforma pagoPA ha ricevuto l’esito positivo da parte del PSP, il colloquio telematico tra la piattaforma pagoPA e il PSP non è stato possibile ovvero ha determinato una discordanza con il PSP e a fronte di tale mancato colloquio o discordanza, il PSP non ha acquisito i dati necessari per l’accredito nei confronti degli EC interessati dall’operazione.
Nel caso di cui al punto 1, l’annullo consente di rendere di nuovo disponibile il pagamento dello/degli IUV oggetto dell’annullo.
Nel caso di cui al punto 2, in aggiunta all'effetto di cui sopra, la piattaforma pagoPA annulla l’esito positivo ricevuto dal PSP.
Ciascun PSP deve fornire l'url da invocare tramite il backoffice pagoPA per ciascun ambiente (collaudo e produzione).
A fronte di una mancata risposta con esito HTTP 200 (avente valore di esito positivo della risposta alla chiamata) è compito di pagoPA riproporre la medesima chiamata con una logica di retry.
L'API ha la caratteristica di essere idempotente e il PSP deve riproporre lo stesso esito anche nel caso in cui abbia già processato precedentemente la stessa richiesta.
La piattaforma pagoPA effettua la chiamata di annullo con logica di retry se non riceve l’esito (positivo o negativo) del pagamento entro il timeout indicato nella response alla API recupero URL dal PSP o il timeout di default di 10 minuti dall'invocazione della redirect verso l'URL del PSP.
notifica server to server: viene inviata una notifica POST all'API callback esito transazione all'indirizzo comunicato in fase di setup da PagoPA S.p.A.; per ottenere la conferma dell'avvenuta ricezione della notifica il messaggio restituito dalla chiamata deve essere un HTTP 200, altrimenti dovrà esser riproposto con una logica di retry ().
Si precisa nuovamente che autorizzazione e contabilizzazione devono essere gestite contemporaneamente nella stessa fase, come indicato nel workflow in
La piattaforma pagoPA effettua la chiamata di annullo con logica di retry quando il PSP ha risposto KO alla .
Retrieve redirect URL to be followed to perform transaction payment
/redirections
Uniquely identify a transaction
3fa85f6457174562b3fc2c963f66afa6PSP identifier
Amount for payments including fee, in euro cents
pagoPA platform URL where redirect users after payment transaction have been completed
Payment description
Redirect payment method type
Touchpoint used to initiate the transaction
CHECKOUT, IOName of the payment notice issuer
Description of the payment method chosen by the user
Email to which send the pagoPA payment receipt
Communicate the outcome for the authorization process
/redirections/{idTransaction}/outcomes
Uniquely identify a transaction
3fa85f6457174562b3fc2c963f66afa6PSP identifier as received in redirections url request
Unique PSP transaction identifier
Transaction outcome enumeration. The outcome can assume the following values:
Authorization completed successfullyAuthorization KO (for example missing funds for transaction)User canceled the authorization processAuthorization process has not been completed before timeout set for the operationAn unexpected error occurred during authorization processOK, KO, CANCELED, EXPIRED, ERRORPerform a refund for a transaction. Semantically this endpoint is a DELETE with body (HTTP requests with the DELETE method should not have a body as per RFC 9110, section 9.3.5, paragraph 5).
/redirections/refunds
Uniquely identify a transaction
3fa85f6457174562b3fc2c963f66afa6PSP transaction id
Requested action (i.e. refund)
