Integrazione per strumento di pagamento tramite Redirect

La modalità di pagamento in redirect verso soluzioni fornite dai singoli PSP o terze parti da loro convenzionate, introdotta per facilitare i pagamenti su conto corrente e similari per i cittadini ed imprese, è studiata secondo le seguenti stelle polari:

  • principio di neutralità: la piattaforma pagoPA deve mettere a disposizione di tutti i PSP le medesime interfacce ed integrazioni tecnologiche senza alcuna customizzazione; é chiesto quindi a tutti i PSP che oggi hanno soluzioni custom di adeguarsi alla nuova modalità, unica disponibile per il modello unico di pagamento obbligatorio sulla piattaforma pagoPA;

  • compliance PSD2: come oggi resta responsabilità del PSP, che mette a disposizione lo strumento di pagamento (direttamente o per il tramite di terzi), garantire il rispetto della normativa vigente in termini di sicurezza, autenticazione (SCA) e best practice bancarie;

  • regole chiare descritte nelle SANP: è scelta della società PagoPA S.p.A. declinare quali modalità di pagamento permettere di veicolare dentro la modalità di redirect, secondo principi che devono essere chiari e descritti nelle SANP.

NB: le modalità di pagamento, anche se per pagamenti su conto corrente (es: mybank, BancomatPay, ...), nativamente integrate con il payment gateway di pagoPA, non possono essere integrate in modalità redirect.

Precondizione del PSP per abilitare tutti gli strumenti di pagamento disponibili, fra cui la redirect, è l’integrazione al Nodo dei Pagamenti secondo le specifiche del modello unico e la valorizzazione del catalogo dati informativo per il tramite del backoffice pagoPA fruibile dall’area riservata.

Il PSP deve mettere a disposizione della piattaforma pagoPA le seguenti interfacce:

  • API recupero URL: esposta su rete pubblica dal PSP ed invocata dalla piattaforma pagoPA per recuperare la URL che il browser dell’utente utilizzerà per atterrare in modalità redirect, veicolando in anticipo al PSP informazioni sul pagamento che sarà effettuato;

  • redirect: pagina web ottimizzata per dispositivi mobile su cui l’utente atterra in redirect, che mette a disposizione le funzionalità di autenticazione e autorizzazione del pagamento. A fronte di qualsiasi esito del pagamento o annullo da parte dell’utente deve mandatoriamente scatenare l’API di callback esito e la redirect verso la piattaforma pagoPA all’urlback indicata nell'API recupero URL con il relativo esito;

  • API callback esito transazione: API esposta da pagoPA ed invocata dal PSP a fronte di qualsiasi esito del pagamento o annullo da parte dell’utente per permettere di chiudere in modo corretto l’operazione in corso, che, essendo una redirect attraverso il browser dell’utente, per definizione non è di sicuro recapito;

  • API annullo: API esposta dal PSP ed invocata da pagoPA per richiedere annullo di un pagamento il cui esito non è mai arrivato alla piattaforma oppure per quei casi residuali dove per problemi tecnici il pagamento non venga finalizzato.

La connettività segue le regole standard della piattaforma pagoPA, consultabili da Connettività.

I campi contrassegnati con﹡sono obbligatori

API recupero URL

Redirect

L’utente, tramite GET all’url fornita dal PSP nella response alla chiamataAPI recupero URL, viene reindirizzato dalla piattaforma pagoPA sul FE del PSP per effettuare l’autorizzazione del pagamento.

Il PSP, per la corretta gestione, dovrà utilizzare le informazioni relative al pagamento inviate dalla piattaforma pagoPA nella chiamataAPI recupero URL.

Esito

Il workflow del pagamento sarà interessato dai seguenti step in base all'esito del pagamento:

  • redirect su pagina pagoPA: l’utente, una volta concluso il pagamento, viene reindirizzato direttamente su pagoPA, all’indirizzo indicato nel parametro urlBack dellaAPI recupero URL;

  • notifica server to server: viene inviata una notifica POST all'API callback esito transazione all'indirizzo comunicato in fase di setup da PagoPA S.p.A.; per ottenere la conferma dell'avvenuta ricezione della notifica il messaggio restituito dalla chiamata deve essere un HTTP 200, altrimenti dovrà esser riproposto con una logica di retry (Processi di retry).

API callback esito transazione

Come descritto nel paragrafo precedente è l’API server to server che il PSP, in tempo reale, deve obbligatoriamente invocare per notificare l’esito del pagamento a pagoPA.

L’API ha il fine di fornire un’esito finale anche nel caso in cui fallisca la redirect dal FE del PSP alla piattaforma pagoPA.

Callback API for communicate authorization outcome

Communicate the outcome for the authorization process

POSThttps://${host}/redirections/{idTransaction}/outcomes
Authorization
Path parameters
idTransaction*PagopaIdTransaction (string)

Uniquely identify a transaction

Example: "3fa85f6457174562b3fc2c963f66afa6"
Body
idPsp*string

PSP identifier as received in redirections url request

idPSPTransaction*string

Unique PSP transaction identifier

outcome*AuthorizationOutcome (enum)

Transaction outcome enumeration. The outcome can assume the following values:

  • OK -> Authorization completed successfully
  • KO -> Authorization KO (for example missing funds for transaction)
  • CANCELED -> User canceled the authorization process
  • EXPIRED -> Authorization process has not been completed before timeout set for the operation
  • ERROR -> An unexpected error occurred during authorization process
OKKOCANCELEDEXPIREDERROR
detailsTransactionResultDetails (object)
Response

Outcome response

Body
idTransaction*PagopaIdTransaction (string)

Uniquely identify a transaction

Example: "3fa85f6457174562b3fc2c963f66afa6"
outcome*AuthorizationResponseOutcome (enum)

Transaction authorization callback process outcome. The outcome can assume the following values:

  • OK -> callback request have been processed successfully
  • KO -> there was an error processing the callback request
OKKO
Request
const response = await fetch('https://${host}/redirections/{idTransaction}/outcomes', {
    method: 'POST',
    headers: {
      "Content-Type": "application/json"
    },
    body: JSON.stringify({
      "idPsp": "idPsp",
      "idPSPTransaction": "idPSPTransaction",
      "outcome": "OK",
      "details": {
        "timestampOperation": "2024-01-12T11:59:40.873Z",
        "authorizationCode": "authorizationCode"
      }
    }),
});
const data = await response.json();
Response
{
  "idTransaction": "3fa85f6457174562b3fc2c963f66afa6",
  "outcome": "OK"
}

API annullo

Questa API deve essere esposta da tutti i PSP per permettere alla piattaforma pagoPA di poter annullare un pagamento a fronte di errore tecnico.

Si precisa nuovamente che autorizzazione e contabilizzazione devono essere gestite contemporaneamente nella stessa fase, come indicato nel workflow in Integrazione e workflow per PSP/Strumento di Pagamento integrato con Payment Gateway

La piattaforma pagoPA invoca questa API per richiedere l’annullo di un pagamento nei seguenti casi:

  1. l’esito (positivo o negativo) non è mai arrivato alla piattaforma pagoPA e, per effetto, neanche all’EC;

  2. per problemi tecnici, dopo che la piattaforma pagoPA ha ricevuto l’esito positivo da parte del PSP, il colloquio telematico tra la piattaforma pagoPA e il PSP non è stato possibile ovvero ha determinato una discordanza con il PSP e a fronte di tale mancato colloquio o discordanza, il PSP non ha acquisito i dati necessari per l’accredito nei confronti degli EC interessati dall’operazione.

Nel caso di cui al punto 1, l’annullo consente di rendere di nuovo disponibile il pagamento dello/degli IUV oggetto dell’annullo.

Nel caso di cui al punto 2, in aggiunta all'effetto di cui sopra, la piattaforma pagoPA annulla l’esito positivo ricevuto dal PSP.

Ciascun PSP deve fornire l'url da invocare tramite il backoffice pagoPA per ciascun ambiente (collaudo e produzione).

Api for refund

Perform a refund for a transaction. Semantically this endpoint is a DELETE with body (HTTP requests with the DELETE method should not have a body as per RFC 9110, section 9.3.5, paragraph 5).

POSThttps://${host}/redirections/refunds
Body
idTransaction*PagopaIdTransaction (string)

Uniquely identify a transaction

Example: "3fa85f6457174562b3fc2c963f66afa6"
idPSPTransaction*string

PSP transaction id

action*string

Requested action (i.e. refund)

Response

Successful refund response

Body
idTransaction*PagopaIdTransaction (string)

Uniquely identify a transaction

Example: "3fa85f6457174562b3fc2c963f66afa6"
outcome*RefundOutcome (enum)

Refund operation outcome: it can be one of the following values:

  • OK - Refund operation processed successfully
  • KO - There was an error performing refund
  • CANCELED - The transaction was already refunded
OKKOCANCELED
Request
const response = await fetch('https://${host}/redirections/refunds', {
    method: 'POST',
    headers: {
      "Content-Type": "application/json"
    },
    body: JSON.stringify({
      "idTransaction": "3fa85f6457174562b3fc2c963f66afa6",
      "idPSPTransaction": "idPSPTransaction",
      "action": "refund"
    }),
});
const data = await response.json();
Response
{
  "idTransaction": "3fa85f6457174562b3fc2c963f66afa6",
  "outcome": "OK"
}

A fronte di una mancata risposta con esito HTTP 200 (avente valore di esito positivo della risposta alla chiamata) è compito di pagoPA riproporre la medesima chiamata con una logica di retry.

L'API ha la caratteristica di essere idempotente e il PSP deve riproporre lo stesso esito anche nel caso in cui abbia già processato precedentemente la stessa richiesta.

Fase di pagamento

Fase di annullo

Caso 1 - Mancata ricezione dell’esito del pagamento

La piattaforma pagoPA effettua la chiamata di annullo con logica di retry se non riceve l’esito (positivo o negativo) del pagamento entro il timeout indicato nella response alla API recupero URL dal PSP o il timeout di default di 10 minuti dall'invocazione della redirect verso l'URL del PSP.

Caso 2 - pspNotifyPayment KO

La piattaforma pagoPA effettua la chiamata di annullo con logica di retry quando il PSP ha risposto KO alla pspNotifyPayment.