Direttiva PSD2 (Payment Services Directive 2): sicurezza dei pagamenti online

La Direttiva UE 2015/2366 PSD2 (Payment Services Directive 2) è una normativa dell’Unione Europea che ha come obiettivo il rafforzamento della sicurezza nei pagamenti online e la promozione dell’innovazione nel settore dei servizi di pagamento. In Italia è ufficialmente operativa dal 14 settembre 2019 e ha condotto a nuovi standard di autenticazione e sicurezza per autorizzare le operazioni bancarie. Introducendo nuovi requisiti di sicurezza e regolamentando l’accesso ai conti di pagamento da parte di terzi, la PSD2 ha rappresentato una vera e propria rivoluzione nel panorama dei pagamenti elettronici.

In questo articolo, esploreremo i principali aspetti della PSD2, concentrandoci sulla sicurezza dei pagamenti online e su come le aziende, le banche e i consumatori devono adattarsi alle nuove regole per garantire un ambiente sicuro e trasparente.

Autenticazione forte del cliente (SCA): requisiti e modalità di implementazione

Uno degli aspetti fondamentali della Direttiva PSD2 è l’introduzione dell’autenticazione forte del cliente (SCA). Si tratta di una misura di sicurezza pensata per proteggere i consumatori dai rischi legati alle frodi durante le operazioni online, come gli accessi non autorizzati ai conti bancari o le transazioni fraudolente. In base alla PSD2, le operazioni di pagamento devono essere soggette a un processo di autenticazione che coinvolga due fattori distinti, appartenenti a categorie diverse.

Requisiti dell’autenticazione forte del cliente

L’SCA si basa su tre principali fattori di autenticazione:

1. Conoscenza: qualcosa che solo l’utente conosce (ad esempio, una password, un PIN, una risposta a una domanda di sicurezza).
2. Possesso: qualcosa che solo l’utente possiede (ad esempio, un dispositivo mobile, una carta di pagamento, un token di sicurezza).
3. Inerenza: qualcosa che identifica unicamente l’utente, come le caratteristiche biometriche (impronta digitale, riconoscimento facciale, ecc.).

Secondo la PSD2, almeno due di questi fattori devono essere utilizzati per autenticare una transazione online. Questo significa che una semplice password non è più sufficiente; anche un codice inviato tramite SMS o una verifica tramite impronta digitale devono essere integrati nel processo.

Inoltre, il nuovo sistema migliora la sicurezza creando un codice univoco per ogni transazione, a differenza dei codici OTP delle chiavette bancarie, che si basano su una logica temporale. I codici OTP, infatti, permettevano, seppur in modo limitato, di eseguire più operazioni durante il periodo in cui erano validi. Con le nuove regole, invece, il codice “restituito” al cliente è legato solo e soltanto a quella determinata transazione, aumentando quindi ancora di più la sicurezza.

Le modalità di implementazione dell’autenticazione forte del cliente variano in base al tipo di pagamento e alla tipologia di dispositivo utilizzato. Ad esempio, nelle transazioni effettuate tramite dispositivi mobili, l’autenticazione tramite biometria (come il riconoscimento facciale o l’impronta digitale) sta diventando sempre più comune. Inoltre, le carte di pagamento possono essere dotate di sistemi di verifica in due passaggi, dove il primo passaggio è una verifica della carta stessa, e il secondo passaggio un codice inviato via SMS.

Tuttavia, la PSD2 prevede delle esenzioni dall’obbligo di SCA in casi specifici, come ad esempio per i pagamenti a basso rischio (quando l’importo della transazione è inferiore a una determinata soglia) o per i pagamenti ricorrenti a favore dello stesso beneficiario.

Accesso ai conti di pagamento da parte di terzi (Third Party Providers)

La PSD2 introduce anche una regolamentazione sull’accesso ai conti bancari da parte di terzi fornitori di servizi di pagamento (Third Party Providers, TPP). Questo significa che le banche non possono più limitarsi a gestire i pagamenti in modo esclusivo, ma devono permettere a terzi di accedere ai dati dei conti bancari (con il consenso del cliente) per offrire nuovi servizi, come la gestione delle finanze personali o i pagamenti tramite piattaforme di terze parti.

Tipologie di Third Party Providers

Secondo la PSD2, esistono tre principali categorie di fornitori di servizi di pagamento terzi:

1. Servizi di informazione sui conti (Account Information Service Providers, AISPs): Questi fornitori possono accedere ai dati del conto di pagamento del cliente, al fine di fornire servizi di consulenza finanziaria, gestione delle spese o aggregazione di conti.
2. Servizi di iniziazione dei pagamenti (Payment Initiation Service Providers, PISPs): Questi fornitori consentono ai consumatori di effettuare pagamenti direttamente dal proprio conto bancario, senza dover utilizzare una carta di credito o debito.
3. Servizi di custodia dei fondi (Fund Confirmation Service Providers, FCPs): Questi fornitori si occupano di verificare la disponibilità di fondi sui conti bancari per garantire che le transazioni siano adeguatamente coperte.

PSD2 e Open API

I principali cambiamenti apportati dalla normativa europea sui servizi di pagamento sono strettamente legati al fenomeno dell’Open Banking e delle Open API.

In particolare, a partire dal 14 settembre 2020, le banche sono state obbligate a condividere tramite API (Application Programming Interface) alcune informazioni relative ai conti e alle operazioni di pagamento dei propri clienti con terze parti, ma solo se autorizzate dal cliente stesso, in conformità con il regolamento GDPR.

Questo processo dà vita all’Open Banking, un nuovo modello che consente ai clienti di accedere liberamente alle proprie informazioni e di effettuare transazioni finanziarie senza i limiti imposti dalle tradizionali modalità bancarie. I servizi introdotti dal regolatore sono principalmente tre:

1. Account Information Service: consente ai clienti di consultare il saldo dei propri conti correnti attraverso applicazioni di terze parti, diverse dalle app bancarie tradizionali.
2. Payment Initiation Service: permette ai clienti di autorizzare trasferimenti di denaro senza l’uso di carte di credito, utilizzando applicazioni e servizi che si collegano direttamente al loro conto corrente.
3. Card Issuing Service: consente ai clienti di utilizzare una carta di pagamento emessa da un soggetto diverso dalla propria banca, simile a un classico Bancomat, ma che si collega direttamente al loro conto corrente.

Con l’introduzione della PSD2, si è quindi ampliato lo scenario competitivo, creando nuove opportunità di collaborazione tra le banche e i nuovi attori resi possibili dall’Open API, come startup, aziende Fintech e nuove realtà imprenditoriali.

Vantaggi e sfide per i consumatori

L’introduzione dei TPP ha portato numerosi vantaggi per i consumatori, come l’accesso a servizi bancari più flessibili, innovativi e personalizzati. Tuttavia, l’accesso ai dati bancari da parte di terzi solleva preoccupazioni in merito alla privacy e alla tutela dei dati personali. Per questo motivo, la PSD2 stabilisce che i clienti devono fornire il consenso esplicito per autorizzare l’accesso ai propri dati, e devono essere informati sui diritti di revoca e sulla durata del consenso.

La PSD2 obbliga le banche e i prestatori di servizi di pagamento ad adottare misure rigorose per la protezione dei dati personali. Questi soggetti sono tenuti a garantire che tutte le informazioni sensibili siano trattate in conformità con il Regolamento Generale sulla Protezione dei Dati (GDPR), e a implementare misure di sicurezza adeguate a prevenire violazioni dei dati.

Le banche e i fornitori di servizi di pagamento devono quindi garantire che i TPP siano autorizzati e regolamentati dalle autorità competenti, e che utilizzino protocollo sicuro per proteggere le informazioni sensibili.

Se da un lato la SCA ha fatto sentire gli utenti più protetti durante le transazioni, dall’altro ha avuto un impatto negativo sulla percentuale di successo dei pagamenti online, che è diminuita di circa l’11%, secondo uno studio condotto da Visa.

Altri dati interessanti emergono da una ricerca dell’Osservatorio Innovative Payments in collaborazione con Unguess (piattaforma di crowdsourcing che offre servizi di testing e fornisce insight reali per ottimizzare la qualità, l’esperienza e la sicurezza delle soluzioni digitali). I test, condotti su un campione di 80 persone, hanno rivelato che il principale problema riscontrato nei pagamenti tramite smartphone è la necessità di passare a un’altra app durante il processo di checkout, per poi tornare all’app originaria. Questo evidenzia che c’è ancora molto da fare per ottimizzare l’esperienza utente legata alla SCA, al fine di migliorare il tasso di conversione e rendere i pagamenti più semplici e sicuri.

Misure per prevenire le frodi nei pagamenti online

La lotta contro le frodi è uno degli obiettivi principali della PSD2. L’introduzione dell’autenticazione forte del cliente è solo uno degli strumenti per ridurre i rischi legati alle truffe. Oltre a questo, la PSD2 obbliga le banche e i prestatori di servizi di pagamento a implementare una serie di misure preventive per proteggere i consumatori dalle truffe online.

Monitoraggio delle transazioni

Un altro elemento cruciale della normativa è l’obbligo per le banche di monitorare in tempo reale le transazioni sospette. Utilizzando sistemi di intelligenza artificiale e machine learning, le istituzioni finanziarie sono in grado di rilevare comportamenti anomali o fraudolenti nelle operazioni e bloccare tempestivamente i pagamenti sospetti.

Regole per le transazioni a distanza

La PSD2 stabilisce anche delle regole più severe per le transazioni a distanza, come quelle effettuate online. In particolare, è previsto che ogni transazione online di importo elevato debba essere sottoposta a una verifica aggiuntiva, per ridurre il rischio di frodi. Queste misure includono l’invio di codici di conferma tramite SMS, l’uso di dispositivi di sicurezza fisici e l’adozione di altre tecnologie avanzate per garantire l’identità dell’utente.

Responsabilità delle banche e dei prestatori di servizi di pagamento

La Direttiva PSD2 stabilisce anche delle responsabilità precise per le banche e i prestatori di servizi di pagamento, in caso di transazioni non autorizzate o truffe. In particolare, se un pagamento viene effettuato senza l’autorizzazione del cliente, il prestatore di servizi di pagamento è tenuto a rimborsare l’importo della transazione entro un termine prestabilito.

Obblighi di comunicazione e risoluzione delle dispute nella PSD2

Uno degli aspetti più rilevanti introdotti dalla Direttiva PSD2 riguarda gli obblighi di comunicazione delle operazioni sospette o non autorizzate da parte delle banche, nonché la gestione delle dispute relative a tali transazioni. La PSD2 mira a garantire che i consumatori siano protetti da operazioni fraudolente e non autorizzate e che possano risolvere rapidamente qualsiasi controversia relativa ai pagamenti, con un processo chiaro e trasparente. Analizziamo più in dettaglio gli obblighi e le modalità di risoluzione delle dispute stabiliti dalla normativa.

1. Comunicazione tempestiva di transazioni sospette o non autorizzate

Una delle misure chiave della PSD2 è l’obbligo per le banche e gli istituti di pagamento di informare immediatamente i propri clienti nel caso in cui vengano rilevate transazioni sospette o non autorizzate. Questo obbligo ha lo scopo di ridurre i danni derivanti da operazioni fraudolente, consentendo ai consumatori di reagire tempestivamente e di bloccare o contestare l’operazione prima che essa venga completata.

Le banche devono fornire una notifica chiara e tempestiva riguardo a qualsiasi operazione che risulti dubbia o che non sia stata autorizzata dal titolare del conto. Questa notifica deve essere inviata entro un termine molto breve dopo che la transazione è stata identificata come sospetta, preferibilmente entro 24 ore.

Inoltre, le banche sono tenute a garantire che il processo di segnalazione di una transazione sospetta sia semplice e accessibile, per facilitare la comunicazione da parte dei clienti. I consumatori devono essere in grado di contattare facilmente la propria banca, anche tramite canali digitali, per segnalare rapidamente qualsiasi problema.

2. Procedura chiara e trasparente per la risoluzione delle dispute

Un altro elemento cruciale della PSD2 è la creazione di una procedura di risoluzione delle dispute chiara e trasparente. Questo significa che le banche devono predisporre un sistema efficace per gestire le contestazioni da parte dei consumatori, soprattutto in caso di transazioni non autorizzate o errate.

La risoluzione delle dispute dovrebbe avvenire in tempi rapidi e con la massima trasparenza, al fine di ridurre al minimo il disagio per i consumatori. Secondo la PSD2, le banche hanno l’obbligo di avviare un’indagine sulla disputa entro un termine massimo di 15 giorni dalla segnalazione da parte del cliente e devono risolvere la disputa entro 35 giorni, salvo complicazioni particolari che giustifichino un termine più lungo.

Durante questo processo, le banche devono garantire che i consumatori abbiano piena accessibilità alle informazioni relative alla disputa e che possano seguire lo stato della procedura. Inoltre, le banche sono obbligate a fornire una risposta dettagliata, spiegando le ragioni per cui una transazione è stata accettata o rifiutata, e devono informare il cliente del risultato dell’indagine.

3. Rimborso in caso di transazione non autorizzata

In caso di transazioni non autorizzate o errate, le banche sono tenute a rimborsare immediatamente l’importo della transazione al consumatore, senza applicare penalità o commissioni, purché il cliente non abbia agito in modo fraudolento o negligente. Questo obbligo di rimborso è parte integrante della protezione offerta dalla PSD2 ai consumatori, che garantisce loro il diritto di essere rimborsati per le operazioni non autorizzate, anche se la disputa è ancora in corso.

La PSD2 prevede che le banche debbano rimborsare il cliente senza indugi e, comunque, entro un termine massimo di 24 ore dalla segnalazione della transazione non autorizzata, in modo da limitare il danno economico subito dal consumatore.

4. Involvement di Autorità di Vigilanza e Organismi di Risoluzione delle Dispute

Nel caso in cui una disputa non venga risolta in modo soddisfacente tra il consumatore e la banca, la PSD2 consente ai clienti di rivolgersi a organismi esterni di risoluzione delle dispute. Questi organismi sono progettati per risolvere le controversie senza dover ricorrere a procedure legali complesse e costose.

Inoltre, la PSD2 stabilisce che le autorità di vigilanza nazionale (come la Banca d’Italia o altre autorità finanziarie locali) abbiano un ruolo attivo nel monitorare l’applicazione delle normative e l’efficienza del processo di risoluzione delle dispute. Qualora un consumatore non fosse soddisfatto del risultato del reclamo, può presentare una denuncia all’autorità competente, che avrà il compito di valutare la situazione e, se necessario, adottare misure correttive.

5. Protezione dei consumatori e trasparenza

La PSD2 sottolinea anche l’importanza di una protezione adeguata dei consumatori in tutte le fasi del processo di pagamento e risoluzione delle dispute. Le banche devono garantire che tutte le informazioni relative ai diritti dei consumatori, alle modalità di reclamo e alla risoluzione delle controversie siano chiare, facilmente comprensibili e accessibili. Ciò include la corretta informazione riguardo ai diritti di rimborso, alle modalità di contestazione e ai tempi di risposta previsti.

Questa trasparenza non solo tutela i consumatori, ma garantisce anche una maggiore fiducia nei sistemi di pagamento digitali, che possono essere percepiti come più sicuri quando le banche rispettano gli obblighi di comunicazione e di risoluzione delle dispute previsti dalla PSD2.

Conclusioni

La Direttiva PSD2 ha significativamente trasformato il panorama dei pagamenti online, introducendo misure di sicurezza più rigorose e promuovendo l’innovazione nel settore dei servizi di pagamento. È importante sottolineare che la PSD2 non rappresenta l’ultimo passo per i regolatori e gli operatori del settore dei pagamenti. Infatti, la Commissione Europea ha già avviato le consultazioni per la terza versione della Payment Services Directive, offrendo agli operatori l’opportunità di inviare i propri feedback sulla bozza precedente.

La necessità di aggiornare la PSD2 nasce da vari fattori, tra cui: garantire la trasparenza dei costi dei pagamenti tra l’UE e i paesi esteri, rivedere l’accesso ai conti e ai servizi di pagamento, considerare l’ingresso di nuovi attori nel mercato e intensificare la lotta contro le frodi a danno dei consumatori (come nel caso del “social engineering”). Inoltre, si sottolinea la necessità di aggiornare periodicamente la normativa per tenere conto dei cambiamenti tecnologici e dei nuovi rischi emergenti, ad esempio legati all’uso delle criptovalute e dei pagamenti mobili.

L’autenticazione forte del cliente, l’accesso ai conti da parte di terzi e le misure di tutela contro le truffe sono solo alcuni degli aspetti chiave di questa normativa che ha come obiettivo principale la sicurezza dei pagamenti online. La sfida per le banche, i prestatori di servizi di pagamento e i consumatori è quella di adattarsi rapidamente a queste nuove regole, garantendo al contempo la protezione delle informazioni sensibili e il miglioramento dell’esperienza di pagamento.