Informazioni importanti per i gestori di negozi e-commerce in merito alla nuova direttiva europea PSD2 sull'autenticazione del cliente

Nota bene: le seguenti informazioni hanno un semplice scopo informativo e non sostituiscono in alcun modo una consulenza legale. Per maggiore completezza, ti consigliamo di informarti presso un legale.

In quanto gestore di un negozio e-commerce, sono interessato dalla nuova direttiva PSD2 relativa ai pagamenti online?

La nuova direttiva europea che regolamenta i pagamenti online, nota come PSD2 (Payment Service Directive 2), è stata definita dalla vigilanza bancaria europea e obbliga tutti i commercianti online europei a garantire una migliore autenticazione del cliente per gli acquisti online.

I requisiti per un'autenticazione "forte" del cliente (Strong-Customer-Authentificaion: SCA) mirano ad aumentare la sicurezza dei pagamenti online e quindi a proteggere i consumatori da possibili frodi negli acquisti online.

Sei interessato dalla nuova direttiva se offri metodi di pagamento che utilizzano carte di credito, bancomat o carte di giroconto, oppure se offri il pagamento tramite provider di servizi di pagamento esterni, quali PayPal, Klarna, Amazon Pay, ecc., che a loro volta utilizzano carte di credito o conti bancari dei clienti per i pagamenti.

I metodi di pagamento che non sono interessati sono i pagamenti tramite addebito, fattura, o pagamento anticipato (tramite bonifico).

Quando entrerà in vigore la nuova direttiva?

La data ufficiale di entrata in vigore della nuova direttiva PSD2 è il 14 settembre 2019.

In quanto gestore di un negozio e-commerce 1&1 IONOS o di un sito web MyWebsite, cosa devo fare?

È tuo dovere garantire che i metodi di pagamento utilizzati siano conformi alla nuova direttiva europea PSD2, che questi supportino un'autenticazione "forte" del cliente e che non impongano costi aggiuntivi per i pagamenti.

Se non richiedi costi aggiuntivi per i pagamenti sul tuo sito web e offri uno o alcuni dei metodi di pagamento riportati sotto NON devi fare nulla:

  • PayPal
  • Klarna
  • Mollie
  • Stripe
  • Square
  • Amazon Pay
  • Skrill
  • Ingenico

In qualità di gestore di un negozio online, è necessario comunque verificare i metodi di pagamento che hai messo a disposizione. Se offri altri metodi di pagamento, ad es. carte di credito o bonifici bancari online, contatta direttamente il supporto del provider per garantire che il tuo sito web sia conforme alla nuova direttiva europea. Potrebbe essere necessario apportare alcune modifiche.

Non è più consentito addebitare costi aggiuntivi per specifiche modalità di pagamento. In conformità con la nuova direttiva, non è più consentito addebitare costi aggiuntivi per una specifica modalità di pagamento (es. sovrattasse). Questo vale per le carte Visa e Mastercard (ad eccezione delle carte commerciali e delle carte aziendali), nonché per i bonifici bancari e gli addebiti diretti. Verifica quindi che sul tuo sito web non vengano richiesti pagamenti aggiuntivi.

Cosa comporta questo per i miei clienti?

Se i clienti utilizzano metodi di pagamento per gli acquisti su Internet che richiedono un'autenticazione del cliente "forte", questi sono tenuti a selezionare una combinazione di almeno due metodi di autenticazione differenti, a partire dall'entrata in vigore della nuova direttiva europea. Fino ad ora, queste misure non erano necessarie e spesso, per conlcudere un pagamento online, era sufficiente inserire una password o un PIN.

L'autenticazione a due fattori non è di per sé una procedura nuova. Ad es., i pagamenti su PayPal tramite smartphone sono da confermare tramite impronta digitale già da un po' di tempo. La novità stà nel fatto che questa sarà, per la prima volta, obbligatoria per tutti i pagamenti online.

Come parte del processo di pagamento, i tuoi clienti sono obbligati a inserire i dati richiesti dall'istituto di pagamento e a completare l'autenticazione "forte". Questo avviene su un'interfaccia gestita dall'istituto di pagamento (ad es. un sito web o una fiinestra pop-up, ecc.).

Come funziona PSD2/SCA?

Durante un acquisto, il cliente autorizza un provider di servizi di pagamento (ad es. PayPal) ad addebitare un importo presso il proprio conto bancario, che viene gestito da un altro istituto di pagamento (ad es. istituto di credito, banca, cassa di risparmio).

L'autenticazione "forte" del cliente verifica se l'acquirente è anche il proprietario del metodo di pagamento utilizzato (ad es. la carta di credito) sulla base di due fattori. Questi fattori vengono suddivisi in tre categorie. In linea generale, non è importante quali fattori vengono utilizzati, purché questi appartengano a due categorie differenti.

Le categorie utilizzate al momento sono:

  • Conoscenza: presuppone che l'acquirente CONOSCA i dati da inserire, ad es. password o codici PIN.
  • Possesso: presuppone che il cliente POSSIEDA il metodo di pagamento, ad es. la carta di credito o lo smartphone.
  • Inerenza (caratteristiche o comportamento): presuppone che il cliente ABBIA determinati attributi, ad es. impronte digitali, riconoscimento facciale, ecc.

Le categorie e i metodi specifici utilizzati vengono determinati dagli istituti di pagamento e non possono essere modificati dal gestore del negozio online.

Esempio:

La procedura spesso utilizzata in passato per proteggere il numero della carta di credito, ovvero il codice di sicurezza che si trova sul retro della carta, non soddisfa gli standard odierni in materia di sicurezza. Questo perché sia il numero della carta di credito che il codice di sicurezza appartengono alla stessa categoria ("possesso"). Per questo motivo, oltre al numero della carta di credito, è necessario utilizzare anche una password, un codice PIN o un TAN, poiché questi appartengono alla categoria  della "conoscenza" o dell'"inerenza".

Ci sono eccezioni?

In alcuni casi non è necessario implementare le nuove misure per l'autenticazione del cliente. Tra questi, i più frequenti sono:

L'importo dell'acquisto è inferiore a 30 euro

L'istituto di pagamento del cliente non è tenuto a richiedere l'autenticazione per importi inferiori a 30 euro, ma può farlo. Se gli acquisti inferiori a 30 euro si verificano in un breve periodo di tempo e superano un totale di 150 euro, l'istituto di pagamento è tenuto a richiedere nuovamente l'autenticazione del cliente.

Inoltre, l'autenticazione è obbligatoria dopo 5 acquisti con un poccolo importo (anche se il totale non supera i 150 euro).

Classificazione del rischio da parte dell'istituto di pagamento

L'istituto di pagamento può valutare il rischio potenziale di un acquisto e classificare una transazione come non rischiosa in base a diversi fattori, quali le abitudini del cliente (ad es. se il cliente ha già effettuato numerosi acquisti presso lo stesso sito web). Se l'istituto di pagamento ritiene una transazione non rischiosa, questo può rinunciare all'autenticazione del cliente.

Pagamenti regolari e abbonamenti

Se si verificano dei pagamenti regolari, oppure se il cliente ha fatto un abbonamento presso un sito web, l'istituto di pagamento può rinunciare all'autenticazione del cliente per i pagamenti successivi al primo (per il primo pagamento viene eseguita l'autenticazione).

Classificazione manuale del negozio online come affidabile

Gli istituti di credito possono offrire al cliente la possibilità di valutare un negozio online o un commerciante come affidabile. In questo modo i clienti possono salvare una lista di negozi online presso il loro istituto di pagamento, per i quali non è necessaria l'autenticazione. Ti ricordiamo che tuttavia l'istituto di pagamento non è tenuto ad offrire questa possibilità.