Nel 2015, la Com­mis­sio­ne europea ha definito delle linee guida vin­co­lan­ti per tutelare con­su­ma­to­ri e con­su­ma­tri­ci ed evitare che abbiano a che fare con aziende poco af­fi­da­bi­li. Con la direttiva PSD2, queste linee guida sono state ag­gior­na­te.

Direttiva PSD2: di cosa si tratta?

La PSD2, acronimo del nome inglese “Payment Service Directive 2”, è una versione riveduta della direttiva sui servizi di pagamento (PSD) in­tro­dot­ta nel 2007. È stata adottata dal Consiglio dell’Unione Europea il 16 novembre 2015 e recepita nell’or­di­na­men­to italiano tramite il Decreto Le­gi­sla­ti­vo 15 dicembre 2017 n. 218, che ha dato at­tua­zio­ne alla direttiva a partire dal 2018. La normativa regola i pagamenti elet­tro­ni­ci in tutta Europa, inclusi i servizi offerti da aziende non bancarie, come ad esempio i fornitori di servizi di pagamento terzi, per favorire la con­cor­ren­za e la sicurezza nelle tran­sa­zio­ni digitali. L’obiettivo è quello di con­sen­ti­re ad altre imprese e alle banche di offrire servizi di pagamento via internet e quindi di stimolare e con­tem­po­ra­nea­men­te regolare la con­cor­ren­za in quest’area del settore fi­nan­zia­rio.

Gli obiettivi delle direttive sui servizi di pagamento sono mol­te­pli­ci:

  • Aprire alla con­cor­ren­za nei servizi di pagamento
  • Ridurre i costi per i con­su­ma­to­ri e le con­su­ma­tri­ci
  • Con­trol­la­re e raf­for­za­re le startup di tec­no­lo­gia fi­nan­zia­ria (fintech)
  • Garantire maggiore sicurezza nei pagamenti online

La direttiva PSD2 nel dettaglio

La seconda versione della direttiva sui servizi di pagamento è stata in­cor­po­ra­ta nel diritto italiano in più fasi. Una delle in­no­va­zio­ni più im­por­tan­ti, che alcuni con­si­de­ra­no una vera ri­vo­lu­zio­ne, è il fatto che le banche devono fornire ad altre aziende l’accesso alle in­for­ma­zio­ni della loro clientela. Na­tu­ral­men­te soltanto se la persona in­te­res­sa­ta ha dato il proprio consenso.

Le banche dovranno presto offrire un’in­ter­fac­cia ai fornitori au­to­riz­za­ti per con­sen­ti­re loro di avviare di­ret­ta­men­te i bonifici e anche di re­cu­pe­ra­re in­for­ma­zio­ni sui saldi dei conti e altri dettagli fi­nan­zia­ri dei propri clienti. In par­ti­co­la­re nel settore fintech alcune aziende offrono in­te­res­san­ti software con cui gli utenti possono gestire il proprio pa­tri­mo­nio. Le ap­pli­ca­zio­ni per il risparmio, la sot­to­scri­zio­ne di un’as­si­cu­ra­zio­ne o la spe­cu­la­zio­ne in borsa hanno bisogno di in­for­ma­zio­ni dalla banca. A seguito dell’entrata in vigore della direttiva PSD2, le banche sono obbligate a offrire alle imprese con i cer­ti­fi­ca­ti ap­pro­pria­ti un’in­ter­fac­cia at­tra­ver­so la quale i fornitori di servizi possono re­cu­pe­ra­re le in­for­ma­zio­ni ne­ces­sa­rie ed ef­fet­tua­re pagamenti o bonifici.

N.B.

Anche con la PSD2 le aziende non possono accedere ar­bi­tra­ria­men­te ai tuoi dati fi­nan­zia­ri sensibili. Oltre all’ap­pro­va­zio­ne ufficiale, i servizi hanno bisogno del tuo consenso esplicito per ricevere i dati dalla banca.

Come funziona la direttiva PSD2?

I fornitori di servizi avevano avuto accesso alle in­for­ma­zio­ni del conto bancario già in pre­ce­den­za, ma non c’era un accesso uniforme e ogni paese aveva diverse in­ter­fac­ce che per­met­te­va­no al fornitore di estrarre tutte le in­for­ma­zio­ni dal sito web del fornitore di online banking. Spesso, le aziende ri­cor­re­va­no a una tecnica per l’estra­zio­ne au­to­ma­ti­ca dei dati dal web chiamata web scraping. Questo pro­ce­di­men­to, però, non è par­ti­co­lar­men­te ef­fi­cien­te ed è soggetto a errori. Con la direttiva PSD2 le banche sono inoltre obbligate a fornire un Access to Account (XS2A), at­tra­ver­so il quale i fornitori ottengono l’accesso.

La PSD2 offre anche soluzioni che per­met­te­ran­no la tra­smis­sio­ne di dati sensibili at­tra­ver­so in­ter­fac­ce senza rischi per il con­su­ma­to­re. La sicurezza dei dati dovrebbe essere garantita da due diversi mezzi:

  • QWAC: at­tra­ver­so questo cer­ti­fi­ca­to banca e fornitore si iden­ti­fi­ca­no a vicenda uti­liz­zan­do dati crit­to­gra­fa­ti.
  • QSealC: il sigillo viene attaccato ai dati e li assegna a un’azienda. In questo modo è possibile vedere in un secondo momento quali aziende hanno avuto accesso al conto bancario e hanno tra­sfe­ri­to i dati tramite l’in­ter­fac­cia. Inoltre, il sigillo ga­ran­ti­sce che eventuali modifiche ai dati non passino inos­ser­va­te.

Per poter ri­chie­de­re tali licenze o sigilli i fornitori devono ottenere l’ap­pro­va­zio­ne di un’autorità nazionale di controllo. La direttiva PSD2 sta­bi­li­sce che è possibile ottenere due diverse licenze:

  • Servizio in­for­ma­zio­ni sul conto: i fornitori di servizi di questa categoria sono in­te­res­sa­ti a ricevere in­for­ma­zio­ni dal conto bancario del cliente per poterle uti­liz­za­re. In questo caso, è ne­ces­sa­ria solo la re­gi­stra­zio­ne e non è richiesta alcuna licenza.
  • Servizio di ini­zia­liz­za­zio­ne del pagamento: l’azienda con questa licenza può ef­fet­tua­re pagamenti o tra­sfe­ri­men­ti per conto del cliente.

Che cosa comporta la direttiva sui servizi di pagamento per i negozi online?

La direttiva sui servizi di pagamento riguarda prin­ci­pal­men­te le banche e altri pre­sta­to­ri di servizi nel settore fi­nan­zia­rio. I normali utenti non risentono par­ti­co­lar­men­te delle modifiche ef­fet­tua­te e anche per i com­mer­cian­ti online, i cam­bia­men­ti sono pochi.

La direttiva PSD dal punto di vista dell’utente

La seconda versione della PSD ga­ran­ti­sce all’ac­qui­ren­te online maggiore sicurezza nel pagamento. La con­ces­sio­ne di licenze per le soluzioni tecniche, così come l’ispezione da parte delle autorità di vigilanza, ga­ran­ti­sco­no una pro­te­zio­ne più af­fi­da­bi­le dei dati sensibili. Tuttavia è probabile che dal punto di vista del con­su­ma­to­re ciò si traduca sem­pli­ce­men­te nell’obbligo dell’au­ten­ti­ca­zio­ne a due fattori, ad esempio at­tra­ver­so un codice OTP inviato via SMS.

Fatto

Con l’in­tro­du­zio­ne dell’au­ten­ti­ca­zio­ne a due fattori le banche hanno co­min­cia­to ad affidarsi a SMS, app o speciali di­spo­si­ti­vi in grado di generare OTP (One Time Password). In questo modo l’utente può accedere e usufruire dei servizi di home banking in maniera più sicura.

Com­mer­cian­ti online e PSD2: a cosa bisogna prestare at­ten­zio­ne?

Molti aspetti della direttiva PSD2 hanno a che fare con l’at­tua­zio­ne tecnica, come l’au­ten­ti­ca­zio­ne a due fattori e tutti i mec­ca­ni­smi a essa associati. Questo vincolo deriva dalla Strong Customer Au­then­ti­ca­tion (SCA) richiesta nella PSD2. L’utente deve au­to­riz­za­re il tra­sfe­ri­men­to di denaro at­tra­ver­so almeno due fattori che im­pli­chi­no la co­no­scen­za (ad esempio di password o PIN), il possesso (ad esempio di una carta di credito o smart­pho­ne) o l’inerenza (ad esempio at­tra­ver­so la voce o l’impronta digitale). Ciò vale per tutte le somme superiori a 30 euro. Se più acquisti in un giorno superano il valore com­ples­si­vo di 100 euro, la 2FA viene richiesta per ogni pagamento, anche se le singole voci sono al di sotto della soglia dei 30 euro.

Per eseguire i pagamenti, gli operatori di negozi online di solito col­la­bo­ra­no con un partner re­spon­sa­bi­le per l’im­ple­men­ta­zio­ne dei requisiti della PSD2 nel proprio sistema. Ad esempio, gli istituti di carte di credito offrono misure di sicurezza come 3D Secure. I com­mer­cian­ti che lavorano nell’e-commerce devono soltanto as­si­cu­rar­si che il proprio negozio applichi la procedura di sicurezza in modo corretto.

I requisiti di SCA non si applicano espli­ci­ta­men­te all’addebito diretto. Questo è un pagamento pull, dove è il venditore a ri­chie­de­re soldi alla banca. La procedura sicura è prevista solo per i pagamenti push, cioè quando il cliente avvia di­ret­ta­men­te un pagamento.

N.B.

In Italia, come nel resto dell’Unione Europea, la verifica in due passaggi è diventata ob­bli­ga­to­ria per i negozi online a partire dal 15 marzo 2021.

La direttiva PSD2 ha inoltre vietato la co­sid­det­ta surcharge (so­vrat­tas­sa). In pre­ce­den­za era pratica comune per i com­mer­cian­ti di applicare un sup­ple­men­to sul prezzo di acquisto, ad esempio per i pagamenti con carta di credito, perché com­por­ta­no costi ag­giun­ti­vi per chi riceve il pagamento.

Storia delle politiche dei servizi di pagamento: dalla PSD1 alla PSD2

Con la prima versione della direttiva sui servizi di pagamento, la Com­mis­sio­ne europea ha compiuto un passo im­por­tan­te verso la re­go­la­men­ta­zio­ne dei pagamenti in­ter­na­zio­na­li. Nell’ottica di uni­for­ma­re il traffico dei pagamenti europei, la PSD riesce a dare un fon­da­men­to giuridico per i fornitori in questa area. Oggi, come allora, ciò si riferisce espli­ci­ta­men­te a fornitori che non pro­ven­go­no dal settore bancario. Il monopolio degli enti creditizi sulle ope­ra­zio­ni di pagamento è stato quindi in­ter­rot­to dalla PSD.

Non tutte le società possono però agire come un co­sid­det­to istituto di pagamento. La direttiva sui servizi di pagamento ha stabilito criteri vin­co­lan­ti che tale soggetto pre­sta­to­re deve sod­di­sfa­re. Tuttavia, no­no­stan­te molte regole chiare, per­man­go­no alcune in­cer­tez­ze e il margine di manovra rimane aperto; alcuni di questi problemi sono nati proprio con l’in­tro­du­zio­ne della direttiva. Con la PSD2, queste lacune sono state colmate e sono state in­tro­dot­te ulteriori misure di sicurezza a tutela dei con­su­ma­to­ri e delle con­su­ma­tri­ci.

Tra le misure troviamo il rilascio di cer­ti­fi­ca­ti e sigilli vin­co­lan­ti, che possono essere ottenuti solo da or­ga­niz­za­zio­ni ri­co­no­sciu­te. In Italia, ad esempio, at­tra­ver­so l’Istituto Po­li­gra­fi­co e Zecca dello Stato, che è anche re­spon­sa­bi­le della pro­du­zio­ne di carte d’identità e pas­sa­por­ti. Inoltre, le aziende ne­ces­si­ta­no di un’au­to­riz­za­zio­ne dall’autorità di vigilanza fi­nan­zia­ria nazionale. In Italia, questa è la CONSOB (Com­mis­sio­ne Nazionale per le Società e la Borsa).

Ti preghiamo di osservare la nota legale relativa a questo articolo.

Vai al menu prin­ci­pa­le