Cos’è la direttiva PSD2?

Indice

Nel 2015, la Commissione europea ha definito delle linee guida vincolanti per tutelare consumatori e consumatrici ed evitare che abbiano a che fare con aziende poco affidabili. Con la direttiva PSD2, queste linee guida sono state aggiornate.

Direttiva PSD2: di cosa si tratta?

La PSD2, acronimo del nome inglese “Payment Service Directive 2”, è una versione riveduta della direttiva sui servizi di pagamento (PSD) introdotta nel 2007. È stata adottata dal Consiglio dell’Unione Europea il 16 novembre 2015 e recepita nell’ordinamento italiano tramite il Decreto Legislativo 15 dicembre 2017 n. 218, che ha dato attuazione alla direttiva a partire dal 2018. La normativa regola i pagamenti elettronici in tutta Europa, inclusi i servizi offerti da aziende non bancarie, come ad esempio i fornitori di servizi di pagamento terzi, per favorire la concorrenza e la sicurezza nelle transazioni digitali. L’obiettivo è quello di consentire ad altre imprese e alle banche di offrire servizi di pagamento via internet e quindi di stimolare e contemporaneamente regolare la concorrenza in quest’area del settore finanziario.

Gli obiettivi delle direttive sui servizi di pagamento sono molteplici:

Aprire alla concorrenza nei servizi di pagamento
Ridurre i costi per i consumatori e le consumatrici
Controllare e rafforzare le startup di tecnologia finanziaria (fintech)
Garantire maggiore sicurezza nei pagamenti online

La direttiva PSD2 nel dettaglio

La seconda versione della direttiva sui servizi di pagamento è stata incorporata nel diritto italiano in più fasi. Una delle innovazioni più importanti, che alcuni considerano una vera rivoluzione, è il fatto che le banche devono fornire ad altre aziende l’accesso alle informazioni della loro clientela. Naturalmente soltanto se la persona interessata ha dato il proprio consenso.

Le banche dovranno presto offrire un’interfaccia ai fornitori autorizzati per consentire loro di avviare direttamente i bonifici e anche di recuperare informazioni sui saldi dei conti e altri dettagli finanziari dei propri clienti. In particolare nel settore fintech alcune aziende offrono interessanti software con cui gli utenti possono gestire il proprio patrimonio. Le applicazioni per il risparmio, la sottoscrizione di un’assicurazione o la speculazione in borsa hanno bisogno di informazioni dalla banca. A seguito dell’entrata in vigore della direttiva PSD2, le banche sono obbligate a offrire alle imprese con i certificati appropriati un’interfaccia attraverso la quale i fornitori di servizi possono recuperare le informazioni necessarie ed effettuare pagamenti o bonifici.

N.B.

Anche con la PSD2 le aziende non possono accedere arbitrariamente ai tuoi dati finanziari sensibili. Oltre all’approvazione ufficiale, i servizi hanno bisogno del tuo consenso esplicito per ricevere i dati dalla banca.

Come funziona la direttiva PSD2?

I fornitori di servizi avevano avuto accesso alle informazioni del conto bancario già in precedenza, ma non c’era un accesso uniforme e ogni paese aveva diverse interfacce che permettevano al fornitore di estrarre tutte le informazioni dal sito web del fornitore di online banking. Spesso, le aziende ricorrevano a una tecnica per l’estrazione automatica dei dati dal web chiamata web scraping. Questo procedimento, però, non è particolarmente efficiente ed è soggetto a errori. Con la direttiva PSD2 le banche sono inoltre obbligate a fornire un Access to Account (XS2A), attraverso il quale i fornitori ottengono l’accesso.

La PSD2 offre anche soluzioni che permetteranno la trasmissione di dati sensibili attraverso interfacce senza rischi per il consumatore. La sicurezza dei dati dovrebbe essere garantita da due diversi mezzi:

QWAC: attraverso questo certificato banca e fornitore si identificano a vicenda utilizzando dati crittografati.
QSealC: il sigillo viene attaccato ai dati e li assegna a un’azienda. In questo modo è possibile vedere in un secondo momento quali aziende hanno avuto accesso al conto bancario e hanno trasferito i dati tramite l’interfaccia. Inoltre, il sigillo garantisce che eventuali modifiche ai dati non passino inosservate.

Per poter richiedere tali licenze o sigilli i fornitori devono ottenere l’approvazione di un’autorità nazionale di controllo. La direttiva PSD2 stabilisce che è possibile ottenere due diverse licenze:

Servizio informazioni sul conto: i fornitori di servizi di questa categoria sono interessati a ricevere informazioni dal conto bancario del cliente per poterle utilizzare. In questo caso, è necessaria solo la registrazione e non è richiesta alcuna licenza.
Servizio di inizializzazione del pagamento: l’azienda con questa licenza può effettuare pagamenti o trasferimenti per conto del cliente.

Che cosa comporta la direttiva sui servizi di pagamento per i negozi online?

La direttiva sui servizi di pagamento riguarda principalmente le banche e altri prestatori di servizi nel settore finanziario. I normali utenti non risentono particolarmente delle modifiche effettuate e anche per i commercianti online, i cambiamenti sono pochi.

La direttiva PSD dal punto di vista dell’utente

La seconda versione della PSD garantisce all’acquirente online maggiore sicurezza nel pagamento. La concessione di licenze per le soluzioni tecniche, così come l’ispezione da parte delle autorità di vigilanza, garantiscono una protezione più affidabile dei dati sensibili. Tuttavia è probabile che dal punto di vista del consumatore ciò si traduca semplicemente nell’obbligo dell’autenticazione a due fattori, ad esempio attraverso un codice OTP inviato via SMS.

Fatto

Con l’introduzione dell’autenticazione a due fattori le banche hanno cominciato ad affidarsi a SMS, app o speciali dispositivi in grado di generare OTP (One Time Password). In questo modo l’utente può accedere e usufruire dei servizi di home banking in maniera più sicura.

Commercianti online e PSD2: a cosa bisogna prestare attenzione?

Molti aspetti della direttiva PSD2 hanno a che fare con l’attuazione tecnica, come l’autenticazione a due fattori e tutti i meccanismi a essa associati. Questo vincolo deriva dalla Strong Customer Authentication (SCA) richiesta nella PSD2. L’utente deve autorizzare il trasferimento di denaro attraverso almeno due fattori che implichino la conoscenza (ad esempio di password o PIN), il possesso (ad esempio di una carta di credito o smartphone) o l’inerenza (ad esempio attraverso la voce o l’impronta digitale). Ciò vale per tutte le somme superiori a 30 euro. Se più acquisti in un giorno superano il valore complessivo di 100 euro, la 2FA viene richiesta per ogni pagamento, anche se le singole voci sono al di sotto della soglia dei 30 euro.

Per eseguire i pagamenti, gli operatori di negozi online di solito collaborano con un partner responsabile per l’implementazione dei requisiti della PSD2 nel proprio sistema. Ad esempio, gli istituti di carte di credito offrono misure di sicurezza come 3D Secure. I commercianti che lavorano nell’e-commerce devono soltanto assicurarsi che il proprio negozio applichi la procedura di sicurezza in modo corretto.

I requisiti di SCA non si applicano esplicitamente all’addebito diretto. Questo è un pagamento pull, dove è il venditore a richiedere soldi alla banca. La procedura sicura è prevista solo per i pagamenti push, cioè quando il cliente avvia direttamente un pagamento.

N.B.

In Italia, come nel resto dell’Unione Europea, la verifica in due passaggi è diventata obbligatoria per i negozi online a partire dal 15 marzo 2021.

La direttiva PSD2 ha inoltre vietato la cosiddetta surcharge (sovrattassa). In precedenza era pratica comune per i commercianti di applicare un supplemento sul prezzo di acquisto, ad esempio per i pagamenti con carta di credito, perché comportano costi aggiuntivi per chi riceve il pagamento.

Storia delle politiche dei servizi di pagamento: dalla PSD1 alla PSD2

Con la prima versione della direttiva sui servizi di pagamento, la Commissione europea ha compiuto un passo importante verso la regolamentazione dei pagamenti internazionali. Nell’ottica di uniformare il traffico dei pagamenti europei, la PSD riesce a dare un fondamento giuridico per i fornitori in questa area. Oggi, come allora, ciò si riferisce esplicitamente a fornitori che non provengono dal settore bancario. Il monopolio degli enti creditizi sulle operazioni di pagamento è stato quindi interrotto dalla PSD.

Non tutte le società possono però agire come un cosiddetto istituto di pagamento. La direttiva sui servizi di pagamento ha stabilito criteri vincolanti che tale soggetto prestatore deve soddisfare. Tuttavia, nonostante molte regole chiare, permangono alcune incertezze e il margine di manovra rimane aperto; alcuni di questi problemi sono nati proprio con l’introduzione della direttiva. Con la PSD2, queste lacune sono state colmate e sono state introdotte ulteriori misure di sicurezza a tutela dei consumatori e delle consumatrici.

Tra le misure troviamo il rilascio di certificati e sigilli vincolanti, che possono essere ottenuti solo da organizzazioni riconosciute. In Italia, ad esempio, attraverso l’Istituto Poligrafico e Zecca dello Stato, che è anche responsabile della produzione di carte d’identità e passaporti. Inoltre, le aziende necessitano di un’autorizzazione dall’autorità di vigilanza finanziaria nazionale. In Italia, questa è la CONSOB (Commissione Nazionale per le Società e la Borsa).

Ti preghiamo di osservare la nota legale relativa a questo articolo.

Hai trovato questo articolo utile?

Tutte le novità sull'IA

Iscriviti alla nostra newsletter per ricevere consigli pratici e scoprire le ultime tendenze in fatto di IA.

Articoli popolari

Cos’è un dominio e-mail e come si configura?

Comunicare professionalità con il vostro dominio di posta elettronica: questi sono i…

Come si compra un dominio? Una guida

Come si registra un dominio e si ottiene il TLD e il Second-level domain desiderato? E…

Quali tipi di dominio esistono?

Quali estensioni di dominio esistono? Qual è la differenza tra i domini di primo e di…

Cos’è il prompt engineering?

Cos’è il prompt engineering? In che modo permette di migliorare i risultati di ChatGPT e…

Tipologie di siti web a confronto: i 7 tipi di siti web più noti

La scelta del giusto tipo di sito web non è da sottovalutare e contribuisce al successo…

Articoli simili

3D Secure: VISA e Mastercard saranno più sicure

Le frodi alle carte di credito avvengono soprattutto su Internet. I criminali usano le informazioni estorte per danneggiare consumatori, commercianti e banche. Per rendere più sicuro il pagamento su Internet, noti istituti di carte di credito come VISA e Mastercard hanno…

Negozio Online
E-Commerce
Crittografia

Mobile payment

Il mobile payment sta avanzando in tutto il mondo, i servizi di mobile payment prendono piede ovunque. Tuttavia, non tutti sono pronti a utilizzare queste tecnologie e una delle ragioni per questo è la mancanza di conoscenze in merito. Vi offriamo una panoramica sulle…

E-Commerce

Cos’è l’e-business?

Nell'odierna economia dell'informazione il termine "commercio elettronico" è sulla bocca di tutti ormai da tempo. Ma che cos'è esattamente l'e-business? Troppo spesso il termine viene utilizzato come sinonimo di "e-commerce" anche se in realtà non è esattamente corretto, poiché…

E-Commerce