PSD2: che cosa comporta la nuova direttiva UE sui servizi di pagamento?

I protettori dei consumatori e molti politici a livello europeo stanno cercando di rendere gli acquisti e i pagamenti su Internet più sicuri per gli acquirenti. Oltre alle banche, un certo numero di altri prestatori di servizi di pagamento svolgono ora un ruolo importante nell’e-business. Questo perché i fornitori come PayPal offrono ai commercianti e agli utenti soluzioni pratiche per facilitare i processi di pagamento. È sempre importante che la comodità non vada a scapito della sicurezza.

La Commissione europea ha definito delle linee guida vincolanti per evitare che i consumatori si ritrovino costretti a lavorare con aziende di dubbia reputazione. Ora sono state aggiornate: a cosa devono prepararsi in futuro i negozi online e gli utenti?

La prima versione della direttiva era stata adottata dall’UE già nel 2007. La Payment Service Directive (PSD) dovrà – e dovrebbe tuttora – disciplinare le operazioni di pagamento a livello europeo da parte di società che non sono considerate banche tradizionali. L’obiettivo è quello di consentire ad altre imprese e alle banche di offrire servizi di pagamento via Internet e quindi di stimolare e contemporaneamente regolare la concorrenza in quest’area del settore finanziario.

Le Payment Services Directive 1 & 2 perseguono obiettivi diversi:

• Aprire alla concorrenza nei servizi di pagamento
   
• Ridurre i costi per i consumatori
   
• Controllare e rafforzare le startup di tecnologia finanziaria (abbreviate in Fintech)
   
• Garantire maggiore sicurezza quando si paga su Internet

Con la prima versione della direttiva sui servizi di pagamento, la Commissione europea ha compiuto un passo importante verso la regolamentazione dei pagamenti internazionali. Nell’ottica di uniformare il traffico dei pagamenti europei, la PSD riesce a dare un fondamento giuridico per i fornitori in questa area. Oggi come allora, ciò si riferisce esplicitamente a fornitori che non provengono dal settore bancario. Il monopolio degli enti creditizi sulle operazioni di pagamento è stato quindi spezzato dalla PSD.

Tuttavia, non tutte le società possono agire come un cosiddetto istituto di pagamento. La Payment Services Directive ha stabilito criteri vincolanti che tale prestatore deve soddisfare. Tuttavia, nonostante molte regole chiare, permangono alcune incertezze e il margine di manovra rimane aperto; alcuni di questi problemi sono nati proprio con la direttiva.

Con la PSD2 ora l’UE cerca di ovviare a questi buchi legislativi oltre che a ottenere ancora più sicurezza per i consumatori. Ad esempio ciò si può ottenere con il rilascio di certificati e sigilli vincolanti, che possono essere riconosciuti solo da organismi riconosciuti. Inoltre, le società devono essere autorizzate dall’autorità nazionale di vigilanza finanziaria.

La seconda versione della direttiva sui servizi di pagamento era già stata decisa nel 2017. La PSD2 diventerà vincolante dal 2019 (la data limite è il 14 settembre). Una delle innovazioni più importanti, che alcuni considerano una vera rivoluzione, è il fatto che le banche devono ora fornire ad altre aziende l’accesso alle informazioni dei loro clienti. Ma naturalmente soltanto se il rispettivo cliente ha dato il proprio consenso.

Le banche dovranno presto offrire un’interfaccia ai fornitori autorizzati per consentire loro di avviare direttamente i bonifici e anche di recuperare informazioni sui saldi dei conti degli utenti e altri dettagli finanziari. Ma perché è così importante? E per quale motivo le aziende dovrebbero essere in grado di farlo?

In passato molti consumatori hanno già fatto uso di tali servizi senza regole universali e vincolanti. In particolare nel settore Fintech alcune aziende offrono interessanti software con cui gli utenti possono gestire il proprio patrimonio. Le applicazioni per il risparmio, la sottoscrizione di un’assicurazione o la speculazione in borsa hanno bisogno di informazioni dalla banca. A seguito della PSD2, le banche sono obbligate a offrire alle imprese con i certificati appropriati un’interfaccia attraverso la quale i fornitori di servizi possono recuperare le informazioni necessarie ed effettuare pagamenti o bonifici.

I fornitori di servizi avevano avuto accesso alle informazioni dal conto bancario già in precedenza, ma non c’era un accesso uniforme e ogni paese aveva diverse interfacce che permettevano al fornitore di estrarre tutte le informazioni dal sito web del fornitore di online banking. Questo procedimento, però, non è particolarmente efficiente ed è passibile di errori. Con la PSD2 le banche sono obbligate a fornire un Access to Account (XS2A), attraverso il quale i fornitori ottengono l’accesso.

La PSD2 offre anche soluzioni che permetteranno la trasmissione di dati sensibili attraverso interfacce senza rischi per il consumatore. La sicurezza dei dati dovrebbe essere garantita da due diversi mezzi:

• QWAC: attraverso questo certificato banca e fornitore dovrebbero identificarsi vicendevolmente. Inoltre QWAC effettua la crittografia dei dati trasmessi.
   
• QSiegel: il sigillo viene attaccato ai dati e li assegna a un’azienda. In questo modo è possibile vedere in un secondo momento quali aziende hanno avuto accesso al conto bancario e hanno trasferito i dati tramite l’interfaccia. Inoltre, il sigillo garantisce che eventuali modifiche dei dati non passino inosservate.

Per poter richiedere tali licenze o sigilli i fornitori devono ottenere l’approvazione di un’autorità nazionale di controllo. La PSD2 stabilisce che è possibile ottenere due diverse licenze:

• Servizio informazioni sul conto: i fornitori di servizi di questa categoria sono interessati a ricevere informazioni dal conto bancario del cliente per poterle utilizzare. In questo caso, è necessaria solo la registrazione e non è richiesta alcuna licenza.
   
• Servizio di inizializzazione del pagamento: l’azienda con questa licenza può effettuare pagamenti o trasferimenti per conto del cliente.

Diversamente dal passato, le autorità nazionali di vigilanza stanno ora esaminando molto attentamente i fornitori terzi prima che vengano autorizzati a ricevere informazioni sugli utenti. L’autorità di regolamentazione esamina l’intera struttura aziendale, esamina quali controlli interni sono in atto, come vengono gestite le crisi e come si cautela l’azienda. Si tratta di un ostacolo particolare per le piccole imprese in fase di avviamento, ma è afavore della tutela dei consumatori.

La nuova direttiva sui servizi di pagamento riguarda principalmente le banche e altri prestatori di servizi nel settore finanziario. Gli utenti normali risentono in minima parte delle modifiche che vengono effettuate in background. E anche per i commercianti online, i cambiamenti sono pochi.

La seconda versione della PSD promette all’acquirente online maggiore sicurezza nel pagamento. L a concessione di licenze per le soluzioni tecniche, così come l’ispezione da parte delle autorità di vigilanza garantiscono una protezione più affidabile dei dati sensibili. Tuttavia è probabile che dal punto di vista del consumatore ciò si traduca semplicemente nell’obbligo dell’autenticazione a due fattori. In futuro i clienti devono confermare un pagamento attraverso un secondo metodo e identificarsi nei confronti del sito. Ciò può avvenire ad esempio tramite un SMS con un TAN. Il cliente deve poi inserire il codice ricevuto durante il processo di pagamento per portarlo a termine. È teoricamente possibile anche l’identificazione tramite impronta digitale.

Il cliente può inoltre contare su prezzi più contenuti, dato che i commercianti online non sono più autorizzati ad addebitare costi aggiuntivi per determinate opzioni di pagamento (come ad esempio la carta di credito).

Si può presupporre che in futuro con la PSD2 un numero molto maggiore di imprese sarà coinvolto nel settore finanziario. Ci si chiede già se grandi aziende come Amazon o eBay entreranno nel settore. Questi mercati online potrebbero quindi addebitare i costi direttamente sul conto, anziché effettuare la deviazione tramite addebito diretto.

Molti aspetti della Payment Service Directive 2 hanno a che fare con l’attuazione tecnica e molti commercianti online si chiedono quindi cosa debbano cambiare nel proprio sistema. Dopotutto i pagamenti effettuati tramite un negozio online devono ora essere garantiti da un’autenticazione a due fattori.

Questo vincolo deriva dalla Strong Customer Authentication (SCA) richiesta nella PSD2. I clienti devono autorizzare il trasferimento di denaro attraverso almeno due fattori: la conoscenza (ad esempio password o PIN), il possesso (ad esempio carta o smartphone) o inerenza (ad esempio voce o impronta digitale). Ciò vale per tutte le somme superiori a 30 euro. Se più acquisti in un giorno superano il valore complessivo di 100 euro, il 2FA è necessario, anche se le singole voci di pagamento sono al di sotto della soglia dei 30 euro.

Per eseguire i pagamenti, gli operatori di negozi online di solito collaborano con un partner. Il partner deve implementare i requisiti della PSD2 nel proprio sistema. Ad esempio, gli istituti di carte di credito hanno sviluppato una nuova versione di 3D Secure. I commercianti che lavorano con l’e-commerce devono soltanto assicurarsi che il proprio negozio applichi la procedura di sicurezza in modo corretto.

I requisiti di SCA non si applicano esplicitamente all’addebito diretto. Questo è un pagamento pull, ovvero il venditore richiede i soldi alla banca. La procedura sicura è prevista solo per i pagamenti push, cioè quando il cliente avvia direttamente un pagamento.

Le altre importanti novità per i commercianti online: la cosiddetta surcharge (sovrattassa) non è più consentita. In precedenza era comune per i commercianti applicare un supplemento sul prezzo di acquisto, ad esempio per i pagamenti con carta di credito, perché comportano costi aggiuntivi per il commerciante. Nemmeno per i pagamenti tramite PayPal i commercianti sono autorizzati ad addebitare costi aggiuntivi.

Vi preghiamo di osservare la nota legale relativa a questo articolo.