La seconda direttiva UE sui pagamenti è stata introdotta il 14 settembre 2019 e la scadenza per la piena attuazione di tutti i requisiti è stata fissata genericamente al 2021. Ma la storia della SCA risale ad ancora prima.
La direttiva UE si basa su tre aree chiave della legislazione del 2007. A quel tempo, come ancora oggi, per l’Unione Europea i punti principali da perseguire erano i seguenti:
- Rafforzare i diritti del consumatore nell’ambito delle operazioni di pagamento.
- Creare condizioni per la parità concorrenziale attraverso la regolazione dell’accesso di terzi alle informazioni sui conti.
- Aumentare la sicurezza per tutte le parti coinvolte.
Questi aspetti sono stati implementati nella prima edizione della direttiva sui servizi di pagamento (PSD). Dalla sua introduzione, tuttavia, le tecnologie nell’ambito delle operazioni di pagamento hanno continuato a fare grandi progressi: il numero di servizi di pagamento online e di fornitori di terze parti (in inglese Third Party Providers, spesso abbreviato in TPP), è cresciuto significativamente. Questo ha da un lato comportato la nascita di nuove modalità di pagamento semplici e veloci per gli acquirenti, dall’altro ha fornito ai venditori un facile accesso alle informazioni sui conti dei clienti.
Questa facilità di accesso ai conti dei consumatori ha però a sua volta portato a un aumento dei rischi per la sicurezza. La reazione a questo problema è arrivata rapidamente, sotto forma di leggi chiare che regolano il modo in cui i TPP e i fornitori di servizi di pagamento possono accedere ai conti dei clienti.
La Strong Customer Authentication è quindi il prossimo passo per ridurre le frodi nelle transazioni online. Come obbligo a livello europeo, la tecnologia deve essere utilizzata per ogni transazione finanziaria. La legge entra in vigore quando il fornitore di servizi di pagamento del venditore o l’istituto bancario dell’ordinante hanno sede nello Spazio economico europeo (SEE). Le transazioni possono quindi essere soggette all’autenticazione forte del cliente anche nel caso in cui l’azienda che opera online abbia sede al di fuori dell’Europa, a condizione, ad esempio, che il pagamento sia effettuato tramite un istituto bancario appartenente allo Spazio economico europeo.
Si tratta quindi di una legge europea che riguarda anche i fornitori situati al di fuori del SEE e per questo motivo i nuovi requisiti per l’autenticazione dei pagamenti online sono così complessi nella loro attuazione. I fornitori di servizi di pagamento hanno infatti già chiesto più volte di posticipare l’implementazione definitiva della SCA e non è nemmeno ancora stata fissata una scadenza concreta e vincolante.