Direttiva sui servizi di pagamento (PSD2) e Strong Customer Authentication (SCA)

INTRODUZIONE


 “PSD2″ è l’acronimo usato per indicare la seconda direttiva (UE) 2015/2366 del 25 novembre sui servizi di pagamento. Questa direttiva è il regolamento europeo che comprende il quadro normativo che si applica ai pagamenti elettronici in Europa.


 Questo standard prescrive l’applicazione obbligatoria di misure e procedure di sicurezza specifiche per le operazioni di pagamento elettronico, in particolare quelle a distanza. Queste misure e procedure si basano sul concetto di ” Strong Customer Authentication ” (“SCA”).


L’obbligo di eseguire un’autenticazione avanzata del cliente quando si avvia un’operazione di pagamento elettronico consiste nell’obbligo per i prestatori di servizi di pagamento (PSP) che emettono strumenti di pagamento di autenticare l’identità del pagatore sulla base dell’uso di due caratteristiche di sicurezza indipendenti (fattori di autenticazione) ogni volta che il pagatore effettua un pagamento in un negozio fisico o elettronico.


La direttiva è entrata in vigore nello SEE il 14 settembre 2019, e la sua applicazione inizierà da quest’anno. Nella maggior parte dei casi, saranno necessarie almeno due forme o fattori di autenticazione per l’elaborazione di pagamenti da parte degli istituti (banche) che emettono carte di credito e di debito. La SCA sarà applicata in Europa dal 31 dicembre 2020. 


ASPETTI CHIAVE DEI PAGAMENTI CON CARTA DI CREDITO E-COMMERCE


 L’utilizzo della SCA per i pagamenti con carta su Internet cambierà il modo in cui gli utenti dei servizi di pagamento effettuano gli acquisti, poiché i paganti non potranno più effettuare pagamenti online utilizzando esclusivamente i dati della loro carta (numero della carta, data di scadenza e codice di sicurezza). Dovranno invece, ad esempio, verificare la loro identità durante il processo di pagamento inserendo un codice aggiuntivo che riceveranno sul loro cellulare o attraverso l’applicazione bancaria che è collegata al loro telefono e che richiede una password o un’impronta digitale per approvare una transazione.


Una più forte autenticazione dei clienti nei pagamenti via Internet si basa sull’utilizzo combinato di due dei seguenti tipi di fattori di autenticazione:


·       Conoscenza: qualcosa che conoscete, ad esempio la vostra password di accesso all’online banking, ecc.


·       Possessoqualcosa che si possiede, ad esempio il cellulare sul quale si riceve una sola volta la password che viene inviata via SMS.


·       Ereditàqualcosa che “è”, per esempio, elementi biometrici come il riconoscimento facciale o le impronte digitali.


In questo modo, l’emittente dello strumento di pagamento può essere sicuro che il pagatore è chi dice di essere. In questo senso, ogni istituto emittente ha deciso quali fattori di autenticazione chiederà ai propri clienti, per cui l’esperienza d’acquisto può variare a seconda della carta utilizzata.


Tuttavia, ci sono una serie di situazioni che consentono di non dover chiedere sempre entrambi i fattori di autenticazione, a vantaggio dell’esperienza dell’utente senza ridurre la sicurezza del pagamento.


SITUAZIONI IN CUI LA SCA PUÒ NON ESSERE APPLICATA


L’applicazione della SCA ai titolari di carta è di competenza della banca emittente, sebbene la PSD2 preveda una serie di situazioni (dette esenzioni) in cui le banche emittenti sono autorizzate a non applicare la SCA in quanto considerate operazioni a basso rischio. A questo proposito, la SCA può non essere applicata nei seguenti casi:


·       Transazioni di basso valore: i pagamenti a distanza per il commercio elettronico il cui importo della transazione è inferiore o uguale a 30 euro o il suo equivalente in altre valute sono considerati pagamenti di basso valore. Inoltre, viene fissato un limite massimo al di sopra del quale è richiesta la SCA, ovvero un massimo di 5 transazioni consecutive senza SCA o un importo cumulativo massimo senza SCA di 100 EUR.


·       Operazioni frequenti: si tratta di operazioni ricorrenti, con lo stesso importo e lo stesso beneficiario. L’autenticazione è richiesta alla prima transazione e se c’è qualche modifica (ad esempio, se viene modificata la carta attraverso la quale viene effettuato il pagamento).


·       Processi e protocolli di pagamento aziendali sicuri: le banche emittenti hanno la possibilità di non applicare la SCA alle persone giuridiche che avviano operazioni di pagamento elettronico utilizzando processi o protocolli di pagamento disponibili solo per i pagatori non consumatori, qualora le autorità competenti abbiano accertato che tali processi o protocolli garantiscono livelli di sicurezza almeno equivalenti a quelli previsti dalla PSD2.


·       Operazioni di pagamento a favore di beneficiari inclusi in una lista fiduciaria: la cosiddetta lista fiduciaria o white list è un meccanismo che consente al cliente di determinare quali commercianti ritiene affidabili, consentendo alla PSD2 nei casi in cui la banca emittente non effettui SCA sugli acquisti effettuati da quel cliente in quel commerciante.


·       Operazioni a basso rischio di frode: nota come TRA analisi, analisi del rischio transazionale. Consente di esentare da SCA alcune operazioni di e-commerce, a condizione che venga effettuata una solida analisi dei rischi e che sia le banche emittenti che quelle acquirenti rispettino specifiche soglie di frode.


DOMANDE FREQUENTI SULLA SCA


 Cos’è esattamente la Strong Client Authentication (SCA)?


La Strong Customer Authentication, nota anche come “SCA”, comporta l’applicazione di nuove misure di sicurezza che renderanno i pagamenti con carta ancora più sicuri, in quanto questo sarà il modo in cui le banche emittenti identificheranno i titolari della carta quando ordineranno i pagamenti nei negozi faccia a faccia o online.


Queste nuove misure di sicurezza hanno iniziato ad essere applicate agli acquisti diretti a partire dal 14 settembre 2019. Per gli acquisti online inizierà ad essere applicato nei prossimi mesi, fino alla sua piena attuazione nel gennaio 2021.


Come influisce sui pagamenti effettuati nei negozi?


Attualmente l’autenticazione dei clienti nei negozi sicuri è stata effettuata chiedendo loro di inserire il numero della carta, la data di scadenza, il loro CVV e la chiave OTP a 4 cifre che è stata inviata al loro cellulare via SMS.


Dal momento in cui viene richiesto a SCA, quando un cliente effettua un acquisto in un negozio online, gli verrà chiesto di inserire il numero della carta e la data di scadenza, ma in aggiunta, la banca che ha emesso la carta utilizzata per effettuare l’acquisto richiederà 2 dei seguenti 3 tipi di fattori di autenticazione:


·       Conoscenzaqualcosa che conoscete, ad esempio la vostra password per l’online banking o determinate posizioni pin sulla vostra carta.


·       Possessoqualcosa che avete, ad esempio, l’App della banca collegata al vostro smartphone, o il cellulare dove ricevete le password una tantum che vengono inviate via SMS.


·       Ereditàqualcosa che “è”, per esempio, elementi biometrici come il riconoscimento facciale o le impronte digitali.


 Quali sono esattamente i fattori di autenticazione da richiedere?


Le banche emittenti chiederanno ai loro clienti titolari di carta i fattori di autenticazione più convenienti e di facile utilizzo in base alle loro preferenze in termini di utilizzo della tecnologia e al modo in cui si relazionano con loro.


Di conseguenza, l’esperienza d’acquisto di un cliente in un negozio può essere diversa a seconda della banca che ha emesso la carta che utilizza per effettuare il pagamento.


SCA deve essere applicato nella restituzione o nel rimborso?


No, poiché non sono considerate operazioni di pagamento.


Le transazioni attraverso le applicazioni di pagamento del commerciante che sono classificate come transazioni di e-commerce sono davvero e-commerce se l’acquirente è presente?


Sì, in quanto si tratta di operazioni avviate via Internet o di un dispositivo che può essere utilizzato per la comunicazione a distanza. Sono comprese le transazioni effettuate via Internet e le transazioni effettuate con il cellulare (nel caso di un acquisto via Internet, non si tratta di un acquisto “senza contatto”).


Negli acquisti di e-commerce, quando l’importo esatto non è noto al momento dell’acquisto, la SCA effettuato al momento dell’acquisto è valida per l’importo finale?


L’Autorità bancaria europea ha chiarito che sia nei casi in cui l’ordinante abbia pre-autorizzato il blocco di un importo massimo, sia nei casi in cui tale pre-autorizzazione non sia stata concessa, se l’importo finale è pari o inferiore all’importo concordato, l’operazione può essere eseguita senza dover richiedere nuovamente la SCA, ma se l’importo è maggiore, l’emittente dovrà richiedere la SCA o rifiutare l’operazione.


Come può un negozio essere su una whitelist?


La whitelist viene mantenuta dalla banca emittente ma viene creata dal cliente e solo lui può modificarla. È per questo motivo che l’Autorità bancaria europea ha stabilito che le banche emittenti non possono suggerire ai clienti nuovi ingressi o modifiche dei negozi. Tuttavia, nulla impedisce al commerciante di informare il suo cliente di questa possibilità e persino di suggerirgliela. Tuttavia, la whitelist deve essere effettuata nell’ambiente di emissione e richiede SCA.


Come si fa a capire se un negozio è su una whitelist?


Le entità emittenti non sono legalmente tenute a informare la banca acquirente o l’esercente se un’attività è inclusa nella lista bianca. La condivisione di tali informazioni senza il consenso esplicito del titolare della carta potrebbe violare la legge sulla protezione dei dati. Tuttavia, nulla impedisce al commerciante di ottenere queste informazioni dal proprio cliente.


D’altro canto, la decisione finale di applicare SCA a un’operazione è quella dell’entità emittente, per cui, seguendo i criteri di rischio, potrebbe decidere di applicare SCA a un’operazione, anche se l’operazione è stata inclusa nella sua whitelist.