PSD2: cos'è, significato e guida pratica alla direttiva europea

I pagamenti sono un aspetto cruciale dell’esperienza di acquisto, e, soprattutto nel caso delle transazioni online, è fondamentale garantire affidabilità e sicurezza.

Se operi nello Spazio Economico Europeo (SEE), molto probabilmente avrai sentito parlare della Direttiva sui pagamenti (PSD2), che disciplina i requisiti necessari per aumentare la protezione contro le frodi nei pagamenti online.

La Direttiva europea sui servizi di pagamento (PSD2) è entrata ufficialmente in vigore in Italia l’1 gennaio 2021. Scopri come funziona la normativa in questa guida pratica.

Le origini: la Payment Service Directive (PSD)

La prima direttiva sui pagamenti (PSD) è entrata in vigore l’1 aprile 2010. Gli scopi principali erano quelli di regolare i pagamenti all'interno dell'Unione Europea e di aumentare la sicurezza dei consumatori.

Questo testo normativo, però, ha dimostrato ben presto di non riuscire a tenere il passo con l'aumento esponenziale dei pagamenti online e dello sviluppo dell'ecommerce: di pari passo con la crescita del commercio elettronico, anche i crimini informatici sono divenuti sempre più diffusi. In questo scenario è emersa l'esigenza di tutelare sia i consumatori sia le imprese digitali.

Ecco perché, dopo appena 4 anni dalla introduzione della PSD, la Commissione Europea ha deciso di aggiornare la direttiva, introducendo la PSD2.

Novità introdotte dalla PSD2

Anche la PSD2 ha lo scopo di proteggere i pagamenti online. Lo fa attraverso dei sistemi innovativi che tutelano sia il consumatore che effettua l'acquisto, sia l'ecommerce che abilita i pagamenti.

Per assicurarti di essere conforme a queste disposizioni, dovrai abilitare l’autenticazione forte del cliente (SCA), indispensabile per ridurre sensibilmente la potenziali frodi con carta non presente. Scopri quali sono le principali novità introdotte dalla PSD2.

Autenticazione forte del cliente: cos’è

L’autenticazione forte del cliente (SCA - Strong Customer Authentication) viene richiesta per l'accesso al conto online o per l’esecuzione di un pagamento elettronico, al fine di proteggere l'utente dal rischio di frodi o abusi nei pagamenti online.

È la novità più importante per i siti ecommerce: se prima dell’entrata in vigore ufficiale della PSD2 l'utente poteva effettuare un pagamento online semplicemente inserendo username e password, con la PSD2 questo non è più sufficiente. È necessario, infatti, implementare un secondo sistema di sicurezza.

In questo contesto, l'autenticazione forte o SCA si basa almeno su due fattori delle seguenti categorie:

• Conoscenza: qualcosa che solamente l'utente conosce (es. password, PIN, passphrase, frase segreta, sequenza o risposta a una domanda particolare).
• Possesso: qualcosa di proprietà esclusiva dell'utente (es. numero di cellulare, tablet, dispositivi indossabili, token hardware, smart card, badge, indirizzo email).
• Inerenza: qualcosa che identifica in modo univoco l'utente (es. impronte digitali, riconoscimento facciale, rilevamento vocale, scansione dell'iride o della retina, firma Digital DNA).

Come funziona la SCA

In passato, era possibile accedere agli account e autorizzare i pagamenti semplicemente con "qualcosa che il cliente conosce", come un codice PIN. La SCA richiede di più, garantendo una sicurezza ancora maggiore.

Le password possono essere divulgate o hackerate. Le carte di credito e di debito possono essere perse o rubate. Ma introducendo l’obbligo di inserire una password da un dispositivo specifico o di fornire una scansione delle impronte digitali insieme al PIN della carta di credito, l'intero processo diventa molto più sicuro.

La SCA viene implementata attraverso un protocollo chiamato 3D Secure, una tecnologia supportata dalla maggior parte delle carte europee. Questo protocollo aggiunge un ulteriore livello di sicurezza che i clienti devono configurare durante il checkout per autenticarsi.

I tuoi clienti vedranno l'indicatore 3D Secure, supportato dalla maggior parte delle carte europee, apparire sugli ordini e questo li inviterà ad autenticarsi ulteriormente con un processo di autenticazione a più fattori.

Ecco le modalità più comuni:

• Codice monouso inviato tramite SMS allo smartphone del cliente
• Autenticazione tramite impronta digitale via app bancaria
• Riconoscimento facciale tramite smartphone

Il fatto che molti dispositivi intelligenti siano compatibili con questi tipi di autenticazione intrinseca aiuta a rendere ancora più facile per i clienti effettuare acquisti sicuri.

Una volta completato questo passaggio SCA, eventuali storni fraudolenti saranno un problema della banca, non tuo.

Le eccezioni all'autenticazione forte o SCA

• Transazioni a basso valore
• Transazioni a basso rischio
• Transazioni ricorrenti
• Transazioni avviate dal commerciante
• Beneficiari “credibili”
• Pagamenti fuori dall’Europa
• Transazioni da parte di società
• Transazioni MOTO

I siti di ecommerce non devono implementare sempre l'autenticazione forte: la PSD2, infatti, prevede numerose eccezioni. È molto importante conoscerle per migliorare la user experience dell'utente ed evitare verifiche in fase di pagamento non necessarie.

Ecco le eccezioni più comuni all'autenticazione forte PSD2 in ambito ecommerce.

Transazioni a basso valore

Transazioni inferiori a 30 euro, a condizione che nell'arco di 24 ore i pagamenti non abbiano superato 100 euro o non si siano effettuate cinque transazioni. Tuttavia, la banca emittente o il fornitore della carta tiene traccia del numero di volte in cui viene applicata questa esenzione, e richiede la SCA al raggiungimento della sesta transazione di basso valore per garantire che i pagamenti siano sicuri e intenzionali.

Transazioni a basso rischio

Le transazioni a basso rischio vengono identificate attraverso un'analisi del rischio transazionale (TRA). I fornitori di servizi di pagamento sono in grado di condurre analisi del rischio in tempo reale per decidere se la SCA deve essere applicata o meno. Si applicano eccezioni nel caso in cui i servizi di pagamento indicano tassi di frodi entro questi parametri:

• 0,13% per transazioni fino a €100
• 0,06% per transazioni fino a €250
• 0,01% per transazioni fino a €500

Transazioni ricorrenti

Abbonamenti o pagamenti regolari. L'autenticazione forte viene applicata solo in occasione del primo pagamento. I pagamenti automatici successivi per gli abbonamenti saranno esenti da questi requisiti di sicurezza.

Transazioni avviate dal commerciante

Le transazioni avviate dal merchant (MIT) non sono considerate esenti ma "fuori ambito". Per questo tipo di pagamento viene utilizzata una carta già memorizzata. Come per le transazioni ricorrenti, il primo pagamento deve passare attraverso l'autenticazione forte del cliente. Tuttavia, non è prevista per i pagamenti aggiuntivi, di solito perché il cliente ha accettato attraverso un contratto o un altro tipo di accordo che le transazioni successive siano considerate verificate.

Beneficiari "credibili"

Il titolare della carta potrà indicare uno o più ecommerce come "affidabili". I clienti stessi sono in grado di inserire in una whitelist le aziende con cui lavorano regolarmente o di cui si fidano, così i loro pagamenti non avranno più bisogno di essere autenticati. La banca del consumatore terrà quindi traccia di questo elenco di "beneficiari fidati" in modo che il consumatore possa saltare il processo SCA. L'autenticazione forte viene quindi richiesta solo in occasione del primo pagamento.

Pagamenti fuori dall'Europa

Se il cliente non risiede in Europa, l'autenticazione forte non si applica. Le transazioni tra aree geografiche diverse sono transazioni effettuate da consumatori che vivono in un’area geografica diversa o in cui non è prevista l’applicazione dei parametri delle normative PSD2 e sono quindi fuori dall'ambito dei requisiti SCA.

Transazioni da parte di società

Le transazioni aziendali o B2B sono quelle che avvengono tra due società. Quando questo pagamento viene effettuato con una carta specificata per transazioni aziendali, questi pagamenti sono anche esenti dai requisiti SCA.

Transazioni MOTO

Le transazioni MOTO, o transazioni per ordini tramite email o telefono, sono da considerarsi fuori ambito. Poiché questi tipi di pagamenti non sono considerati pagamenti elettronici o online, non rientrano nei requisiti SCA.

Quando si applica la SCA

La SCA si applica a tutti i pagamenti online effettuati all'interno dell'Unione Europea. Questo significa che il cliente deve risiedere all'interno dell'UE e avere effettuato un acquisto da un'azienda che opera anch'essa nell'UE.

Tuttavia, sempre più paesi stanno adottando requisiti simili al fine di prevenire pagamenti fraudolenti e proteggere i commercianti e i fornitori di servizi di pagamento.

Come garantire la conformità SCA

Se la tua attività opera all'interno del SEE, dovrai rispettare gli obblighi previsti da PSD2 e SCA, altrimenti le banche possono rifiutare gli acquisti. Per farlo, dovrai semplicemente fare una di queste cose (o entrambe):

• Applica 3D Secure ai pagamenti con carte di credito e di debito
• Utilizza un portale di pagamento, come Shopify Payments o Apple Pay, configurati automaticamente per garantire la conformità agli standard PSD2 SCA

Con Shopify puoi applicare automaticamente 3D Secure agli acquisti effettuati nel SEE, garantendo la conformità.

Gli utenti possono visualizzare gli ordini che hanno utilizzato la SCA per l'elaborazione dei pagamenti all'interno della loro pagina degli ordini Shopify. Gli ordini pagati con carte di debito o di credito che sono passati attraverso 3D Secure avranno la dicitura 3D Secure (3DS) accanto alla cronologia dell'ordine.

Questo significa che l'identità dell'acquirente è stata confermata dalla banca che ha emesso la carta, e la transazione verrà registrata come a basso rischio per impostazione predefinita. Non è richiesta alcuna azione da parte del commerciante nella pagina degli ordini per queste transazioni.

Elaborazione dei dati dalle terze parti

Altra novità introdotta con la PSD2, consiste nella possibilità di accedere alle informazioni relative al conto corrente dell'utente, alle transazioni effettuate nonché nella possibilità di disporre ordini di pagamento attraverso terze parti. Per "terze parti" si intendono tutte quelle società che offrono servizi di pagamento previsti dalla PSD2.

Protocollo 3DS Secure 2

Il 3DS è un protocollo che, introducendo un meccanismo di autenticazione a due fattori quando si effettua un pagamento online, incrementa la sicurezza dell'acquirente.

Il passaggio al protocollo 3DS 2.1 ha messo in luce diversi limiti, tra cui l'utilizzo di una schermata pop-up con un URL diverso e l'obbligo dell'utente di memorizzare una password.

L'introduzione a 3DS 2.2 ha risolto le problematiche del precedente protocollo. La 3DS 2.2 garantisce all'utente maggiore facilità d’uso grazie all’utilizzo di dati biometrici, così non dovrà più ricordare alcuna password e le transazioni saranno più sicure.

Infine, l'adozione della 3DS 2.2 prevede lo spostamento delle responsabilità della transazione in capo alla società emittente la carta di pagamento per un eventuale frode. Tale responsabilità non sarà quindi più imputata al venditore.

Quali azioni devo intraprendere per il mio negozio Shopify?

Se utilizzi Shopify Payments per elaborare carte di credito o di debito in Germania, Danimarca, Irlanda, Paesi Bassi, Austria, Belgio, Svezia, Spagna o Regno Unito, non è richiesta alcuna azione da parte tua.

Shopify Payments è ottimizzato per ridurre al minimo l'uso di 3D Secure. Utilizzerà 3D Secure solo quando assolutamente richiesto dalla banca emittente per autorizzare una transazione.

Se usi Stripe per elaborare i pagamenti con carta, il tuo negozio è già conforme alla PSD2 e non potrai offrire la SCA.

I metodi di pagamento locali come iDeal e Klarna, e i wallet come Google Pay, Apple Pay e PayPal Express, sono già conformi alla normativa e non richiedono alcuna azione.

Se utilizzi gateway di pagamento di terze parti, verifica la conformità PSD2 a seconda della tua situazione:

• Se utilizzi un gateway di pagamento di terze parti abilitato a 3D Secure per Shopify, assicurati di iscriverti a Cardinal, un provider 3D Secure che si integra con molti gateway di pagamento di terze parti disponibili su Shopify. Una volta creato il tuo account Cardinal, ti verrà richiesto di andare sulla dashboard Shopify in Impostazioni > Gestori dei pagamenti per accedere a Cardinal.
• Se utilizzi un gateway di pagamento di terze parti che non è compatibile con 3D Secure per Shopify, dovrai passare a un gateway compatibile.
• Se utilizzi un altro gateway di pagamento di terze parti, verifica la conformità con il tuo provider.

Se svolgi la tua attività in paesi del SEE o dell'UE, è nell'interesse sia tuo che dei tuoi clienti assicurarvi di essere conformi e di offrire opzioni 3D Secure, o che il modo in cui accettate i pagamenti sia esente dalla SCA.

Considerazioni finali

Lo scopo della PSD2 è quello di tutelare i consumatori europei: l'UE persegue l'obiettivo di facilitare la libera circolazione tra i paesi europei, e la direttiva PSD2 è uno dei mezzi che usa per raggiungerlo. I suoi protocolli di pagamento online sicuri hanno l’obiettivo di migliorare l'esperienza di acquisto per l'utente. I consumatori, grazie alla maggiore sicurezza e uniformità tra i paesi europei, saranno maggiormente incentivati ad effettuare transazioni online anche in siti ecommerce di un altro paese europeo.

I maggiori adempimenti per conformarsi a questa direttiva sono stati effettuati dalle banche e dagli istituti di pagamento. I titolari di un ecommerce dovranno solamente assicurarsi che il loro sito sia a norma e che disponga di un processo di autenticazione forte del cliente.

In conclusione, queste modifiche normative sono a vantaggio dei consumatori europei e volte a tutelarli dalle frodi nelle quali possono incorrere effettuando pagamenti online. Una maggiore sicurezza del consumatore porterà indubbiamente innumerevoli vantaggi agli stessi siti ecommerce.

Infine, per vendere online rispettando tutte gli obblighi legali, ti consigliamo di leggere gli altri articoli della nostra sezione Adempimenti legali.