Payment Services Directive 2 (PSD2) e autenticazione forte del cliente – FAQ

La PSD2 è entrata in vigore il 13/01/2018. Emanata dalla Commissione europea nell'ambito di una regolamentazione più ampia in materia di servizi di pagamento all'interno dell'Europa, questa normativa è stata recepita nell'ordinamento nazionale dei singoli stati membri dell'UE.

Tuttavia, i regolamenti inerenti alla PSD2 si applicano solo a partire dal 14/09/2019.

Uno degli obiettivi principali è quello di rendere più sicuri i pagamenti online dei clienti. Una delle misure più importanti è l'introduzione della cosiddetta autenticazione forte del cliente obbligatoria. L'autenticazione va effettuata prima di procedere ai pagamenti online che richiedono un'intermediazione bancaria (ad es. carta di credito o bonifico online).

Per questo motivo, negli ultimi mesi le banche hanno contattato i propri clienti per informarli rispetto alle modifiche e all'adeguamento delle proprie Condizioni Generali di Contratto.

In futuro, prima di eseguire il pagamento online, le banche dovranno verificare l'identità con due dei seguenti fattori:

• Oggetti posseduti solo dal cliente (ad es. carta di credito, smartphone)
• Informazioni note solo al cliente (ad. es. PIN)
• Caratteristiche fisiche o personali possedute solo dal cliente (ad es. impronta digitale, tratti del viso).

Ciò significa che, prima di procedere al pagamento, il cliente dovrà sbloccarlo con l'autenticazione forte, per esempio usando l'impronta digitale e lo smartphone.

Questa procedura, cosiddetta biometrica, serve a semplificare le operazioni per il cliente, che avrà sempre a disposizione ciò che serve. In questo caso, l'impronta digitale e lo smartphone.

Le password tradizionali non basteranno più.

In caso di pagamento con carta di credito, le banche chiederanno al venditore di eseguire l'autenticazione forte del cliente. Pertanto, i venditori dovranno fare in modo che i clienti possano dimostrare la propria identità tramite una pagina della banca, che dovrà comparire sulla pagina del venditore. In questo modo si vuole impedire che persone non autorizzate abbiano accesso al conto corrente del cliente o che effettuino pagamenti a suo nome.

L'autenticazione forte del cliente sarà richiesta anche per i bonifici effettuati tramite terzi, per esempio SOFORT in Germania o iDeal nei Pesi Bassi.

No. La PSD2 prevede alcune eccezioni rispetto all'autenticazione forte del cliente.
L'autenticazione forte del cliente non serve quando:

• La banca del cliente ritiene che il rischio che il pagamento non venga effettuato dal cliente stesso, bensì da terzi non autorizzati, sia basso.
• L'importo da pagare non supera i 30 EUR. Nota: le banche devono però chiedere di nuovo un'autenticazione forte del cliente se dopo l'ultima autenticazione sono stati effettuati cinque pagamenti o se la somma dei pagamenti dopo l'ultima autenticazione supera i 100 EUR.
• Il cliente ha segnalato alla propria banca che il venditore beneficiario del pagamento è affidabile. Solitamente è possibile effettuare la segnalazione contestualmente alla procedura di autenticazione.

Importante:
la banca del cliente può richiedere l'autenticazione forte del cliente in qualsiasi momento, senza tenere conto delle eccezioni. Non vi è pertanto alcuna garanzia che il cliente venga esonerato dall'autenticazione forte del cliente.

L'autenticazione forte del cliente non serve quando:

• Il cliente autorizza il venditore all'addebito dei pagamenti. Ciò avviene durante la registrazione del cliente a un determinato servizio del venditore. In questa fase, il cliente registra anche tutti i dati necessari per il pagamento e procede all'autenticazione forte del cliente.
• Il pagamento avviene nell'ambito di un abbonamento. In questo caso, il cliente deve effettuare l'autenticazione forte del cliente una sola volta, all'atto della stipula dell'abbonamento.

Sarà la banca del cliente a decidere quali procedure di autenticazione forte offrire. Il venditore non ha alcun potere decisionale in merito.

Il venditore, inoltre, non avrà alcuna informazione rispetto alla procedura di autenticazione forte scelta dal cliente.

Ciò è dovuto al fatto che la pagina della banca o di terzi provider di pagamento (come iDeal) preposta all'autenticazione forte del cliente viene visualizzata tramite iframe.

Il venditore non ha alcuna responsabilità rispetto al contenuto delle pagine visualizzate tramite iframe e non vi può nemmeno accedere.

Il venditore non è a conoscenza della procedura scelta dal cliente nemmeno in caso di metodi di pagamento nei quali il cliente venga rimandato al sito del provider di servizi di pagamento (ad es. SOFORT).

3D Secure è un protocollo progettato per garantire la sicurezza delle transazioni online con carta di credito. Lo scopo è quello di minimizzare il rischio di frodi chiedendo al cliente di confermare la propria identità con un codice o una password.

3D Secure 2.0 è l'evoluzione di questo protocollo, resa necessaria per adeguarsi alle richieste della PSD2, e più precisamente all'autenticazione forte del cliente.

In futuro, quindi, l'autenticazione forte del cliente per i pagamenti effettuati con carta di credito avverrà con 3D Secure 2.0.

L'autenticazione forte del cliente tramite 3D Secure 2.0 avverrà, per esempio, tramite un'app della banca del cliente. Sulla pagina del venditore verrà visualizzata la pagina della banca, nella quale verrà chiesto al cliente di aprire la app sul proprio smartphone. A seconda della procedura scelta, l'app verificherà, per esempio, le impronte digitali tramite lo smartphone.

Le banche offriranno presumibilmente diverse procedure. Sarà il cliente a scegliere quale usare.

Altre procedure potrebbero essere: password valide una sola volta che il cliente visualizzerà in un'apposita app, oppure il riconoscimento del volto tramite l'app della banca del cliente.

In futuro, anche i provider di servizi di pagamento online come SOFORT, iDeal, Multibanco p Przelewy24 dovranno effettuare l'autenticazione forte del cliente.

Non tutti i venditori e le banche sono pronti per supportare l'autenticazione forte del cliente a partire dal 14/09/2019.

Per questo motivo, il 21/06/2019 la European Banking Authority (EBA) ha consigliato agli stati o alle relative autorità di vigilanza finanziaria preposte all'attuazione della PSD2 di concedere una delega.

Quindi, in alcuni stati tale scadenza verrà rispettata, mentre in altri è prevista una delega.
Tuttavia, anche negli stati in cui verrà concessa una delega, alcune banche potrebbero essere già pronte per l'autenticazione forte del cliente e richiederla a partire dal 14/09/2019.

Per sapere quando e in che forma verrà introdotta l'autenticazione forte del cliente presso la tua banca, ti invitiamo a rivolgerti alla banca stessa.