La direttiva europea sui servizi di pagamento, detta anche PSD2, nasce in seguito alla continua evoluzione dell’utilizzo di pagamenti elettronici, anche attraverso dispositivi mobili, grazie allo sviluppo di nuove tecnologie.
Come nasce la Payment Service Directive
La prima direttiva sui pagamenti (PSD) entrata in vigore nel 2010, è nata con lo scopo di tutelare i consumatori negli acquisti online e regolare i pagamenti all’interno dell’UE.
Questo testo normativo però, ha dimostrato la sua debolezza in quanto non rimaneva al passo con lo sviluppo dell’e-commerce e con la crescita esponenziale dei pagamenti online. Infatti, con l’aumento del cyber crimine e le truffe online, si è fatta avanti sempre più l’esigenza di rafforzare la sicurezza degli acquisti sia lato utenti sia lato imprese digitali.
Pertanto dopo 4 anni, la Commissione Europea ha deciso di aggiornare la direttiva introducendo la PSD2.
Lo scopo della PSD2
Lo scopo della direttiva è quello di migliorare la tutela degli utenti dei servizi di pagamento, aumentare la trasparenza e la sicurezza, implementando efficienza e innovazione in questo ambito, che essendo in costante crescita, spesso si rivela privo di adeguata tutela normativa. Con la PSD2 si vuole, quindi, promuovere una maggiore concorrenza sul mercato dei pagamenti e dare maggiore apertura alle informazioni dei conti correnti bancari.
Tra le principali novità di questa nuova direttiva vi è sicuramente la protezione dei pagamenti con carte, tutelando attraverso avanzati sistemi informatici, sia l’acquirente che l’e-commerce. Vediamo insieme le novità introdotte.
1. Autenticazione Forte (SCA)
La Strong Customer Authentication è il processo di autenticazione “forte” per il cliente. Questo tipo di sistema di sicurezza si applica principalmente durante l’accesso ad un conto online o nel momento di un pagamento digitale che per qualsiasi tipo di azione, possa comportare frodi.
E’ una novità molto importante, in quanto se nella prima applicazione della PSD l’utente effettuava un pagamento online tramite la registrazione o l’accesso inserendo username e password, adesso non basta più. E’ necessario, infatti, implementare un secondo sistema di autenticazione che si basa sull’utilizzo di almeno due di questi fattori:
- conoscenza: all’utente viene richiesto un’ulteriore pin che solo lui conosce oppure viene posta una domanda “segreta” che ha una risposta che solo l’interessato conosce;
- possesso: all’utente può essere richiesto qualcosa che solo lui ha, quindi un numero di cellulare, un indirizzo e-mail o un token;
- inerenza: all’utente può essere richiesto un riconoscimento tramite facial ID o impronta digitale.
L’autenticazione forte, però, non è sempre necessaria. Un e-commerce può evitare di implementarla se:
- le transazioni sono inferiori a 30 euro a condizione che nell’arco di 24 ore i pagamenti non abbiano superato 100 euro o non si siano effettuate cinque transazioni.
- le transazioni sono a basso rischio di importo complessivo tra 30 e 500 euro. Nel caso in cui i servizi di pagamento indicano tassi di frodi entro determinati parametri.
- gli abbonamenti o i pagamenti sono regolari. L’autenticazione forte viene applicata solo in occasione del primo pagamento.
- i beneficiari risultano “credibili”. Il titolare della carta potrà indicare uno o più e-commerce come “affidabili”. L’autenticazione forte viene quindi richiesta solo in occasione del primo pagamento.
- i pagamenti sono fuori dall’Europa. Se il cliente non risiede in Europa, l’autenticazione forte non si applica.
2. Elaborazione di dati da “terze parti”
Altra novità della PSD2 consiste nella possibilità di accesso alle informazioni relative al conto corrente dell’utente, alle transazioni effettuate nonché nella possibilità di disporre di ordini di pagamento attraverso terze parti.
Per “terze parti” si intendono tutte quelle società che offrono servizi di pagamento previsti dalla PSD2.
3. Il 3DS verrà sostituito dal 3DS 2.1
Il 3DS è un protocollo che si effettua quando si richiede l’autenticazione a due fattori, che durante un pagamento online, aumenta la sicurezza di un acquirente. Un passaggio importante è stato fatto quando il 3DS è stato sostituito dal migliorativo 3DS 2.1 che risolve alcune problematiche relative al primo protocollo, garantendo una migliore user experience.
4. Modifiche ai termini di Privacy Policy e Vendita
È consigliabile informare l’utente delle condizioni previste dalla PSD2 affinché l’acquisto vada a buon fine. Questa modifica impatta sul contenuto dei termini di vendita. Inoltre, nella privacy policy è anche opportuno informare l’utente che i suoi dati personali potranno essere trattati per completare l’acquisto. Questa informativa è importante per evitare, ad esempio, che l’utente reclami il fatto di aver ricevuto richieste di autenticazione direttamente sul proprio cellulare.
Quali azioni intraprendere se hai un e-commerce?
Se si ha un e-commerce con Shopify il vostro negozio è già conforme alla PSD2 e non dovrete fare nulla.
Se utilizzate gateway di pagamento di terze parti, verificate la conformità PSD2 a seconda della vostra situazione:
- Se utilizzate un gateway di pagamento di terze parti abilitato a 3D Secure per Shopify, assicuratevi di essere iscritti a Cardinal, un provider 3D Secure che si integra con molti gateway di pagamento di terze parti disponibili su Shopify. Una volta creato il vostro account Cardinal, vi verrà richiesto di andare sulla dashboard Shopify in Impostazioni > Gestori dei pagamenti per accedere a Cardinal.
- Se utilizzate un gateway di pagamento di terze parti che non è compatibile con 3D Secure per Shopify, dovrete passare a un gateway compatibile.
- Se utilizzate un altro gateway di pagamento di terze parti, verificate la conformità con il vostro provider.
Vuoi vendere online rispettando tutti gli obblighi legali? Contattaci per una consulenza gratuita!