PSD2: cos'è, significato, guida pratica alla direttiva europea sulla PSD2

La Direttiva europea sui servizi di pagamento (PSD2) è obbligatoria dal 1° gennaio 2021. Ma cos’è esattamente la PSD2 e come funziona questa normativa europea? Scopriamolo in questa guida pratica per ecommerce.

Le origini: la Payment Service Directive (PSD)

La prima direttiva sui pagamenti (PSD) è entrata in vigore il 1° aprile 2010. Permetteva di regolare i pagamenti all’interno dell’Unione Europea e lo scopo era quello di aumentare la sicurezza dei consumatori.

Questo testo normativo, però, ha dimostrato ben presto di non riuscire a tenere il passo con l’aumento esponenziale dei pagamenti online e dello sviluppo dell’ecommerce: la crescita del commercio elettronico ha implicato un aumentato anche del crimine informatico e quindi è sorta l’esigenza di tutelare sia i consumatori sia le imprese digitali.

Ecco perché, dopo appena 4 anni dalla introduzione della PSD, la Commissione Europea ha deciso di aggiornare la direttiva e, di conseguenza, di introdurre la PSD2.

Le principali novità della PSD2

Anche la PSD2 ha lo scopo di proteggere i pagamenti online. Lo fa attraverso dei sistemi innovativi che tutelano sia il consumatore che effettua l’acquisto, sia l’ecommerce che permette la disposizione di pagamento. Vediamo le principali novità della PSD2.

Autentificazione forte o "Strong Customer Authentication" (SCA)

Con questo termine si intende un processo di autenticazione “forte” del cliente. La SCA si applica per l’accesso al conto online o la presentazione di una disposizione di pagamento elettronico, ovvero, per qualsiasi tipo di azione che possa comportare all’utente rischi di frodi o abusi nei pagamenti online.

È la novità più importante per i siti di ecommerce: se prima della piena applicazione della PSD2 l’utente poteva effettuare un pagamento online semplicemente inserendo username e password, con la PSD2 questo non è più sufficiente. È necessario, infatti, implementare un secondo sistema di sicurezza.

In questo contesto, l'autenticazione forte o SCA si basa almeno su due fattori delle seguenti categorie:

• Conoscenza: qualcosa che solamente l’utente conosce (es. password, PIN o la risposta a una domanda particolare).
• Possesso: qualcosa che solamente l’utente possiede (es. numero di cellulare, indirizzo e-mail, token).
• Inerenza: qualcosa che l’utente è (es.: impronte digitali o riconoscimento facciale).

Le eccezioni all'autenticazione forte o SCA

I siti di ecommerce non devono implementare sempre l'autenticazione forte: la PSD2, infatti, prevede numerose eccezioni. È molto importante conoscerle per migliorare la user experience dell’utente ed evitare “controlli” in fase di pagamento non necessari.

Ecco le eccezioni più comuni all'autenticazione forte PSD2 in ambito ecommerce:

• Transazioni inferiori a 30 euro, a condizione che nell’arco di 24 ore i pagamenti non abbiano superato 100 euro o non si siano effettuate cinque transazioni.
• Transazioni a basso rischio di importo complessivo tra 30 e 500 euro. Nel caso in cui i servizi di pagamento indicano tassi di frodi entro determinati parametri.
• Abbonamenti o pagamenti regolari. L'autenticazione forte viene applicata solo in occasione del primo pagamento.
• Beneficiari “credibili”. Il titolare della carta potrà indicare uno o più ecommerce come “affidabili”. L'autenticazione forte viene quindi richiesta solo in occasione del primo pagamento.
• Pagamenti fuori dall’Europa. Se il cliente non risiede in Europa, l'autenticazione forte non si applica.

Questo significa che per i pagamenti sopra indicati non vi sono misure di sicurezza? Niente affatto. Significa solo che per questi pagamenti sarà sufficiente usare anche solo un fattore di sicurezza.

Elaborazione dei dati dalle terze parti

Altra novità introdotta con la PSD2 consiste nella possibilità di accesso alle informazioni relative al conto corrente dell’utente, alle transazioni effettuate nonché nella possibilità di disporre di ordini di pagamento attraverso terze parti.

Per “terze parti” si intendono tutte quelle società che offrono servizi di pagamento previsti dalla PSD2 (è un tema che non approfondiamo in questo articolo, perché non coinvolge direttamente siti di ecommerce o web agency).

Il 3DS verrà sostituito dal 3DS 2.1

Il 3DS è un protocollo che, introducendo un meccanismo di autenticazione a due fattori quando si effettua un pagamento online, incrementa la sicurezza dell’acquirente.

Tuttavia, un sostanziale miglioramento della protezione degli acquirenti arriva dal passaggio al protocollo 3DS 2.1: infatti, attualmente il protocollo 3DS ha molti limiti, tra cui l’utilizzo di una schermata pop-up avente un URL diverso e l’obbligo dell’utente di memorizzare una password.

Con l’introduzione del protocollo 3DS 2.1, le problematiche del precedente protocollo verranno risolte. La 3DS 2.1 garantirà all’utente una migliore user experience in quanto l’utente potrà utilizzare dati biometrici, e questo gli permetterà di non doversi più ricordare alcuna password oltre che garantirgli una maggiore sicurezza.

Infine, l’adozione della 3DS 2.1 prevede lo spostamento delle responsabilità della transazione in capo alla società emittente la carta di pagamento per un eventuale frode. Tale responsabilità non sarà quindi più imputata al venditore.

Modifiche ai termini di vendita e alla privacy policy

L’introduzione della PSD2 implica anche modifiche ai termini di vendita e alla privacy policy. Non sono modifiche obbligatorie per legge.

È però consigliabile informare l’utente delle condizioni previste dalla PSD2 per completare l’acquisto. Questa modifica impatta sul contenuto dei termini di vendita. Inoltre, nella privacy policy è anche opportuno informare l’utente che i suoi dati personali potranno essere trattati per completare l’acquisto. Questa informativa è importante per evitare, ad esempio, che l’utente reclami il fatto di aver ricevuto richieste di autenticazione direttamente sul proprio cellulare.

Quali azioni devo intraprendere per il mio negozio Shopify?

Se utilizzate Shopify Payments o Stripe per elaborare i pagamenti con carta, il vostro negozio è già conforme alla PSD2 e non dovrete fare nulla.

Se utilizzate gateway di pagamento di terze parti, verificate la conformità PSD2 a seconda della vostra situazione:

• Se utilizzate un gateway di pagamento di terze parti abilitato a 3D Secure per Shopify, assicuratevi di essere iscritti a Cardinal, un provider 3D Secure che si integra con molti gateway di pagamento di terze parti disponibili su Shopify. Una volta creato il vostro account Cardinal, vi  verrà richiesto di andare sulla dashboard Shopify in Impostazioni > Gestori dei pagamenti per accedere a Cardinal.
• Se utilizzate un gateway di pagamento di terze parti che non è compatibile con 3D Secure per Shopify, dovrete passare a un gateway compatibile.
• Se utilizzate un altro gateway di pagamento di terze parti, verificate la conformità con il vostro provider.

Considerazioni finali

Lo scopo della PSD2 è quello di tutelare i consumatori europei: l’UE persegue l’obiettivo di facilitare la libera circolazione tra i paesi europei, e tra i mezzi applicati per il perseguimento di questo obiettivo è necessario aggiungere la direttiva PSD2, la quale, grazie ad una previsione di protocolli di pagamento online sicuri e volti a migliorare l‘esperienza di acquisto per l’acquirente, ha appunto questo scopo. Il consumatore, grazie alla maggiore sicurezza e uniformità tra i paesi europei, sarà maggiormente incentivato ad effettuare transazioni online anche in siti ecommerce di un altro paese europeo.

I maggiori adempimenti per conformarsi a questa direttiva sono stati effettuati dalle banche e dagli istituti di pagamento. I titolari di un ecommerce dovranno solamente assicurarsi che il loro sito sia a norma e che disponga di un processo di autenticazione forte del cliente.

In conclusione, queste modifiche normative sono a vantaggio dei consumatori europei e volte a tutelarli dalle frodi nelle quali possono incorrere effettuando pagamenti online. Una maggiore sicurezza del consumatore porterà indubbiamente innumerevoli vantaggi agli stessi siti ecommerce.

Infine, per vendere online rispettando tutte gli obblighi legali, vi consigliamo di leggere gli altri articoli della nostra sezione Adempimenti legali.

Note sull’Autore Lorenzo Grassano è pioniere del diritto dell’ecommerce e della privacy. Assiste web agency, siti e start-up italiani e stranieri. Da quando ha fondato LegalBlink, generatore di documenti legali specifico per ecommerce e con un team di legali a supporto, acquista tutto solo online.