PSD2 e autenticazione forte del cliente: il vostro sito è pronto?

Sul nostro blog abbiamo già illustrato le principali caratteristiche della Direttiva sui Servizi di Pagamento n. 2366/2015 (la c.d. “PSD2”), che il 14 settembre 2019 entrerà in vigore in Italia.

Lo scopo della PSD2

La Direttiva introduce il concetto di “autenticazione forte”, il cui scopo è di incrementare il livello di sicurezza dei pagamenti elettronici e di assicurare al tempo stesso la protezione del consumatore stesso.

Infatti, la PSD2 si applica in particolare quando il consumatore:

1. Accede al proprio account di pagamento online.
2. Effettua un pagamento elettronico.

In cosa consiste l’autenticazione forte del cliente

L’autenticazione forte del cliente è un processo di autenticazione che si realizza in presenza di almeno due dei seguenti tre fattori:

1. Conoscenza. Qualcosa che solo il consumatore conosce (ad esempio, una password o un PIN). Segnaliamo che il numero di carta di credito con CVV e data di scadenza, nonché un ID utente non sono considerati come elementi che soddisfano il requisito della “conoscenza”.
2. Identità. Qualcosa riferito all'identità stessa del cliente (es.: una caratteristica biometrica come il riconoscimento vocale o del volto).
3. Possesso. Qualcosa che solo il cliente possiede (es.: un cellulare).

È possibile far utilizzare al consumatore un singolo dispositivo per l’autenticazione forte?

Certamente. È possibile far utilizzare ad esempio un cellulare, il quale potrà quindi essere utilizzato contemporaneamente per l'autenticazione del titolare della carta di credito che per il completamento dell’ordine di acquisto.

La PSD2 prevede alcune importanti eccezioni: ecco quelle più frequenti in ambito ecommerce.

In alcuni casi non è richiesta l’autenticazione forte del cliente.

Ecco le eccezioni che possono interessare il vostro business online.

1. Transazioni ricorrenti. Il caso del cliente che effettua in favore del vostro ecommerce “transazioni ricorrenti” (vale a dire operazioni di pagamento che prevedono sempre un determinato importo e beneficiario).
2. Transazioni di basso valore. In tal senso intendendosi una delle seguenti ipotesi:

   - Valore della transazione inferiore a Euro 30,00;

   - L'ammontare cumulativo degli acquisti precedenti l'ultima autenticazione forte del cliente è inferiore ad Euro 100,00;

   - Sono state effettuate fino ad un massimo di cinque transazioni con valore inferiore ad Euro 30,00; oppure, con un valore complessivo di massimo Euro 100,00.

3. Analisi del rischio della transazione. Tale esenzione consente di non applicare l’autenticazione forte per le transazioni che presentano un basso livello di rischio di frode. Le condizioni di applicazione di tale esenzione sono dettagliate negli standard fissati dall’EBA (l’Autorità Bancaria Europea) e riguardano le transazioni fino a un valore massimo di Euro 500,00.

L’applicazione di questa esenzione non può essere demandata al sito di ecommerce bensì al cosiddetto “Acquirer” (il prestatore del servizio di pagamento che ha firmato con voi un contratto di convenzionamento affinché possiate accettare i pagamenti con carta di credito o di debito effettuati sul vostro ecommerce). Sarà pertanto l'Acquirer a valutare se applicare l’esenzione e a esserne quindi responsabile.

Ecco come il vostro ecommerce deve affrontare la PSD2

L’autenticazione forte del cliente potrebbe impattare il modo in cui i consumatori si autenticheranno al vostro ecommerce e, conseguentemente, la loro esperienza di navigazione.

Le modalità di gestione dell’autenticazione forte e l’applicazione di eccezioni per offrire ai clienti un’esperienza di pagamento sicura costituirà uno dei fattori chiave di successo per il vostro ecommerce.

Ecco alcuni suggerimenti operativi per affrontare le nuove sfide poste dalla PSD2:

1. Informarsi. Informatevi sulle diverse soluzioni di pagamento che verranno rese disponibili in futuro dai diversi istituti di pagamento. In questo modo sarete sicuri di trovare la soluzione giusta per il vostro sito.
2. Sicurezza. Dovreste utilizzare istituti di pagamento che implementano e gestiscono interfacce di autenticazione che utilizzano protocolli di sicurezza chiamati “EMV 3DS” e “3DS 1.0” e rigettare fornitori che non supportano questi protocolli.
3. Documentazione legale. È molto importante che descriviate nelle condizioni generali di vendita del vostro sito a quali condizioni può applicarsi l’autenticazione forte del cliente. Inoltre, l’informativa privacy deve essere conforme a quanto previsto in materia dal Regolamento generale sulla protezione dei dati (GDPR).
4. Adeguamento. Dovrete chiedere ai vostri provider di allinearvi ai protocolli previsti dall’EMV 3DS per l’utilizzo delle carte di credito. Inoltre, dovrete apportare modifiche al sito adeguandolo ai protocolli EMV 3DS.

E se avete domande...

La PSD2 è una direttiva molto importante ma anche molto tecnica. Come sempre, per qualsiasi dubbio potete contattarci! 

Note sull’Autore Lorenzo Grassano (l.grassano@studiolegalegrassano.it) è titolare dello Studio Legale Grassano di Milano. Esperto di ecommerce e privacy law, assiste dal punto di vista legale siti e start-up italiani e stranieri. Da quando ha fondato LegalBlink, servizio di assistenza legale per web agency e merchant, acquista quasi tutto solo online.