Nuova proposta di Direttiva (PSD3) e Regolamento Europeo (PSR) nel mercato dei servizi di pagamento: fra ambito di applicazione e Strong Customer Authentication
La nuova proposta di Direttiva (PSD3) e Regolamento Europeo (PSR) introdurrà diverse novità per garantire sempre maggior sicurezza nelle disposizioni di pagamento. Alle banche sarà richiesto di interloquire con i nuovi soggetti del mercato e rivedere i processi in tema di autenticazione forte del cliente.
A cura di Avv. Maria Chatzikonstanti e Dott.ssa Beatrice Martini
La revisione della PSD2 ha portato la Commissione a varare una Proposta di Direttiva e Regolamento Europeo che mira a garantire la sicurezza dei pagamenti all’interno di un mercato integrato dell’UE. Tale proposta, approvata in prima lettura dal Parlamento Europeo in data 23 aprile 2024, è attualmente oggetto di un negoziato presso il Consiglio Europeo, a pochi passi dalla sua entrata in vigore.
Con l’adozione del Pacchetto saranno introdotte diverse novità.
Anzitutto, si è ampiamente discusso dell’applicabilità del Pacchetto a nuovi soggetti come i Digital Wallet Providers.
Tali soggetti, utilizzando un sistema criptato, fungono da tramite per permettere di effettuare operazioni di pagamento.
Il Pacchetto si applicherà solo alla sottocategoria dei c.d. “Staged Wallet” (i più comuni Paypal e Satispay, che hanno una funzione di vera e propria custodia dei fondi), mentre i c.d. “Portafogli pass through” (come Apple Pay o Google Pay) rimarranno ancora esclusi dal Pacchetto.
Solo alcune norme potranno essere applicate anche a questi ultimi, fra cui rientrerà sicuramente la previsione della Strong Customer Authentication.
In caso di mancato utilizzo del sistema di autenticazione forte da parte di questi portafogli, le banche potranno essere ritenute co-responsabili con questi soggetti.
Nei prossimi tempi sarà quindi necessario per le banche tematizzare le modalità di controllo di questi portafogli.
Sempre in tema di Strong Customer Authentication spiccano ulteriori rilevanti novità.
Come noto, tale sistema di autenticazione è stato introdotto dalla Direttiva PSD2 e rappresenta una procedura di sicurezza a due fattori per una verifica sicura dell’identità dell’utente, nell’ottica di proteggerne i pagamenti.
Visto il progressivo adattamento dei truffatori all’utilizzo di tale sistema, la nuova normativa si è posta l’obiettivo di implementare maggiormente la sicurezza dei pagamenti e preservare, al tempo stesso, la celerità delle disposizioni.
A tal fine, i cambiamenti attualmente annunciati sono molteplici. In particolare, saranno introdotti:
- un obbligo di rivedere i processi di SCA per garantirne l’accessibilità anche con mezzi differenti dallo smartphone;
- un obbligo di verifica della corrispondenza tra il nome del beneficiario e l’IBAN associato prima di confermare la transazione (obbligo che, attualmente, è previsto solo per i bonifici istantanei e verrà esteso anche ai bonifici ordinari);
- un ampliamento della categoria dell’inerenza, sistema di accesso tramite uno strumento che identifica le caratteristiche biometriche dell’utente, giudicato il più “sicuro” per l’utente. Tale elemento dovrà essere implementato tramite l’inclusione di caratteristiche ambientali e comportamentali dell’utente (a titolo esemplificativo: coordinate sulla sua ubicazione, sul momento in cui viene effettuata l’operazione e sul dispositivo utilizzato).
Inoltre, i prestatori dei servizi di pagamento saranno ritenuti pienamente responsabili in caso di “frodi con furto d’identità”, che si realizzando quando un utente viene manipolato da un terzo che si finge affiliato alla banca e ne utilizza i dati di contatto per indurre il correntista in inganno. In questi casi, il solo limite alla responsabilità delle banche sarà l’azione fraudolenta o gravemente negligente del cliente.
Per stare al passo con la normativa occorrerà che le banche, fin da subito, adeguino i meccanismi interni alle disposizioni che entreranno in vigore, implementando i propri sistemi di sicurezza e monitoraggio – anche preventivo – delle operazioni. Si renderanno necessari accantonamenti prudenziali per far fronte a una normativa che prevede obblighi sempre più stringenti a carico dei prestatori dei servizi di pagamento.
Con l’adozione del Pacchetto saranno introdotte diverse novità.
Anzitutto, si è ampiamente discusso dell’applicabilità del Pacchetto a nuovi soggetti come i Digital Wallet Providers.
Tali soggetti, utilizzando un sistema criptato, fungono da tramite per permettere di effettuare operazioni di pagamento.
Il Pacchetto si applicherà solo alla sottocategoria dei c.d. “Staged Wallet” (i più comuni Paypal e Satispay, che hanno una funzione di vera e propria custodia dei fondi), mentre i c.d. “Portafogli pass through” (come Apple Pay o Google Pay) rimarranno ancora esclusi dal Pacchetto.
Solo alcune norme potranno essere applicate anche a questi ultimi, fra cui rientrerà sicuramente la previsione della Strong Customer Authentication.
In caso di mancato utilizzo del sistema di autenticazione forte da parte di questi portafogli, le banche potranno essere ritenute co-responsabili con questi soggetti.
Nei prossimi tempi sarà quindi necessario per le banche tematizzare le modalità di controllo di questi portafogli.
Sempre in tema di Strong Customer Authentication spiccano ulteriori rilevanti novità.
Come noto, tale sistema di autenticazione è stato introdotto dalla Direttiva PSD2 e rappresenta una procedura di sicurezza a due fattori per una verifica sicura dell’identità dell’utente, nell’ottica di proteggerne i pagamenti.
Visto il progressivo adattamento dei truffatori all’utilizzo di tale sistema, la nuova normativa si è posta l’obiettivo di implementare maggiormente la sicurezza dei pagamenti e preservare, al tempo stesso, la celerità delle disposizioni.
A tal fine, i cambiamenti attualmente annunciati sono molteplici. In particolare, saranno introdotti:
- un obbligo di rivedere i processi di SCA per garantirne l’accessibilità anche con mezzi differenti dallo smartphone;
- un obbligo di verifica della corrispondenza tra il nome del beneficiario e l’IBAN associato prima di confermare la transazione (obbligo che, attualmente, è previsto solo per i bonifici istantanei e verrà esteso anche ai bonifici ordinari);
- un ampliamento della categoria dell’inerenza, sistema di accesso tramite uno strumento che identifica le caratteristiche biometriche dell’utente, giudicato il più “sicuro” per l’utente. Tale elemento dovrà essere implementato tramite l’inclusione di caratteristiche ambientali e comportamentali dell’utente (a titolo esemplificativo: coordinate sulla sua ubicazione, sul momento in cui viene effettuata l’operazione e sul dispositivo utilizzato).
Inoltre, i prestatori dei servizi di pagamento saranno ritenuti pienamente responsabili in caso di “frodi con furto d’identità”, che si realizzando quando un utente viene manipolato da un terzo che si finge affiliato alla banca e ne utilizza i dati di contatto per indurre il correntista in inganno. In questi casi, il solo limite alla responsabilità delle banche sarà l’azione fraudolenta o gravemente negligente del cliente.
Per stare al passo con la normativa occorrerà che le banche, fin da subito, adeguino i meccanismi interni alle disposizioni che entreranno in vigore, implementando i propri sistemi di sicurezza e monitoraggio – anche preventivo – delle operazioni. Si renderanno necessari accantonamenti prudenziali per far fronte a una normativa che prevede obblighi sempre più stringenti a carico dei prestatori dei servizi di pagamento.