Pagamenti online. La sicurezza della PSD2

7/2/20

Pagamenti online. La sicurezza della PSD2

Tra gli obiettivi dell'Unione Europea nella costruzione di un mercato unico efficiente vi è la realizzazione di un mercato comune dei servizi di pagamento.

In Spagna, dal 2009, sono state stabilite basi comuni nella regolamentazione della fornitura di servizi di pagamento, recependo il contenuto delle direttive europee (Direttiva 2007/64/CE).

Da allora, il progresso tecnologico ha reso necessario un adeguamento delle norme che regolano i mezzi di pagamento, dato che nuovi attori si stanno affermando in un mercato che va al di là di quello nazionale, e che rende necessarie modalità più affidabili per gli utenti di effettuare pagamenti online.

Lo sviluppo di un ambiente più sicuro e affidabile è alla base dell'approvazione di una nuova direttiva nel 2015 (direttiva (UE) 2015/2366), direttiva che è stata recepita in Spagna nel 2018 attraverso il regio decreto legge 19/2018, del 23 novembre, che ha i seguenti obiettivi principali:

  1. facilitare e migliorare la sicurezza nell'uso dei sistemi di pagamento via Internet.
  2. rafforzare il livello di protezione degli utenti contro potenziali frodi e abusi, rispetto a quanto previsto dalla Legge 16/2009 del 13 novembre.
  3. e promuovere l'innovazione nei servizi di pagamento mobili e via internet.

Il Regio Decreto stabilisce un'entrata in vigore scaglionata, a seconda della materia, la cui scadenza complessiva era fissata al 14 settembre 2019. Tuttavia, a causa della complessità della sua applicazione, questa scadenza è stata prorogata dall'Autorità bancaria europea (EBA) che ha approvato una moratoria di 15 mesi. In questo modo, le aziende avranno tempo fino al 31 dicembre 2020 per implementare le tecnologie necessarie per adeguarsi alla direttiva (banche e aziende tecnologiche che sviluppano strumenti di pagamento online).

La pietra miliare per il raggiungimento degli obiettivi stabiliti in questo regolamento è l'autenticazione forte del cliente.

Che cos'è l'autenticazione forte del cliente?

Lo standard ne riporta chiaramente la definizione:

Si basa sull'utilizzo di due o più elementi classificati come:

  1. conoscenza (qualcosa di noto solo all'utente).
  2. possesso (qualcosa che possiede solo l'utente)
  3. inherence (qualcosa che è l'utente) identificazione biometrica.

Questi elementi sono indipendenti, cioè la violazione di uno di essi non compromette l'affidabilità degli altri, e sono progettati in modo da proteggere la riservatezza dei dati di identificazione.

Quando verrà implementata l'autenticazione forte?

Solo per i pagamenti online, in questi casi:

  1. (a) pagamento online;
  2. (b) avviare un'operazione di pagamento elettronico;
  3. (c) esegue attraverso un canale remoto qualsiasi azione che possa comportare il rischio di frodi nei pagamenti o altri abusi.

In questo caso, uno dei settori più colpiti sarà quello del turismo (35% del commercio elettronico in Spagna), che utilizza le carte come garanzia di pagamento per le future transazioni contrattuali.

Quali sono i vantaggi per gli albergatori?

Questa nuova normativa comporterà un investimento per le imprese turistiche e un impatto sulla customer experience, ma l'aspetto positivo da valutare è come si ridurrà la conseguenza indesiderata per gli albergatori dei rifiuti bancari di addebiti online per servizi effettivamente erogati, impossibili da dimostrare quando i clienti utilizzano carte di proprietà diversa da quella del cliente che soggiorna in hotel, e che una volta rifiutate, VISA accettava come prova del consenso solo la firma dell'obsoleto cedolino datafono.

Ora, l'autenticazione forte obbligherà il cliente a presentare tramite pin, impronta digitale, o qualsiasi altro mezzo simile implementato dalla propria banca, il proprio consenso all'addebito, il che diminuirà gradualmente la pratica dei rifiuti sui pagamenti online, oltre ad ammettere prenotazioni fraudolente effettuate da utenti che non hanno effettivamente l'autorizzazione all'uso della carta che presentano per il pagamento, e che hanno facilitato il successivo rifiuto dell'addebito da parte del vero titolare della carta.

Ora, in questo tipo di situazione, la prova dell'autenticazione deve essere conservata dal prestatore di servizi di pagamento, che deve dimostrare che l'operazione di pagamento è stata autenticata, accuratamente registrata e contabilizzata, e che non è stata influenzata da un guasto tecnico o da altre carenze nel servizio fornito dal prestatore di servizi di pagamento. Pertanto, gli albergatori possono rivolgersi a questi soggetti per opporsi al rifiuto ricevuto dal cliente, richiedendo la prova di tale autenticazione oltre a fornire la documentazione che attesti l'erogazione del servizio. La risposta al reclamo deve avvenire entro 15 giorni.

D'altra parte, l'uso fraudolento dei dati della carta, che potrebbe essere utilizzato da dipendenti disonesti, è completamente eliminato, poiché tutti gli addebiti richiedono una doppia autenticazione del cliente.

Il prestatore di servizi di pagamento è tenuto a conservare la documentazione e i registri per dimostrare l'adempimento degli obblighi per almeno sei anni.

Nel caso di transazioni restituite, cosa c'è di nuovo?

Per il cliente:

  • 50 (a seconda della banca di appartenenza) per le perdite derivanti da operazioni di pagamento non autorizzate derivanti dall'uso della carta smarrita, rubata o sottratta da parte di terzi, a meno che non siate stati voi stessi ad agire in modo fraudolento, nel qual caso vi farete carico di tutte le perdite derivanti dalla transazione fraudolenta.

Per gli hotel:

  • Gli hotel possono ricevere un chargeback dal pagatore entro 2 mesi dalla transazione di pagamento autorizzata, ma il fornitore di servizi di pagamento avrà la prova di una forte autenticazione in modo che l'albergatore possa opporsi al chargeback.
  • Se la transazione è fraudolenta, può essere rifiutata fino a 13 mesi dopo la transazione, nel qual caso il prestatore di servizi di pagamento è responsabile della rettifica dell'operazione di pagamento non autorizzata.

Esclusioni dall'applicazione dell'autenticazione a due fattori:

  • Non si applica alle transazioni degli utenti che non sono consumatori o microimprese. Pertanto, la PSD2 non influisce sulla gestione dei pagamenti ai fornitori.
  • In caso di negoziazione, si può rinunciare alla doppia autenticazione per singole operazioni di pagamento non superiori a 30 euro.

In conclusione, grazie all'applicazione di questo regolamento, le imprese turistiche avranno una maggiore sicurezza nei pagamenti online, poiché la sua applicazione dovrebbe aumentare la fiducia dei consumatori negli acquisti effettuati e pagati in modo non diretto.

Paloma Aguilar (Avvocato T&L)

Articolo pubblicato nell'edizione di febbraio del mensile CEHAT