Pagamenti online. La sicurezza della PSD2

7/2/20

Pagamenti online. La sicurezza della PSD2

Tra gli obiettivi dell'Unione europea nella costruzione di un mercato unico efficiente, c'è la costruzione di un mercato comune per i servizi di pagamento.

In Spagna dal 2009, sono state stabilite basi comuni nella regolamentazione della fornitura di servizi di pagamento, che recepisce il contenuto delle direttive europee (direttiva 2007/64/CE).

Da allora, il progresso tecnologico ha reso necessario l'adeguamento delle normative sui metodi di pagamento, dato che ci sono nuovi agenti che si stanno implementando in un mercato che va oltre quello nazionale e che rende necessario disporre di modalità più affidabili per gli utenti di effettuare pagamenti online.

La creazione di un ambiente più sicuro e affidabile è la base per l'approvazione di una nuova direttiva nel 2015 (Direttiva (UE) 2015/2366), una direttiva che è stata recepita in Spagna nel 2018 con il regio decreto legge 19/2018, del 23 novembre, i cui obiettivi principali sono:

  1. facilitare e migliorare la sicurezza nell'uso dei sistemi di pagamento su Internet.
  2. rafforzare il livello di protezione degli utenti contro le frodi e i potenziali abusi, rispetto a quello previsto dalla legge 16/2009, del 13 novembre.
  3. e promuovere l'innovazione nei servizi di pagamento mobili e via Internet.

Il regio decreto stabilisce un'entrata in vigore frazionata, a seconda della materia, il cui termine totale è stato fissato per il 14 settembre 2019, tuttavia, a causa della complessità della sua applicazione, è stato prorogato dall'Autorità bancaria europea (EBA), approvando una moratoria di 15 mesi. In questo modo, le aziende avranno tempo fino al 31 dicembre 2020 per implementare le tecnologie necessarie per adeguarsi alla direttiva (banche e società tecnologiche che sviluppano strumenti di pagamento online).

La pietra miliare più importante stabilita per raggiungere gli obiettivi stabiliti nell'avanzamento di questo regolamento è la Strong Customer Authentication.

In cosa consiste Autenticazione forte del cliente?

Lo standard indica chiaramente la sua definizione:

Si basa sull'uso di due o più elementi classificati come:

  1. conoscenza (qualcosa che solo l'utente conosce).
  2. possesso (qualcosa che solo l'utente possiede)
  3. identificazione biometrica inerente (qualcosa che è l'utente).

Questi elementi sono indipendenti, il che significa che la violazione di uno non compromette l'affidabilità degli altri e sono progettati in modo tale da proteggere la riservatezza dei dati identificativi.

Quando verrà applicata l'autenticazione forte?

Solo per i pagamenti online, in questi casi:

  1. a) pagamento online;
  2. b) avviare un'operazione di pagamento elettronico;
  3. c) effettuare tramite un canale remoto qualsiasi azione che possa comportare un rischio di frode nei pagamenti o altri abusi.

Stando così le cose, uno dei settori che saranno maggiormente colpiti sarà il turismo (35% dell'e-commerce in Spagna), poiché per le sue future transazioni contrattuali aveva utilizzato le carte come garanzia di pagamento.

Quali sono i vantaggi per gli albergatori?

Questa nuova legislazione rappresenterà un investimento per le aziende turistiche e un impatto sull'esperienza del cliente, ma la cosa positiva da valutare è come la conseguenza indesiderata per gli albergatori del rifiuto bancario degli addebiti online per i servizi effettivamente forniti sarà ridotta e impossibile da dimostrare quando sono state utilizzate carte di proprietà di clienti diversi dal cliente soggiornante e che, una volta respinta, VISA abbia accettato solo come prova del consenso la firma della scheda elettorale obsoleta del dataphone.

Ora, l'autenticazione forte costringerà il cliente a inviare tramite un PIN, un'impronta digitale o qualsiasi mezzo simile implementato dalla propria banca, per inviare il proprio consenso all'addebito, il che ridurrà gradualmente la pratica di rifiutare i pagamenti online, nonché di accettare prenotazioni effettuate in modo fraudolento da utenti che non dispongono effettivamente dell'autorizzazione all'uso della carta presentata per il pagamento e che ha facilitato il successivo rifiuto dell'addebito da parte del titolare effettivo.

Ora, in questo tipo di situazione, la prova di autenticazione deve essere conservata dal prestatore di servizi di pagamento e deve dimostrare che l'operazione di pagamento è stata autenticata, registrata accuratamente e contabilizzata e che non è stata influenzata da un guasto tecnico o da altre carenze nel servizio fornito dal prestatore di servizi di pagamento. Pertanto, gli albergatori possono contattare tali entità per opporsi al rifiuto ricevuto dal cliente, richiedendo la prova di tale autenticazione oltre a fornire la documentazione che verifica la fornitura del servizio. Reclamo a cui è necessario rispondere entro 15 giorni.

D'altra parte, l'uso fraudolento dei dati della carta, che potrebbe essere utilizzato da dipendenti disonesti, viene completamente eliminato, poiché qualsiasi addebito richiede una doppia autenticazione da parte del cliente.

Il prestatore di servizi di pagamento è tenuto a conservare la documentazione e i registri che gli consentano di dimostrare il rispetto degli obblighi almeno per: Sei anni.

In caso di transazioni restituite, cosa c'è di nuovo?

Per il cliente:

  • potresti essere obbligato a sostenere, fino a un massimo di 50 euro, (a seconda della banca) solo le perdite derivanti da operazioni di pagamento non autorizzate derivanti dall'uso della tua carta smarrita, rubata o appropriata indebitamente da parte di terzi, a meno che tu non abbia agito in modo fraudolento tu stesso, nel qual caso sosterrai tutte le perdite della transazione fraudolenta.

Per gli hotel:

  • Gli hotel possono ricevere il rifiuto dell'addebito da parte del pagatore entro 2 mesi dall'operazione di pagamento autorizzata, sebbene il fornitore di servizi di pagamento disporrà di una prova di autenticazione forte in modo che l'albergatore possa opporsi al rifiuto.
  • Se la transazione è fraudolenta, potresti ricevere un rifiuto fino a 13 mesi dopo la transazione, nel qual caso il fornitore di servizi di pagamento risponderà con la rettifica dell'operazione di pagamento non autorizzata.

Esclusioni dall'applicazione della doppia autenticazione:

  • Non si applica alle operazioni di utenti diversi da un consumatore o da una piccola impresa. Quindi, la PSD2 non influisce sulla gestione dei pagamenti ai fornitori.
  • Se questa è stata negoziata, la doppia autenticazione non può essere applicata alle singole operazioni di pagamento non superiori a 30 euro.

In conclusione, le aziende turistiche, grazie all'applicazione di questi regolamenti, avranno una maggiore sicurezza nei pagamenti online, poiché la loro applicazione dovrebbe aumentare la fiducia dei consumatori, per gli acquisti effettuati e pagati in modo non faccia a faccia.

Paloma Aguilar (Avvocato T&L)

Articolo pubblicato nel Edizione di febbraio Dal quotidiano mensile CEHAT