PSD2: sistema di autenticazione rinforzato nei pagamenti digitali

Il 14 settembre 2019, entrerà in vigore il regolamento delegato (UE) 2018/389 della Commissione, che integra la direttiva (UE) del Parlamento europeo e del Consiglio, per quanto riguarda gli standard tecnici normativi per l'autenticazione forte dei clienti e gli standard di comunicazione aperta comuni e sicuri, noto anche con l'acronimo in inglese PSD2.it è quindi conforme al mandato conferito dalla Direttiva e stabilito nel nostro regio decreto 19/2018, del 23 novembre, sui servizi di pagamento e altre misure urgenti nel campo dei servizi di pagamento finanziari, attraverso i quali è recepito, di implementare un sistema di autenticazione rafforzato nelle operazioni di pagamento in cui esiste il rischio di frode, in particolare nei pagamenti elettronici a distanza, e tutto questo con l'obiettivo finale di costruire e consolidare un mercato interno unico ed efficiente all'interno dell'Unione europea in cui vi sia una vera libertà di circolazione di beni, servizi, lavoratori e capitali e in cui il consumatore e l'utente godano di un elevato livello di protezione. A partire da questa data, quando devono essere effettuati pagamenti elettronici (quelli in cui non viene utilizzato un conto bancario o una carta di credito), il prestatore di servizi di pagamento deve generare un codice di autenticazione basato su uno dei seguenti tre elementi: conoscenza (qualcosa che solo l'utente conosce), possesso (qualcosa che l'utente possiede) e inerenza (qualcosa che è solo l'utente come dati biometrici dell'utente); questo protocollo, noto in gergo come «3D Secure» verrà utilizzato dall'utente del servizio di pagamento per identificarsi come tale e verificare la transazione; in inoltre, l'autenticazione del codice deve essere limitata a un certo numero di tentativi falliti e avrà una durata limitata non superiore a un massimo di cinque minuti. D'altra parte, nelle transazioni di pagamento elettronico a distanza (quelle avviate via Internet o un dispositivo che può essere utilizzato per la comunicazione remota), la sicurezza sarà aumentata nell'autenticazione rafforzata collegando l'operazione di pagamento a un determinato importo e utente che devono essere conosciuti sia da quest'ultimo che dal beneficiario della transazione. i requisiti non si applicheranno a nessuna operazione di pagamento, in quanto viene raccolto un catalogo di esenzioni in cui, per il loro scopo o presso iniziativa dell'utente che effettua il pagamento, non sarà richiesta un'autenticazione forte. Pertanto, ad esempio, i pagamenti contactless nel punto vendita il cui importo non supera i cinquanta euro sono esenti, a condizione che l'importo totale delle transazioni in cui non è richiesta l'autenticazione forte non superi i centocinquanta euro o il numero di cinque transazioni sia superato. È proprio questo importo che il pagatore deve sostenere a titolo di perdita in caso di frode nei pagamenti commessi mediante furto, furto o frode con carta. In breve, sebbene l'insieme di misure consistenti nell'autenticazione forte debba essere applicato dai fornitori di servizi di pagamento, la verità è che a partire dal 14 settembre, qualsiasi azienda che opera su Internet deve implementare questo sistema nei propri pagamenti, direttamente da loro o tramite un fornitore di servizi di pagamento; in caso contrario, sarà esposta al fatto che il pagamento viene rifiutato dal prestatore di servizi di pagamento o dal pagatore stesso.

Hortensio Santos (Avvocato T&L)