PSD2: sistema di autenticazione più forte nei pagamenti digitali

Il 14 settembre 2019 entrerà in vigore il Regolamento delegato (UE) 2018/389 della Commissione, che integra la Direttiva (UE) del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione per l'autenticazione forte dei clienti e gli standard comuni di comunicazione sicura aperta, noto anche come PSD2.Ciò è conforme al mandato conferito dalla direttiva e incluso nel nostro regio decreto 19/2018, del 23 novembre, sui servizi di pagamento e altre misure urgenti in materia finanziaria, attraverso il quale è stato recepito, di implementare un sistema di autenticazione rafforzata nelle operazioni di pagamento in cui vi è un rischio di frode, L'obiettivo finale è quello di costruire e consolidare un mercato interno unico ed efficiente all'interno dell'Unione europea, in cui vi sia un'effettiva libertà di circolazione di beni, servizi, lavoratori e capitali e in cui i consumatori e gli utenti godano di un elevato standard di protezione.A partire da questa data, quando si effettuano pagamenti elettronici (senza l'utilizzo di un conto bancario o di una carta di credito) il fornitore di servizi di pagamento dovrà generare un codice di autenticazione basato su uno dei tre elementi seguenti: conoscenza (qualcosa che solo l'utente conosce), possesso (qualcosa che l'utente ha) ed ereditarietà (qualcosa che solo l'utente è, come ad esempio i dati biometrici dell'utente); questo protocollo, noto in gergo come "3D Secure", sarà utilizzato dall'utente dei servizi di pagamento per identificarsi come tale e verificare la transazione; inoltre, il codice di autenticazione dovrà essere limitato a un certo numero di tentativi falliti e avrà una durata limitata, non superiore a un massimo di cinque minuti.D'altra parte, nelle transazioni di pagamento elettronico a distanza (quelle avviate tramite Internet o un dispositivo che può essere utilizzato per la comunicazione a distanza), la sicurezza sarà aumentata con l'autenticazione rafforzata, collegando la transazione di pagamento a un determinato importo e a un utente, che deve essere noto sia all'utente che al beneficiario della transazione; tuttavia, questi requisiti non si applicheranno a tutte le transazioni di pagamento, e sarà incluso un catalogo di esenzioni in cui, a causa del loro scopo o su iniziativa dell'utente del pagamento, l'autenticazione rafforzata non sarà richiesta. Ad esempio, i pagamenti senza contatto presso il punto vendita per importi non superiori a cinquanta euro sono esenti, a condizione che l'importo totale delle transazioni per le quali non è stata richiesta l'autenticazione avanzata non superi i centocinquanta euro e il numero di transazioni non sia superiore a cinque. È proprio questo l'importo che il pagatore deve sostenere come perdita in caso di frode di pagamento commessa tramite furto, rapina o frode con carta.In breve, anche se l'insieme delle misure che compongono l'autenticazione forte deve essere applicato dai prestatori di servizi di pagamento, il fatto è che dal 14 settembre qualsiasi azienda che opera su Internet deve implementare questo sistema nei suoi pagamenti, direttamente da loro o tramite un prestatore di servizi di pagamento; in caso contrario, il pagamento può essere rifiutato dal prestatore di servizi di pagamento o dal pagatore stesso.

Hortensio Santos (Avvocato T&L)