Approfondimenti e spunti per far crescere il tuo business.
La normativa che regola i pagamenti contactless risale a una Direttiva Ue del 2015, successivamente ripresa da regolamenti e norme che hanno portato a un sistema che garantisce più sicurezza, riservatezza e trasparenza.
Le nuove direttive UE sui pagamenti contactless hanno rivoluzionato le norme per garantire pari opportunità agli enti che forniscono servizi di pagamento innovativi e per assicurare tutele a chi utilizza questi servizi. A dettare le nuove regole del gioco nei pagamenti contactless è stata la Direttiva Ue 2015/2366 del 25 novembre 2015, cioè la Payment Services Directive 2 (PSD2): una sorta di decalogo che da una parte modifica profondamente le macro-aree fondamentali del servizio e dall’altra adotta sistemi che mettono il cliente al riparo da frodi con la cosiddetta “autenticazione forte” dell’identità che ferma i malintenzionati con una serie di baluardi di difesa praticamente insormontabili. La Direttiva costituisce la “Magna Carta” dell’universo sicurezza nei pagamenti a distanza; ma è soltanto la prima di una serie di documenti successivi, regolamenti attuativi, delibere normative, che dal 2015 a oggi sono stati disposti dagli enti regolatori.
Nuova architettura dei pagamenti
Questa nuova architettura dei pagamenti contactless, indicata dalla Direttiva del 2015, ha completamente trasformato il sistema. La Direttiva ha introdotto due nuove categorie di prestatori di servizi di pagamento: chi dispone gli ordini di pagamento – cioè i software che fanno da ponte tra il commerciante e la piattaforma di online banking della banca di chi paga – e chi informa sui conti – cioè dà informazioni aggregate su uno o più conti di pagamento detenuti presso altri servizi (soggetti identificati come third party payment service provider). La Direttiva dà poi regole stringenti sull’autenticazione forte del cliente e definisce responsabilità più stringenti per chi fornisce servizi di pagamento, con lo scopo di tutelare meglio il cliente.
Il “secondo livello” di regole
All’EBA, la European Banking Authority, è stata affidata la funzione di costruire norme tecniche di secondo livello e assicurare la corretta applicazione di tali regole nei Paesi dell’Unione Europea. Queste norme prevedono, tra le altre cose, che i payment service provider debbano rafforzare i metodi di identificazione del cliente con regole che vanno dalle limitazioni numeriche ai tentativi di accesso alle aree riservate, fino alla definizione di una durata massima delle sessioni. Devono inoltre attivare meccanismi in grado di prevenire, riconoscere e bloccare tentativi di frode, con rimedi automatici, definiti nei contratti con gli e-merchant, da far scattare in caso di incidenti.
SCA: l’autenticazione forte
Sulla scia di questo impianto legislativo, sono state emanate norme tecniche che rientrano nel Regolamento delegato della Commissione europea per normare “l’autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri”, vale a dire il “Regolamento delegato sulla SCA (Strong Customer Authentication)”. Le norme tecniche, valide dal 14 settembre 2019, definiscono le modalità di applicazione dei criteri di autenticazione forte. Vengono inoltre stabiliti i casi di esenzione e precisati tutti i canoni che le misure di sicurezza devono soddisfare. In tal modo si punta a tutelare riservatezza e integrità delle credenziali attraverso una serie di parametri tecnici che garantiscono standard di interconnessioni sicure tra i soggetti interessati.
La road map per il mondo contactless
Una serie di pareri e documenti sono stati rilasciati in questi mesi dalle autorità competenti affinché aziende, servizi di pagamento, banche, beneficiari, si adeguassero alle normative. Con l’obiettivo di stabilire un action plan che le competenti Autorità nazionali di vigilanza erano tenute ad assecondare per dirigere acquirer e naturalmente merchant, nella transizione verso un ambiente che metta al sicuro ogni transazione contactless. La data ultima per il piano di migrazione a un sistema SCA compliant era stata fissata al 31 dicembre 2020.
Tutti protetti dalla rete “contactless”
Con la pandemia, la proroga è stata rinviata al 31 marzo 2021. Ora quindi, aziende, servizi di pagamento, banche, merchant non hanno più scuse e devono applicare alla lettera le normative. Tutte queste garanzie vengono comunque già offerte ai clienti e alle imprese che fanno uso delle Carte American Express, che garantisce sistemi di security payment con tutti i suoi prodotti.
Dati e scenari citati nell’articolo sono tratti da Netcomm