Cosa devi sapere sulla normativa e sulla conformità PSD2

Gli istituti finanziari e i provider di servizi di pagamento hanno molto in comune nel mercato dei pagamenti elettronici. In particolare, entrambe le parti rendono possibile una nuova ondata di transazioni online e, a loro volta, sono soggette a rigide normative. Ciò è particolarmente vero in Europa, dove la Direttiva sui servizi di pagamento della regione sta alzando il livello di autenticazione forte, open banking e conformità.

Continua a leggere per comprendere le nozioni di base della conformità PSD2, perché è importante e cosa puoi fare oggi stesso per rendere la tua organizzazione a prova di futuro.

PSD2 rappresenta la seconda ripetizione della Direttiva sui servizi di pagamento. Sebbene si applichi specificamente all’Unione Europea (UE), è ampiamente considerata una normativa fondamentale sui servizi di pagamento con il potenziale di cambiare il modo in cui le banche, gli elaboratori di pagamento e aziende simili operano in tutto il mondo.

Nel 2007, la Commissione europea ha adottato la Direttiva sui servizi di pagamento originaria per due motivi principali:

1. Creare un mercato europeo dei pagamenti più integrato, competitivo ed efficiente
2. Per rendere i pagamenti più sicuri e protetti nell’era digitale

In altre parole, la PSD1 mirava a garantire condizioni di parità per tutti gli attori finanziari incoraggiando la partecipazione delle istituzioni non tradizionali. Ha consentito a nuove imprese, come le società fintech e i provider di servizi di pagamento terzi, di entrare più facilmente nel mercato. Ha inoltre unificato gli istituti finanziari in un unico quadro normativo, stabilendo regole comuni per tutti.

La PSD1 ha inoltre offerto al pubblico maggiore trasparenza e informazioni su tariffe, responsabilità e diritti dei consumatori. Inoltre, poiché è stato più facile per i nuovi provider di servizi di pagamento entrare nel mercato, la normativa ha concesso maggiore libertà di scelta ai consumatori.

Tuttavia, col passare del tempo, l’Unione Europea ha riconosciuto la necessità di aggiornare e rivedere la PSD1. Nel 2013, citando i cambiamenti tecnologici e le crescenti preoccupazioni in materia di sicurezza, l’UE ha deciso formalmente di farlo. Tre anni dopo, gli Stati membri dell’UE hanno votato per approvare la PSD2, la cui entrata in vigore era prevista per il 2018. Tuttavia, alcuni elementi della normativa PSD2 aggiornata sono stati introdotti gradualmente, dando agli istituti finanziari il tempo di adattarsi.

Lo scopo principale della PSD2, ancora una volta, era quello di promuovere ulteriormente l’innovazione, la concorrenza e la sicurezza in tutto il settore dei pagamenti europeo.

Chi è soggetto alla conformità PSD2?

La PSD2 ha lo scopo di proteggere i consumatori in tutti gli Stati membri dell’UE. Pertanto, il suo focus principale è sugli istituti finanziari dell’UE, inclusi processori di pagamento, banche, intermediari, società fintech e altro ancora.

Tuttavia, le organizzazioni con sede al di fuori dell'Europa potrebbero essere comunque soggette ai requisiti di conformità PSD2 se hanno clienti o utenti nella regione. In questo caso, le aziende non hanno altra scelta se non quella di rispettare la normativa PSD2 se attualmente o intendono operare nell'UE.

Gli istituti che non soddisfano i requisiti della PSD2 possono essere accusati di sanzioni finanziarie fino al 4% dei loro rendimenti annuali.

Prima di poter soddisfare i requisiti della PSD2, è necessario comprendere come ha modificato radicalmente il sistema bancario in tutta l'Unione europea, in particolare attraverso l'introduzione dell'"open banking".

Che cos’è l’open banking?

L'open banking è il processo attraverso il quale un fornitore di servizi finanziari di terze parti ottiene libero accesso ai servizi bancari di consumo, alle transazioni e ad altri dati da banche e altri istituti finanziari attraverso le interfacce di programmazione delle applicazioni (API). In breve, è la condivisione sicura delle informazioni finanziarie tra due parti. Sebbene questo concetto esista da molto tempo, la PSD2 ha aperto la strada alla sua adozione in tutta Europa.

L’introduzione dell’open banking ha aiutato la PSD2 a raggiungere il proprio obiettivo di aumentare la concorrenza, la trasparenza e la sicurezza nel mercato. A sua volta, ha introdotto due nuovi tipi di provider di pagamenti regolamentati:

1. I Servizi di disposizione ordini di pagamento (Payment Initiation Service Providers, PISP) consentono l'utilizzo del digital banking per effettuare un pagamento online. In breve, ti consentono di pagare le cose direttamente dal tuo conto bancario anziché utilizzare una carta di credito o debito tramite terzi. Il termine “avvio del pagamento” si riferisce al processo utilizzato dai PISP per collegare due conti attraverso un’interfaccia che facilita la transazione.
2. I Provider di servizi con accesso alle informazioni dei conti (Account Information Service Providers, AISP) facilitano la raccolta e l'archiviazione dei dati sui conti dai conti bancari di un cliente in un unico posto. Ciò consente al consumatore di avere una visione globale delle proprie finanze e di analizzare facilmente le spese. Ad esempio, le app per la gestione del budget e i siti Web di confronto dei prezzi potrebbero rientrare nella categoria dei Provider di servizi con accesso alle informazioni dei conti perché ospitano questi dati in un unico pannello di controllo.

Secondo la normativa PSD2, queste due parti devono richiedere il consenso del consumatore e sono regolamentate dalla banca centrale.

Che impatto ha la PSD2 sugli istituti finanziari tradizionali?

Ora, le banche sono ora tenute ad aprire l’accesso ai conti dei clienti a provider terzi (TPP), AISP e PISP, a condizione che il cliente abbia concesso l’autorizzazione. A sua volta, il principale requisito tecnologico per la conformità alla PSD2 è la creazione di API aperte, di cui il TPP ha bisogno per accedere alle informazioni sull’account.

Inoltre, i consumatori hanno più scelte quando si tratta di servizi di pagamento. Ora possono scegliere l’opzione migliore per le proprie esigenze, il che significa che le banche dovranno competere più duramente per la loro attività.

Che cos'è l'autenticazione forte del consumatore?

La Direttiva rivista sui servizi di pagamento introduce anche il concetto di Autenticazione forte del cliente (Strong Customer Authentication, SCA). Secondo il requisito SCA, i consumatori devono utilizzare almeno due tipi di autenticazione multifattoriale (MFA) su tutti i pagamenti. Questi metodi sono organizzati in tre categorie:

1. Conoscenza: qualcosa che il cliente già conosce, come una password.
2. Inerenza: qualcosa che fa parte dell'utente, come l'impronta digitale o il riconoscimento facciale.
3. Possesso: qualcosa che ha o può inviare, ad esempio un codice monouso.

Il requisito SCA è concepito per aumentare la tutela dei consumatori. Con ulteriori garanzie che si frappongono tra un utente e informazioni finanziarie sensibili, l'autenticazione forte rende più difficile per i malintenzionati riuscire a cavarsela con le frodi.

Con l'obiettivo di aggiornare ancora una volta la Direttiva sui servizi di pagamento per un miglioramento continuo, la Commissione Europea ha deciso di rivalutare la normativa nel 2022. La valutazione ha concluso che la PSD2 ha avuto un successo limitato nel raggiungere i suoi obiettivi. Sebbene l’introduzione dell'Autenticazione forte del consumatore abbia avuto un impatto significativo sulla riduzione delle frodi, sono emerse nuove sfide.

Per maggiore precisione, ecco la dicitura esatta riportata dalla Commissione europea:

“Sono emersi nuovi tipi di frode per i quali la PSD2 non è attrezzata. Ad esempio, la PSD3 andrà oltre la PSD2 affrontando nuove tipologie di frode come lo "spoofing" (frode di impersonificazione), che rende confusa la distinzione tra transazioni non autorizzate e autorizzate, poiché il consenso dato dal cliente per autorizzare una transazione è soggetto a tecniche di manipolazione da parte del truffatore, che ad esempio utilizza il numero di telefono o l'indirizzo e-mail della banca. Finora i meccanismi di prevenzione come la SCA non sono stati sufficienti a prevenire tali frodi

A parte le preoccupazioni legate alla sicurezza, la Commissione ha altresì riscontrato che esiste ancora una disparità di condizioni tra i provider di servizi di pagamento. Pertanto, con la consulenza dell'Autorità bancaria europea, la Commissione ha deciso di proporre modifiche che:

• Rafforzeranno le strategie di prevenzione delle frodi
• Consentiranno ai provider di servizi di pagamento non bancari l’accesso a tutti i sistemi di pagamento dell’UE
• Miglioreranno la funzionalità dell’open banking
• Miglioreranno ulteriormente l’informazione e i diritti dei consumatori
• Aumenteranno la disponibilità di contanti
• Unificheranno i quadri giuridici applicabili alla moneta elettronica e ai servizi di pagamento

Non esiste ancora una tempistica chiara per la finalizzazione dei requisiti di conformità alla PSD3. Tuttavia, supponendo che la normativa rivista sarà completata entro la fine del 2024, gli Stati membri dell’UE avranno un periodo di transizione di 18 mesi. Ciò suggerisce che la PSD3 potrebbe entrare in vigore entro la fine del 2026.

Indipendentemente da come potrebbe cambiare, la conformità alla PSD non è ancora negoziabile per gli istituti finanziari e i provider di servizi di pagamento. Pertanto, è importante adottare le misure necessarie per rendere la tua organizzazione a prova di futuro e anticipare la curva PSD3, in particolare quando si tratta di sicurezza.

La buona notizia? Sono disponibili numerose soluzioni per superare i requisiti SCA e offrire ai consumatori il massimo livello di garanzia possibile. Ad esempio, con un partner come Entrust, puoi sfruttare le seguenti funzionalità:

1. MFA resistente ai tentativi di phishing : Implementa una vasta gamma di strategie di autenticazione, tra cui l'autenticazione con rafforzamento adattivo, basata sul rischio e sui certificati. In combinazione con Single Sign-On (SSO), gli utenti ottengono un accesso semplice ma sicuro ai servizi di pagamento senza perdere un colpo. Inoltre, SSO previene l'affaticamento da password e il loro riutilizzo, così l'utente, e i suoi consumatori, rimarranno protetti.
2. Certificati digitali: Qualified Website Authentication Certificate (QWAC) crittografano i dati sensibili e identificano i provider di servizi di pagamento e gli istituti finanziari in conformità con PSD2. I QWAC di Entrust offrono licenze server e riemissioni illimitate, consentendo di riemettere e installare certificati senza costi aggiuntivi.
3. Analisi del rischio di transazione: Monitoraggio delle transazioni e analisi dei rischi prendono in considerazione reputazione del dispositivo, autenticazione adattiva e conformità 3DS per transazioni con carta non presente.
4. Verifica dell'identità: Verifica le identità in un istante per migliorare l'esperienza del cliente e ridurre i tassi di abbandono. La soluzione di verifica dell'identità di Entrust supporta migliaia di documenti emessi dal governo e molteplici livelli di sicurezza potenziata.
5. Moduli di sicurezza hardware (HSM):Gli HSM Entrust nShield® generano e archiviano chiavi di firma e crittografia e facilitano le operazioni di crittografia da un dispositivo certificato e protetto, in modo da poter emettere certificati e crittografare i dati sapendo di essere protetti con una solida root of trust.

La normativa PSD2 è tanto importante quanto difficile da attuare. Tuttavia, con la gamma di soluzioni PSD2 e open banking di Entrust, puoi facilitare la conformità e soddisfare le tue esigenze su vasta scala.

Dall'AMF e la verifica dell'identità a certificati digitali e HSM, siamo qui per aiutarti a offrire ai clienti la massima garanzia.