Che cos’è la PSD2? A chi si rivolge? Quali sono i servizi interessati? Che cosa accade in caso di pagamenti non autorizzati? Leggi questo articolo se vuoi saperne di più.
La PSD2 (Payment Services Directive 2) è la Direttiva europea 2015/2366 sui servizi di pagamento nel mercato interno. È entrata in vigore il 13/01/2016 (abrogando la Direttiva 2007/64/CE – PSD) ed è stata recepita dal Parlamento italiano il giorno 11/12/2017. L’attuazione, già iniziata nel gennaio 2018, terminerà entro il 14 settembre 2019.
I principali obiettivi della Direttiva sono contrastare le frodi e accrescere la fiducia dei consumatori nei pagamenti digitali. Per ottenere ciò, si punta a modernizzare il quadro normativo che regola i servizi digitali innovativi. Inoltre, incoraggia lo sviluppo di nuovi prodotti e l’apertura del mercato a soggetti non bancari favorendo l’aumento della competitività.
A chi si rivolge?
Si rivolge a banche, assicurazioni e c.d. Terze parti, ovvero le Third Party Providers -TPP (che dovranno essere registrate, autorizzate e regolamentate a livello dell’Unione Europea): a tutti i fornitori di servizi di pagamento.
I servizi interessati sono:
• canali remoti (es. bonifici, ricariche telefoniche);
• carte di credito, di debito e prepagate;
• POS.
La PSD2 non ha invece impatti sugli incassi domestici, ovvero MAV, bollettini bancari, Ri.Ba., in quanto già regolati dalla PSD1.
Le novità della PSD2
• l’ambito di applicazione della normativa viene esteso a tutte le aree geografiche e a tutte le divise;
• vengono rafforzati i diritti dei consumatori e la trasparenza in relazione agli obblighi di informazione, esecuzione e condizioni economiche;
• viene introdotta l’autenticazione forte del cliente (Strong Customer Authentication – SCA), una nuova misura di sicurezza per accedere ai conti, disporre ordini di pagamento sui canali online e per effettuare operazioni che implichino rischi di abuso o frode;
• accesso ai conti on line tramite TPP: viene prevista la possibilità di accedere alle informazioni relative al proprio conto corrente e alle transazioni effettuate nonché di disporre ordini di pagamento attraverso Terze parti.
Attenzione: La Direttiva impone il divieto per gli esercenti di applicare ai propri clienti una maggiorazione per l’uso di un determinato strumento di pagamento. Nello specifico, secondo quanto previsto dal regolamento 751 del 2015, le commissioni interbancarie non possono essere superiori allo 0,2% del valore dell’operazione per i pagamenti con carte di debito e allo 0,3% per quelle con carta di credito.
Come viene consentito l’accesso ai conti online alle Terze Parti?
Per permettere ad un utente l’utilizzo dei servizi erogati dalle Terze parti, la banca presso cui detiene un conto online dovrà fornire l’accesso tramite un canale dedicato (c.d. Application Programming Interface – API) oppure consentendo alla Terza parte l’accesso diretto agli stessi canali online della Banca utilizzati dal Cliente. In entrambe i casi, dovrà essere garantita, nel rispetto della privacy del cliente, la sicurezza della comunicazione e degli scambi di informazioni tra la banca e le Terze Parti.
Le nuove misure di sicurezza
A partire dal 14/11/2019, i prestatori di servizi di pagamento dovranno aderire a nuove regole di sicurezza per l’accesso dei conti online e per l’autorizzazione dei pagamenti.
Per l’accesso dei conti on line sarà richiesta l’Autenticazione forte del cliente che garantisce una maggiore sicurezza dell’utente ed è basata su almeno due fattori appartenenti alle seguenti categorie:
• conoscenza: ossia qualcosa che solo l’utente conosce (es. password statica, codice, numero identificativo personale);
• possesso: ossia qualcosa che solo l’utente possiede (es. token, telefono cellulare);
• inerenza: ossia qualcosa che l’utente è (es. caratteristiche biometriche, come un’impronta digitale).
I fattori devono essere reciprocamente indipendenti, cioè la violazione di uno non compromette l’altro. Inoltre, almeno uno degli elementi dovrebbe essere non riutilizzabile e non replicabile e non trafugabile online. La procedura di autenticazione deve essere progettata in modo tale da proteggere la riservatezza dei dati di autenticazione.
La SCA si applica per: l’accesso al conto online, la presentazione di una disposizione di pagamento elettronico, l’esecuzione di qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi.
Per autorizzare un pagamento elettronico a distanza è richiesta, oltre alla SCA, l’applicazione del dynamic linking, che non è altro che un codice univoco legato all’importo della transazione e al suo beneficiario. In caso di cambio di importo o beneficiario il codice è nullo e deve esserne generato un altro.
In caso di pagamenti non autorizzati
Il cliente ha la possibilità di disconoscere operazioni non autorizzate entro 13 mesi dall’addebito delle stesse sul conto corrente. Il rimborso dell’importo disconosciuto dovrà essere effettuato entro la giornata lavorativa successiva a quella in cui è stata fatta la richiesta. La Banca non è tenuta al rimborso solo nel caso in cui vi sia un motivato sospetto di frode da parte del cliente. La franchigia relativa alle spese non riconosciute effettuate prima della denuncia del furto della carta di credito sarà portata da 150 euro a 50 euro.
Le tempistiche
I reclami scritti si riducono da 30 giorni solari a 15 giorni lavorativi. Nel caso in cui non sia possibile rispettare il termine dei 15 giorni, la Banca invia una risposta interlocutoria con indicazione delle ragioni del ritardo specificando il termine entro il quale verrà fornita la risposta definitiva e comunque non oltre 30 giorni solari.
Le operazioni C.D one leg
Sono le operazioni di pagamento, in tutte le valute, in cui anche uno solo dei prestatori di servizi è situato nell’Unione Europea.
La PSD2 prevede che anche le operazioni one leg rientrino nell’ambito di applicazione della normativa al fine di garantire maggiore uniformità del quadro normativo.