16 Dicembre 2021
Negli ultimi anni i dispositivi di autenticazione forte, in base all’importo della transazione, sono sempre più diffusi nei siti di e-commerce e nei marketplace. Attualmente, tutte le transazioni superiori a un importo di 30 Euro sono soggette a doppia autenticazione, in conformità alla Direttiva sui servizi di pagamento 2 (PSD2). Tale disposizione ha lo scopo di ridurre le frodi sui pagamenti effettuati online e di rendere più sicure le operazioni bancarie, per la tutela dei consumatori. Cosa prevede l’autenticazione forte? Cosa fare per essere in regola? Spiegazioni.
L’autenticazione forte è una delle misure previste nella Direttiva europea sui servizi di pagamento 2 (PSD2). Entrata in vigore a gennaio 2018, ma diventata effettivamente obbligatoria nel 2021, la direttiva risponde a due obiettivi principali:
Se le tempistiche di implementazione si sono dilatate nel tempo, è dovuto al fatto che le direttive europee come la PSD2 richiedono il recepimento in tutte le legislazioni nazionali. Dal canto loro, i regolamenti sono immediatamente applicabili nel diritto nazionale e mirano ad armonizzare le diverse norme stabilite nella DPS2.
Gli standard tecnici di regolamentazione (NTR), noti come RTS in inglese per Regulatory Technical Standard, sono stati elaborati dall’Autorità bancaria europea (ABE) e adottati dalla Commissione europea per definire concretamente – e quindi armonizzare – il processo di autenticazione forte del cliente che deve essere implementato dagli Stati membri.
Ben consapevole della portata e della complessità di tale adeguamento, la Banca di Francia ha deciso nel 2019 di concedere la proroga di tre anni per accertarsi che tutti gli attori interessati sull’autenticazione forte possano beneficiare di una soluzione sicura entro il 2022.
A tutela della sicurezza dei pagamenti, gli standard tecnici di regolamentazione definiscono l’autenticazione forte del cliente mediante la combinazione, come minimo, di due fattori di autenticazione, tra cui:
Per convalidare una transazione bancaria, il cliente deve quindi aprire l’applicazione della sua banca, ad esempio utilizzando il riconoscimento facciale (inerenza) per inserire un codice ricevuto via SMS che dimostri di avere il telefono (possesso). L’utilizzo di due fattori di autenticazione è più sicuro rispetto all’utilizzo di uno solo.
Inizialmente in vigore solo per i pagamenti superiori a 2.000 Euro, l’autenticazione forte è diventata man mano obbligatoria per importi inferiori. In Francia, dal 15 aprile 2021, è quindi obbligatoria per i pagamenti superiori a 100 Euro. A partire dal 15 maggio 2021 verrà richiesta per i pagamenti superiori a 30 Euro.
Non spetta all’operatore del marketplace decidere quando utilizzare l’autenticazione forte, ma all’emittente della carta di credito, ovvero la banca emittente. Gli Stati membri assicurano pertanto che un Prestatore di Servizi di Pagamento (PSP) applichi l’autenticazione forte del cliente nei seguenti casi:
Per mitigare tale sistema, gli NTR hanno anche definito nove “eccezioni”. Solo i PSP del pagatore e del beneficiario possono applicare le deroghe a seconda della natura del pagamento effettuato online. L’idea alla base di tali eccezioni è quella di trovare il giusto equilibrio tra l’interesse a migliorare la sicurezza dei pagamenti online e la necessità della facilità d’uso e accessibilità dei pagamenti nel settore del commercio elettronico.
Le deroghe al principio di autenticazione forte del cliente sono state definite sulla base del livello di rischio, dell’importo, del carattere ricorrente e dei mezzi utilizzati per eseguire l’operazione di pagamento.
Tra le eccezioni, tre riguardano direttamente i pagamenti online. L’autenticazione forte è, dunque, facoltativa per:
Per quest’ultimo punto, il valore della transazione dipende dal tasso di frode comunicato dal PSP. Ecco le diverse soglie di esenzione, a seconda degli importi, per l’applicazione dell’autenticazione forte:
L’attuale tasso di frode medio è pari a circa lo 0,16% per le operazioni francesi e a circa lo 0,3% per le operazioni transfrontaliere.
Buono a sapersi: la scelta di concedere, o meno, un’esenzione spetta in definitiva alla banca che ha emesso la carta.
Se c’è una cosa sulla quale Lemonway non scende a compromessi, è la sicurezza dei pagamenti. Ecco spiegato il motivo per cui abbiamo accolto questi standard normativi come una buona notizia, per quanto riguarda l’aumento del livello di sicurezza e di fiducia dei clienti finali.Per la nostra posizione nella catena dei pagamenti, non siamo direttamente coinvolti nella scelta e nella definizione dei criteri di autenticazione. Tuttavia, i nostri esperti sono a tua completa disposizione per qualsiasi richiesta di informazioni!