Articolo
PSD3: Tutto quello che devi sapere
Le nuove proposte relative alla PSD3 sono attualmente in fase di avanzamento nel processo legislativo europeo. Scopri cosa comportano e i vantaggi per il settore dei pagamenti.
I cambiamenti principali:
La terza Direttiva sui Servizi di Pagamento (PSD3) è una versione aggiornata della seconda Direttiva sui servizi di pagamento (PSD2) e stabilisce una serie di norme relative all’efficienza e alla sicurezza dei pagamenti elettronici/digitali e dei servizi finanziari nell'UE. Essa mira a favorire la concorrenza e l'innovazione nel settore finanziario.
La PSD3 stabilisce norme più dettagliate sull'autenticazione forte del cliente (Strong Customer Authentication o SCA) e regole più rigorose per l'accesso ai sistemi di pagamento e alle informazioni sui conti.
La PSD3 mira a proteggere i diritti dei consumatori e le informazioni personali, migliorando al contempo la concorrenza nel settore dei pagamenti.
Le nuove proposte prevedono anche un nuovo Regolamento sui Servizi di Pagamento (PSR) per migliorare la protezione dei consumatori. Quest’ultimo sarà direttamente applicabile negli Stati membri dell'UE.
Tempistiche: Non è ancora stato definito un calendario preciso per l'attuazione della PSD3 e del PSR. Il 23 aprile 2024, il Parlamento europeo ha approvato in prima lettura, con emendamenti, le proposte presentate, ponendo le basi per la continuazione dell’iter legislativo. PSD3 e PSR potrebbero, quindi, entrare in vigore intorno al 2026.
Dall'introduzione della precedente Payment Services Directive (PSD), il mercato dei servizi di pagamento ha subito notevoli trasformazioni. Ciò è dovuto all'aumento dei pagamenti elettronici e all'ingresso di nuovi fornitori che offrono servizi di open banking.
L'obiettivo principale dell'ultima Direttiva sui Servizi di Pagamento (PSD2) era quello di garantire condizioni di parità tra i fornitori esistenti e i nuovi operatori che offrono servizi di pagamento tramite carta, Internet e dispositivi mobili.
A causa degli sviluppi del mercato, le norme e i regolamenti sui pagamenti richiedevano un aggiornamento. Il 28 giugno 2023, la Commissione europea ha presentato delle proposte per portare i pagamenti e il settore finanziario in senso lato nell'era digitale. Queste proposte modificheranno e modernizzeranno la PSD2, che diventerà PSD3, e introdurranno un Regolamento sui Servizi di Pagamento (PSR).
Questo blog fornisce una panoramica generale sulle proposte della Commissione europea relative alla Payment Services Directive 3 (PSD3), confrontandole con la PSD2 e analizzando il loro impatto sul settore dei pagamenti.
Cos’è e cosa prevede la PSD3?
La PSD3 è una direttiva dell'UE che stabilisce una serie di norme per l'autorizzazione e il controllo dei fornitori di servizi di pagamento non bancari (PSP) nell'UE. La PSD3 mira a proteggere i diritti dei consumatori e le informazioni personali, migliorando al contempo la concorrenza nel settore dei pagamenti. Ciò consentirà ai consumatori di condividere in modo sicuro i propri dati e contribuirà a una più ampia gamma di prodotti e servizi finanziari innovativi. Trattandosi di una direttiva, le norme della PSD3 dovranno essere recepite nelle legislazioni nazionali dei vari Stati membri dell'UE.
Cos'è il PSR?
Il PSR è un regolamento dell'UE che, una volta adottato ed entrato in vigore, sarà direttamente applicabile negli Stati membri dell'UE. Il PSR non avrà, quindi, bisogno di essere recepito a livello nazionale dagli Stati membri, contribuendo così a un'attuazione uniforme e coerente in tutta l'UE. Il PSR ha l’obiettivo di migliorare la protezione dei consumatori, un ambito in cui l'uniformità e la coerenza delle regole rivestono un ruolo fondamentale.
Cosa cambia con la PSD3?
La PSD3 coprirà un ambito di applicazione più ampio rispetto alla PSD2. Ciò la rende più adatta all'attuale panorama dei pagamenti, considerando l'applicazione disomogenea delle norme che potrebbe favorire l’arbitraggio normativo. La PSD3 copre la maggior parte degli aspetti della PSD2, come la trasparenza, la responsabilità e l'open banking. Tuttavia, rispetto alla PSD2, la PSD3 stabilisce norme più dettagliate in materia di Strong Customer Authentication o Autenticazione Forte del Cliente (SCA) e regole più severe sull'accesso ai sistemi di pagamento e alle informazioni sui conti. Ciò svolge un ruolo fondamentale nel salvaguardare le transazioni e nel contrastare le frodi nei pagamenti.
Scopri la relazione tra PSD2 e SCA.
L’impatto della PDS3 sul settore dei pagamenti
Le modifiche riguardanti l’Autenticazione Forte del Cliente (SCA) e l'accesso ai sistemi di pagamento e alle informazioni sui conti avranno un impatto sul settore dei pagamenti. Esaminiamo questi cambiamenti e i loro effetti.
L’Autenticazione Forte del Cliente
Le modifiche apportate dalla PSD3 in materia di Autenticazione Forte del Cliente (SCA) contribuiranno a rendere più sicura l’esperienza di acquisto. Ci saranno nuove regole sulla condivisione dei dati, sulla prevenzione delle frodi, sull'autenticazione, sulle transazioni e sull'accessibilità.
Dati
Le aziende dovranno condividere più dati con gli emittenti, consentendo loro di monitorare caratteristiche ambientali e comportamentali come la posizione dell'utente, l’orario delle transazioni, i dispositivi utilizzati, le abitudini di spesa, la cronologia delle transazioni, i dati di sessione e l'IP del dispositivo. Di conseguenza, potranno aumentare i tassi di approvazione determinando meglio quali transazioni approvare e quali rifiutare.
Ai sensi del Regolamento generale sulla protezione dei dati (GDPR), gli schemi di pagamento e i PSP potranno elaborare dati personali per la prevenzione delle frodi senza il consenso esplicito dell'utente. Questo vale solo se i dati vengono utilizzati per prevenire le frodi.
Frode
Le nuove proposte suggeriscono anche un cambiamento di responsabilità riguardo la gestione delle frodi. Gli schemi, i fornitori di servizi tecnici (come i wallet provider) e i gateway di pagamento saranno responsabili per le frodi se non applicano la SCA. Questo protegge i pagatori da malfunzionamenti tecnici e incoraggia i fornitori a mantenere un'elevata qualità del servizio.
Gli emittenti saranno responsabili anche in caso di frodi da spoofing. Questo avviene quando un truffatore si finge un dipendente della banca per indurre l’utente ad autenticare il pagamento. Se il pagatore agisce in modo fraudolento o con grave negligenza, sarà considerato responsabile.
Autenticazione
La PSD2 richiedeva che i fattori SCA appartenessero a due delle tre categorie seguenti: conoscenza, possesso e inerenza. Con la PSD3, è possibile utilizzare due elementi della stessa categoria, come un token e un OTP via SMS o addirittura due password.
La delega della SCA da parte degli emittenti a soggetti terzi, come Apple Pay, viene ora classificata come un'operazione di outsourcing e deve essere conforme alle regole in materia per l'autenticazione del titolare della carta. Adyen aveva previsto che l'esternalizzazione sarebbe stata regolamentata e ha creato una soluzione di autenticazione delegata che ci consente di non esternalizzare a terzi, ma di eseguire noi stessi l'autenticazione. Gli emittenti possono quindi delegare la SCA ad Adyen.
Esenzioni
Le transazioni avviate dall'esercente (MIT), come gli abbonamenti, sono ora escluse dalla SCA. Solo la prima transazione la richiede. Le MIT avranno lo stesso diritto di rimborso incondizionato entro 8 settimane (“no question asked”) previsto negli addebiti diretti SEPA.
Allo stesso modo, gli ordini pagati con carta ed effettuati tramite e-mail e telefonicamente, chiamati anche transazioni MOTO, non hanno bisogno di essere autenticati con la SCA. Questa esenzione andrà a vantaggio di settori come quello del turismo.
Per quanto riguarda la tokenizzazione, la SCA è richiesta solo se è il titolare della carta ad avviare la transazione, ad esempio durante una transazione card-on-file o quando il titolare iscrive inizialmente la propria carta in un portafoglio digitale.
Accessibilità
La SCA deve ora essere accessibile ai clienti più vulnerabili, come gli anziani, le persone con disabilità e i consumatori non esperti di digitale, fornendo metodi di autenticazione che non si basino esclusivamente sugli smartphone.
Accesso ai sistemi di pagamento e alle informazioni sul conto
Il PSR introdurrà modifiche all'attuale framework dell'Open Banking che elimineranno gli ostacoli alla fornitura di servizi open banking e, in ultima analisi, aumenteranno l’uptime dei servizi bancari e finanziari.
I Payment Initiation Service Provider (PISP) e gli Account Information Service Provider (AISP) potranno creare interfacce personalizzate che si collegano a banche e ad altri istituti finanziari.
Le banche e gli istituti finanziari dovranno condividere maggiori informazioni sulle prestazioni delle loro API pubblicando statistiche trimestrali sulla disponibilità e sulle prestazioni delle interfacce, creando un livello di trasparenza più elevato. In questo modo le aziende potranno avere una visione più accurata dei sistemi di pagamento, aiutandole a prendere decisioni informate su quale partner scegliere per le loro esigenze di elaborazione dei pagamenti.
In caso di interruzione dell'attività bancaria, le banche devono consentire a terzi (AISP e PISP) di utilizzare le proprie interfacce bancarie, rendendo più efficienti i processi di pagamento per le imprese digitali e i loro clienti. In base al diritto civile applicabile, le imprese mantengono anche il diritto di chiedere un risarcimento per le perdite subite.
Le banche sono tenute a fornire ai clienti una dashboard per la gestione delle autorizzazioni. Quest'ultima consente ai clienti di monitorare costantemente e di gestire comodamente le autorizzazioni concesse agli AISP.
Quando entra in vigore la PSD3? I prossimi step
Le proposte della PSD3 e del PSR garantiscono che i consumatori possano continuare a effettuare pagamenti e transazioni elettroniche nell'UE in modo sicuro e protetto, a livello nazionale o transfrontaliero, in euro e non. L'obiettivo è fornire una maggiore scelta di fornitori di servizi di pagamento, tutelando al contempo i clienti.
Adyen sta collaborando con le autorità di regolamentazione e con i circuiti di carte per garantire che tutto sia pronto per la PSD3. Al momento non sono necessarie altre azioni. Ti terremo aggiornato sugli ultimi sviluppi della normativa tramite e-mail e messaggi di sistema per garantire un'esperienza ottimale.
Non è ancora stato definito un calendario preciso per l'attuazione della PSD3 e del PSR. Il 23 aprile 2024, il Parlamento europeo ha approvato in prima lettura, con emendamenti, le proposte presentate, ponendo le basi per la continuazione dell’iter legislativo, che proseguirà nei prossimi mesi per finalizzare le nuove disposizioni. PSD3 e PSR potrebbero, quindi, entrare in vigore intorno al 2026, anche se non sono previste tempistiche certe. Inoltre, agli Stati membri viene solitamente concesso un periodo di transizione di 18 mesi per il recepimento e l’attuazione.
Per maggiori dettagli, consulta i documenti ufficiali a questo link.
Per saperne di più saperne di più su come combinare praticità e sicurezza attraverso una migliore autenticazione, clicca qui.