LaDirettiva europea sui servizi di pagamento (PSD2)è obbligatoria dal1° gennaio 2021.Ma cos’è esattamente la PSD2 e come funziona questa normativa europea? Scopriamolo in questa guida pratica per ecommerce.
Guida legale per titolari di ecommerce
Tutti gli adempimenti legali necessari per aprire un ecommerce in regola.
Inserisci il tuo indirizzo email e la riceverai direttamente nella tua casella di posta.
Ci siamo quasi: inserisci il tuo indirizzo email qui sotto per ottenere l'accesso immediato.
Inserendo la tua email qui sotto, presti il tuo consenso a ricevere comunicazioni commerciali, newsletter e la guida gratuita da parte di Shopify, via email.
Le origini: la Payment Service Directive (PSD)
La prima direttiva sui pagamenti (PSD) è entrata in vigore il 1° aprile 2010. Permetteva di regolare i pagamenti all’interno dell’Unione Europea e lo scopo era quello di aumentare la sicurezza dei consumatori.
Questo testo normativo, però, ha dimostrato ben presto di non riuscire a tenere il passo con l’aumento esponenziale dei pagamenti online e dello sviluppo dell’ecommerce: la crescita del commercio elettronico ha implicato un aumentato anche del crimine informatico e quindi è sorta l’esigenza di tutelare sia i consumatori sia le imprese digitali.
Ecco perché, dopo appena 4 anni dalla introduzione della PSD, la Commissione Europea ha deciso di aggiornare la direttiva e, di conseguenza, di introdurre laPSD2.
Le principali novità della PSD2
Anche la PSD2 ha lo scopo di proteggere i pagamenti online. Lo fa attraverso dei sistemi innovativi che tutelano sia il consumatore che effettua l’acquisto, sia l’ecommerce che permette la disposizione di pagamento. Vediamo le principali novità della PSD2.
Autentificazione forte o "Strong Customer Authentication" (SCA)
Con questo termine si intende un processo di autenticazione “forte” del cliente. La SCA si applica per l’accesso al conto online o la presentazione di una disposizione di pagamento elettronico, ovvero, per qualsiasi tipo di azione che possa comportare all’utente rischi di frodi o abusi nei pagamenti online.
È la novità più importante per i siti di ecommerce: se prima della piena applicazione della PSD2 l’utente poteva effettuare un pagamento online semplicemente inserendo username e password,con la PSD2 questo non è più sufficiente.È necessario, infatti, implementare un secondo sistema di sicurezza.
In questo contesto, l'autenticazione forte o SCA si basa almeno su due fattori delle seguenti categorie:
- Conoscenza: qualcosa che solamente l’utente conosce (es. password, PIN o la risposta a una domanda particolare).
- Possesso: qualcosa che solamente l’utente possiede (es. numero di cellulare, indirizzo e-mail, token).
- Inerenza: qualcosa che l’utenteè(es.: impronte digitali o riconoscimento facciale).
Le eccezioni all'autenticazione forte o SCA
I siti di ecommerce non devono implementare sempre l'autenticazione forte: la PSD2, infatti, prevede numerose eccezioni. È molto importante conoscerle permigliorare la user experiencedell’utente ed evitare “controlli” in fase di pagamento non necessari.
Ecco le eccezioni più comuni all'autenticazione fortePSD2in ambito ecommerce:
- Transazioni inferiori a 30 euro, a condizione che nell’arco di 24 ore i pagamenti non abbiano superato 100 euro o non si siano effettuate cinque transazioni.
- Transazioni a basso rischio di importo complessivo tra 30 e 500 euro. Nel caso in cui i servizi di pagamento indicano tassi di frodi entro determinati parametri.
- Abbonamenti o pagamenti regolari. L'autenticazione forte viene applicata solo in occasione del primo pagamento.
- Beneficiari “credibili”. Il titolare della carta potrà indicare uno o più ecommerce come “affidabili”.L'autenticazione forteviene quindi richiesta solo in occasione del primo pagamento.
- Pagamenti fuori dall’Europa. Se il cliente non risiede in Europa, l'autenticazione fortenon si applica.
Questo significa che per i pagamenti sopra indicati non vi sono misure di sicurezza?Niente affatto.Significa独奏切每questi pagamenti莎拉进而ficiente usare anche solo un fattore di sicurezza.
Elaborazione dei dati dalle terze parti
Altra novità introdotta con laPSD2consiste nella possibilità di accesso alle informazioni relative al conto corrente dell’utente, alle transazioni effettuate nonché nella possibilità di disporre di ordini di pagamento attraverso terze parti.
Per “terze parti” si intendono tutte quelle società che offrono servizi di pagamento previsti dalla PSD2 (è un tema che non approfondiamo in questo articolo, perché non coinvolge direttamente siti di ecommerce o web agency).
Il 3DS verrà sostituito dal 3DS 2.1
Il 3DS è un protocollo che, introducendo un meccanismo di autenticazione a due fattori quando si effettua un pagamento online, incrementa la sicurezza dell’acquirente.
联合国sostanziale Tuttavia miglioramento德拉prote来zione degli acquirenti arriva dal passaggio al protocollo 3DS 2.1: infatti, attualmente il protocollo 3DS ha molti limiti, tra cui l’utilizzo di una schermata pop-up avente un URL diverso e l’obbligo dell’utente di memorizzare una password.
Con l’introduzione del protocollo 3DS 2.1, le problematiche del precedente protocollo verranno risolte. La 3DS 2.1 garantirà all’utente una migliore user experience in quanto l’utente potrà utilizzare dati biometrici, e questo gli permetterà di non doversi più ricordare alcuna password oltre che garantirgli una maggiore sicurezza.
Infine, l’adozione della 3DS 2.1 prevede lo spostamento delle responsabilità della transazione in capo alla società emittente la carta di pagamento per un eventuale frode. Tale responsabilitànon sarà quindi più imputata al venditore.
Modifiche ai termini di vendita e alla privacy policy
L’introduzione della PSD2 implica anche modifiche ai termini di vendita e allaprivacy policy.Non sono modifiche obbligatorie per legge.
È però consigliabile informare l’utente delle condizioni previste dalla PSD2 per completare l’acquisto. Questa modifica impatta sul contenuto dei termini di vendita. Inoltre, nella privacy policy è anche opportuno informare l’utente che i suoi dati personali potranno essere trattati per completare l’acquisto. Questa informativa è importante per evitare, ad esempio, che l’utente reclami il fatto di aver ricevuto richieste di autenticazione direttamente sul proprio cellulare.
Quali azioni devo intraprendere per il mio negozio Shopify?
Se utilizzate Shopify Payments o Stripe per elaborare i pagamenti con carta, il vostro negozio è già conforme alla PSD2 e non dovrete fare nulla.
Se utilizzate gateway di pagamento di terze parti, verificate la conformità PSD2 a seconda della vostra situazione:
- Se utilizzate un gateway di pagamento di terze parti abilitato a 3D Secure per Shopify, assicuratevi di essere iscritti aCardinal, un provider 3D Secure che si integra con molti gateway di pagamento di terze parti disponibili su Shopify. Una volta creato il vostro account Cardinal, vi verrà richiesto di andare sulla dashboard Shopify inImpostazioni > Gestori dei pagamenti每accedere红衣主教。
- Se utilizzate un gateway di pagamento di terze parti che non è compatibile con 3D Secure per Shopify, dovrete passare a un gateway compatibile.
- Se utilizzate un altro gateway di pagamento di terze parti, verificate la conformità con il vostro provider.
Considerazioni finali
Lo scopo della PSD2 è quello ditutelare i consumatori europei: l’UE persegue l’obiettivo di facilitare la libera circolazione tra i paesi europei, e tra i mezzi applicati per il perseguimento di questo obiettivo è necessario aggiungere la direttiva PSD2, la quale, grazie ad una previsione di protocolli di pagamento online sicuri e volti a migliorare l‘esperienza di acquisto per l’acquirente, ha appunto questo scopo. Il consumatore, grazie alla maggiore sicurezza e uniformità tra i paesi europei, sarà maggiormente incentivato ad effettuare transazioni online anche in siti ecommerce di un altro paese europeo.
I maggiori adempimenti per conformarsi a questa direttiva sono stati effettuati dalle banche e dagli istituti di pagamento. I titolari di un ecommerce dovranno solamente assicurarsi che il loro sito sia a norma e che disponga di un processo di autenticazione forte del cliente.
In conclusione, queste modifiche normative sono a vantaggio dei consumatori europei e volte a tutelarli dalle frodi nelle quali possono incorrere effettuando pagamenti online. Una maggiore sicurezza del consumatore porterà indubbiamente innumerevoli vantaggi agli stessi siti ecommerce.
Infine, per vendere online rispettando tutte gli obblighi legali, vi consigliamo di leggere gli altri articoli della nostra sezioneAdempimenti legali.
Pronto per aprire il tuo negozio online? Inizia la tua prova gratuita con Shopify. Non serve la carta di credito.
Note sull’AutoreLorenzo Grassano è pioniere del diritto dell’ecommerce e della privacy. Assiste web agency, siti e start-up italiani e stranieri. Da quando ha fondatoLegalBlink, generatore di documenti legali specifico per ecommerce e con un team di legali a supporto, acquista tutto solo online.