La PSD2 (Payment Services Directive 2) è una direttiva europea che stabilisce le regole per i servizi di pagamento in tutti i Paesi dell'Unione Europea. Questa normativa definisce standard uniformi per le società finanziarie e gli istituti che gestiscono transazioni e denaro elettronico.
Gli obiettivi principali della direttiva sono due:
- la protezione degli utenti durante gli acquisti digitali e i trasferimenti di fondi;
- la trasparenza del mercato finanziario, attraverso una definizione chiara dei costi applicati ai consumatori.
Ogni operazione eseguita in ambito europeo segue gli stessi standard tecnici, assicurando uniformità sia per gli acquisti nazionali sia per quelli all'interno dell'Unione.
Le principali novità introdotte dalla PSD2
La normativa ha introdotto cambiamenti strutturali nel rapporto tra i clienti e le società finanziarie, in particolare attraverso l'Open Banking. Con questo sistema, gli istituti sono obbligati a condividere i dati relativi ai pagamenti con altre società certificate, ma solo previo consenso esplicito del cittadino.
Open Banking
L'Open Banking lascia il potere decisionale al consumatore, che ha il diritto di concedere o revocare autorizzazioni specifiche a servizi di terze parti in qualunque momento. Per esempio, una persona può usare una singola applicazione sul telefono per leggere i movimenti del proprio conto e di altre carte prepagate.
Questo meccanismo produce effetti concreti per il consumatore:
- Gestione centralizzata delle proprie risorse da un unico schermo.
- Totale controllo sulle informazioni condivise, con il diritto di revocare il permesso in ogni momento.
- Trasferimento dei dati solo attraverso canali informatici chiusi e sorvegliati.
Commissioni e rincari
L'altra novità decisiva riguarda le commissioni. La direttiva vieta l'applicazione di rincari ingiustificati sui prezzi di vendita. I negozi e le piattaforme non possono aggiungere sovrapprezzi per l'uso di determinate carte di pagamento. L'acquirente deve sempre conoscere in anticipo l'importo esatto che verrà addebitato sul proprio saldo.
Come funziona l'autenticazione forte (SCA)
Per accertare l'identità del titolare durante un pagamento, la legge ha reso obbligatoria la Strong Customer Authentication (SCA), ovvero l'autenticazione forte. È un sistema di verifica informatica che si attiva al momento del pagamento.
Per validare un acquisto online, il sistema richiede la combinazione di almeno due dei seguenti elementi:
- Conoscenza: un dato noto solo all'utente, come il codice PIN o una password.
- Possesso: un oggetto materiale in mano all'utente, come lo smartphone personale.
- Inerenza: una caratteristica fisica, come l'impronta digitale o il riconoscimento facciale.
Nella pratica: il sito internet chiede di digitare un codice temporaneo ricevuto via messaggio sul telefono (possesso) e, subito dopo, chiede di appoggiare il dito sul lettore di impronte (inerenza) per confermare l'accesso all'applicazione.
Questo doppio passaggio riduce il rischio di transazioni non autorizzate. Anche in caso di furto dei dati della carta, l'operazione non può essere conclusa senza il secondo fattore di verifica, ad esempio l'approvazione tramite l'applicazione installata sul telefono.
Sicurezza e tutela degli utenti nei pagamenti online
La normativa definisce le responsabilità delle società finanziarie in materia di sicurezza. I sistemi di monitoraggio analizzano le transazioni per individuare eventuali movimenti insoliti; in questi casi il software può prevedere il blocco temporaneo dell'operazione per richiedere una verifica diretta al titolare.
In caso di utilizzo non autorizzato dello strumento di pagamento prima del blocco, la legge limita la responsabilità economica del consumatore. La franchigia massima a carico dell'utente è fissata a 50 euro, ma la copertura può essere integrale qualora:
- la società finanziaria non abbia richiesto l'autenticazione forte durante l'operazione;
- il fatto non sia riconducibile a una grave disattenzione del cliente.
L'impatto della normativa sulla gestione della carta di credito
Il rispetto degli standard PSD2 è obbligatorio per tutti gli operatori.
- Negozi fisici: per i pagamenti tramite terminali POS in modalità contactless, è possibile pagare avvicinando lo strumento al lettore senza digitare il PIN fino a un limite di 50 euro. Superata una determinata soglia di operazioni o un importo cumulativo, il terminale richiede la digitazione del PIN per la verifica dell'identità.
- E-commerce: per confermare un ordine non è più sufficiente l'inserimento dei dati stampati sulla carta. È necessario utilizzare i protocolli tecnologici previsti, come l'inserimento di un codice temporaneo (OTP) o l'approvazione tramite l'applicazione della società finanziaria. Per questo motivo è necessario mantenere i propri recapiti aggiornati nei sistemi della società.
Obblighi di trasparenza per la società finanziaria
La PSD2 impone obblighi informativi rigorosi. Ogni costo deve essere illustrato chiaramente prima della sottoscrizione di qualunque documento. Gli estratti conto e i prospetti informativi devono:
- elencare le voci di costo in modo chiaro e separato;
- specificare con esattezza i costi per la gestione dei servizi ed eventuali commissioni di cambio valuta;
- utilizzare un linguaggio lineare, evitando terminologie tecniche oscure.
Inoltre, le società devono fornire indicazioni precise sulle modalità di reclamo e sui tempi di risposta, nel rispetto degli standard dell'Unione Europea.