Sicurezza, innovazione e usabilità: sono queste le parole chiave del dibattito pubblico sulla nuova direttiva europea PSD3 per i pagamenti digitali.
La PSD3, per la quale la Commissione Europea lo scorso 28 giugno ha avviato l’iter legislativo, andrà a sostituire l’attuale PSD2 (che, lo ricordiamo, ha introdotto la Strong Customer Authentication, SCA, nei pagamenti digitali).
All’interno della direttiva anche miglioramenti e semplificazioni per la sicurezza operativa dei pagamenti elettronici.
Indice degli argomenti
La sicurezza nella nuova normativa europea PSD3
Uno dei capisaldi di questa nuova direttiva europea è proprio la sicurezza dei pagamenti digitali.
Se con PSD2 vennero introdotte nuove misure a tutela del consumatore, proprio per migliorare la sicurezza dei propri pagamenti elettronici, con PSD3 questo viene rimodernato tenendo conto delle novità in materia di frodi e attacchi ai consumatori, che in questi anni hanno visto evoluzione e sofisticazione.
Rafforzare le misure per combattere le frodi nei pagamenti, è proprio una delle prime mission che la direttiva cerca di affrontare.
Si è visto, infatti, negli ultimi anni, che l’introduzione della SCA (Strong Customer Authentication) ha rappresentato sicuramente una grande innovazione per la sicurezza dei pagamenti elettronici e ha consentito di contrastare un gran numero di attacchi fraudolenti.
Tuttavia, a seguito delle analisi sulle nuove modalità di truffe online, questo non sembra più essere sufficiente.
In questo ambito di azione interverrà la PSD3, introducendo nuovi sistemi di sicurezza ai quali ogni PSP (prestatore di servizi di pagamento), e a cascata ogni commerciante, dovrà adeguare le proprie procedure verso il cliente finale.
Nuovi strumenti di difesa dalle truffe online
Lo “spoofing” (impersonificazione, ad esempio, del numero di telefono) e l’ingegneria sociale, sono due tipologie di attacchi per frodi sui pagamenti elettronici, attualmente molto utilizzati dai criminali informatici.
Attacchi che non venivano dettagliatamente considerati nella PSD2 (perché, al tempo della “vecchia” direttiva non erano ancora così diffusi). Nell’attuale scenario in cui le truffe online si sono evolute diventando sempre più sofisticate, questi stessi attacchi saranno invece al centro dell’attenzione nella nuova PSD3.
Sarà presumibilmente l’introduzione della verifica IBAN/nome, autorizzata solo dopo il consenso operativo della banca sulla corrispondenza tra nominativo e IBAN ad esso collegato, a combattere contro i tentativi di spoofing: per esempio, quando i criminali impersonano l’e-mail o il numero di telefono della banca, per far operare un certo bonifico al cliente.
Questa verifica verrà inoltre ampliata a tutti i tipi di bonifici, compresi quelli istantanei e di basso importo (che oggi non hanno l’obbligo di verifica).
Oltre l’ampliamento a tutte le tipologie di bonifico della verifica IBAN/nome, per contrastare le frodi di ingegneria sociale, la direttiva conterrà l’obbligo rivolto a tutti i PSP di svolgere azioni educative per aumentare la consapevolezza delle frodi nei pagamenti tra i loro clienti e il personale.
Ma anche l’implementazione di piattaforme IT governative, che consentano a tutti i PSP di condividere tra loro informazioni relative alle frodi e il rafforzamento del monitoraggio delle transazioni.
Frodi online: imparare il “linguaggio” dei truffatori per non cadere nelle loro trappole
Impatti sui commercianti delle modifiche normative
I commercianti trarranno probabilmente vantaggio dalla maggiore attenzione alla sicurezza e alla prevenzione delle frodi ai sensi della PSD3.
Si prevede che misure di sicurezza più snelle ed efficaci riducano il numero di transazioni fraudolente, che possono essere costose per i commercianti.
Considerando che il quadro normativo per le specifiche misure e i dettagli su come dovranno essere implementate, è ancora tutto in divenire, è difficile fare una stima sui costi che i commercianti dovranno sostenere per adeguare le proprie attività.
Inoltre, il tetto delle azioni fraudolente sta aumentando di anno in anno sia come volumi sia come perdite economiche, questi costi saranno sempre più ingenti rispetto all’adeguamento innovativo utile a scongiurare tali frodi.
In alcuni casi, i cambiamenti addirittura potranno significare una semplice commissione su una specifica transazione, senza necessità di introdurre nuovi investimenti infrastrutturali.
La PSD3 potrebbe anche avere implicazioni per il rapporto tra i commercianti e i loro clienti. In particolar modo sull’esperienza che attualmente i clienti hanno con gli strumenti offerti dai commercianti.
Questo punto della normativa, che cammina di pari passo con il fatto che PSD3 promuove lo sviluppo di servizi di pagamento nuovi e innovativi, sarà il banco di prova per l’eliminazione definitiva di obsolete soluzioni, attualmente poco funzionali e gravemente insicure.
Questo può riferirsi, per esempio, alla prenotazione con carta assente, operata attualmente da esercenti POS autorizzati direttamente dai circuiti (unicamente di prestabilite categorie merceologiche), ma che espone il cliente e i dati della sua carta di credito, a importanti rischi di sicurezza.
Questo tipo di pagamento, infatti, viene effettuato direttamente dall’operatore POS, via telefono con il cliente in linea, che detta fisicamente il PAN della propria carta di credito, consentendo così di portare a termine l’operazione (per esempio una prenotazione di hotel).
Tale strumento è tutt’oggi in calo nell’utilizzo, ma ancora richiesto dalla clientela di riferimento, ormai quasi soppiantato dal decisamente più sicuro Pay By Link, ovvero qual sistema offerto sempre dai circuiti POS che consente al commerciante di inviare un link di prenotazione al contatto diretto del cliente, con il quale quest’ultimo stesso opera (firma e autorizza) il pagamento con le proprie carte in autonomia, senza doverne comunicare i dati a terzi.
Le alternative già esistono dunque e in quest’ottica PSD3 metterà in piedi una generale revisione di tutti questi processi, regolamentando definitivamente anche tutte queste “vecchie abitudini”.
Le prossime tappe
Ci vorranno dai tre ai cinque anni a partire da adesso prima di vedere attiva la nuova direttiva e superare nella pratica la PSD2.
Inoltre, non sarà sicuramente facile trovare il giusto equilibrio tra sicurezza e innovazione, aumentando la semplificazione ma, se PSD3 metterà in atto le giuste regolamentazioni, potrebbe produrre un impatto positivo sull’industria dei pagamenti e avvantaggiare esercenti e consumatori, creando così un ecosistema digitale molto più vivibile di quello attuale.
