L’Autorità Bancaria Europea (EBA) ha pubblicato il parere finale riguardante gli standard tecnici di regolamentazione che accompagneranno l’introduzione della Terza Direttiva sui Servizi di Pagamento (PSD3) e del Regolamento sui Servizi di Pagamento (PSR). Il documento rappresenta un passaggio decisivo per l’ecosistema del commercio elettronico, poiché definisce i perimetri operativi entro cui i prestatori di servizi di pagamento (PSP) e i merchant dovranno muoversi per garantire la sicurezza delle transazioni e la protezione dei dati dei consumatori.
Il fulcro del parere risiede nell’evoluzione della Strong Customer Authentication (SCA). L’EBA ha risposto alla necessità di rendere l’autenticazione più resiliente di fronte alle tecniche di frode emergenti, come il social engineering e il phishing avanzato. Le nuove linee guida introducono requisiti più stringenti per il collegamento tra l’identità dell’utente e il dispositivo utilizzato, mirando a eliminare le vulnerabilità legate agli SMS come unico fattore di possesso. Per i negozi online, questo implica una collaborazione più stretta con i gateway di pagamento per assicurare che il flusso di acquisto rimanga fluido nonostante l’irrigidimento dei protocolli di sicurezza.
Responsabilità e contrasto alle frodi nel nuovo assetto PSR
Un elemento di discontinuità rispetto al precedente quadro normativo riguarda l’estensione delle responsabilità in caso di transazioni non autorizzate. Il parere dell’EBA chiarisce le modalità con cui i prestatori di servizi dovranno rimborsare gli utenti vittime di frodi basate sulla manipolazione psicologica, qualora i sistemi di monitoraggio delle transazioni non abbiano rilevato anomalie evidenti. Tale misura sposta l’attenzione dei merchant sulla qualità dei dati inviati durante la richiesta di autorizzazione: una maggiore profondità di informazioni sul contesto della transazione diventerà fondamentale per beneficiare delle esenzioni SCA previste per le operazioni a basso rischio.
Il documento affronta inoltre il tema della SCA delegata. Molti merchant di grandi dimensioni hanno espresso l’interesse a gestire direttamente l’autenticazione per migliorare la user experience. L’EBA ha stabilito criteri rigorosi per questa pratica, imponendo standard di conformità elevati che potrebbero limitare tale opzione solo agli operatori con infrastrutture tecnologiche certificate. La trasparenza rimane il requisito cardine: ogni passaggio del processo di pagamento deve essere documentato per consentire una rapida risoluzione delle controversie e garantire la tracciabilità totale dei fondi.
Impatto sul checkout e-commerce e tempi di adeguamento
L’applicazione di questi standard richiederà una revisione tecnica dei carrelli elettronici. I merchant dovranno prestare attenzione alla gestione delle eccezioni, come le transazioni avviate dal venditore (MIT) e i pagamenti ricorrenti, che nel quadro PSD3 ricevono una disciplina più armonizzata per evitare interpretazioni divergenti tra i diversi Stati membri. L’obiettivo dell’EBA è creare un mercato unico dei pagamenti dove la sicurezza non sia percepita come un ostacolo, ma come un elemento di fiducia che incentivi l’uso degli strumenti digitali.
L’adozione definitiva di queste linee guida seguirà l’iter legislativo europeo, ma i tecnici dell’Autorità suggeriscono ai merchant di avviare già ora una valutazione d’impatto sui propri sistemi. L’integrazione di sistemi di analisi del rischio basati sull’intelligenza artificiale e la transizione verso metodi di autenticazione biometrici più avanzati rappresentano le direttrici principali per mantenere elevati i tassi di conversione senza incorrere in sanzioni o blocchi operativi da parte degli istituti finanziari.
