Banking is necessary, but banks are not” diceva profeticamente Bill Gates negli anni ’90, quando ancora termini quali eCommerce, SCA e PSD2 non aleggiavano su di noi.

Una previsione di 30 anni fa che ad oggi appare incredibilmente lucida dopo l’introduzione della più recente direttiva europea sui servizi di pagamento, anche detta PSD2, ufficialmente operativa in Italia da settembre 2019.

E tu, stai rispettando gli obblighi normativi? Sei curioso di sapere cosa dovresti fare?

eCommerce, PSD2, SCA: di cosa stiamo parlando?

La direttiva UE 2015/2366, nota anche come Payment Service Directive o PSD2, ha lo scopo di regolamentare i servizi di pagamento nel mercato europeo.

La PSD2 disciplina, in particolare, sia l’utilizzo di nuovi strumenti digitali sia servizi di pagamento già in uso, enfatizzando innovazione e sicurezza.

Gli obiettivi principali del legislatore europeo sono stati:

  • garantire una maggior protezione del consumatore;
  • consentire lo sviluppo di nuove soluzioni di pagamento, nel perseguimento dell’innovazione settoriale finanziaria.

La PSD2, in primis, predica una maggiore trasparenza e si traduce in standard più rigorosi per gli istituti finanziari. La normativa richiede che i prezzi non siano discriminatori, ossia che i costi per l’accesso all’account e l’iniziazione dei pagamenti siano gli stessi per i clienti finali e i terzi.

Ancora, la normativa prevede che terze parti, non solo banche, possano fornire servizi che precedentemente solo queste ultime erano autorizzate a offrire. Le banche, pertanto, previo consenso del cliente sono ora obbligate a fornire alle terze parti l’accesso ai conti correnti dei loro clienti attraverso interfacce facilmente integrabili, come le Open API.

Per garantire elevati standard di sicurezza, poi, la PSD2 richiede agli operatori finanziari di integrare sistemi di autenticazione sicuri e fra loro armonizzati. È necessario che vengano implementati meccanismi di Strong Customer Authentication (SCA) attraverso l’identificazione multi-fattore, richiedendo che l’identità dell’utente venga accertata attraverso due o più mezzi di autenticazione.

Consentendo ai Third Party Provider di interfacciarsi con le banche, obiettivo della PSD2 è offrire all’utente costi più bassi e una maggiore sicurezza. e, allo stesso tempo, abilitare l’introduzione di nuovi business model e la creazione di nuovi prodotti e servizi che consentano di differenziare le esperienze dei consumatori e renderle il più possibile “customizzate”, ovvero personalizzate.

Impostazione contrattuale delle piattaforme di eCommerce

Dall’alba dei tempi, la maggior parte delle piattaforme di eCommerce, soprattutto marketplace, si limita a facilitare la vendita tra il venditore e l’acquirente, non agendo direttamente in qualità di venditore o rivenditore a loro volta.

Il marketplace eCommerce, in questo modo, trasferisce il rischio economico sul venditore, insieme al rischio finanziario, legale e agli obblighi fiscali derivanti dalla vendita di prodotti o servizi all’acquirente.

ecommerce psd2 sca immagine 1

Con questa impostazione, le piattaforme eCommerce tendono ad assumere semplicemente un ruolo di facilitatore nella vendita di prodotti o servizi, includendo nei contratti con i propri utenti clausole come: “il contratto per la fornitura del servizio viene stipulato tra voi e il cliente”; o “la piattaforma ha semplicemente un ruolo di supporto o agevolazione”; o “la piattaforma ha come unica responsabilità quella di agevolare la disponibilità del sito, dell’applicazione e dei servizi”.

Pertanto, le piattaforme eCommerce spesso non stipulano un contratto con l’acquirente, mentre il venditore stipula un contratto sia con l’acquirente che con la piattaforma stessa.

Ma tutto questo, cosa ha a che fare con la PSD2?

eCommerce e PSD2: il flusso di pagamenti

Anche se il corrispettivo della vendita è dovuto dall’acquirente al venditore, molti eCommerce gestiscono i pagamenti seguendo questo schema:

  • l’eCommerce agisce da intermediario tra acquirenti e venditori;
  • quando l’acquirente effettua un pagamento iniziale per il prodotto o il servizio, il pagamento è spesso ricevuto dall’eCommerce e da questo successivamente girato al venditore.

ecommerce psd2 sca immagine 2

Il flusso di pagamenti appena descritto non è allineato alla responsabilità contrattuale. Sebbene l’eCommerce non effettui direttamente la vendita all’acquirente, non dovendo ricevere il corrispettivo da questi, spesso lo riceve.

Lo scenario descritto crea un gap giuridico nel momento in cui il debito dell’acquirente verso il venditore non viene saldato o estinto quando la piattaforma eCommerce riceve il corrispettivo. La maggior parte delle interpretazioni della normativa europea disciplinante i servizi di pagamento considera questa come un’attività regolamentata, richiedendo che l’eCommerce ottenga un’autorizzazione per le operazioni di pagamento, al netto dei casi di esenzione.

I servizi di pagamento regolamentati

Le seguenti attività sono considerate servizi di pagamento regolati nell’Unione Europea:

  • Gestione di un conto di pagamento, consentendo il versamento e il prelievo di contante da un conto di pagamento (ad esempio, trattenere fondi per uno specifico esercente in un conto bancario prima di rilasciarli in accordo della richiesta dell’esercente stesso);
  • Esecuzione di transazioni di pagamento (ad esempio, elaborare pagamenti da parte dei clienti a favore degli esercenti);
  • Emissione di strumenti di pagamento o acquisizione transazioni di pagamento (ad esempio, acquisendo o elaborando transazioni basate su carta di credito);
  • Riserva di denaro (ad esempio, mediante trasferimento di fondi per conto di un soggetto pagatore a favore di un beneficiario);
  • Servizi di disposizione dei pagamenti (ad esempio, disposizione di un pagamento, come un bonifico bancario, da un conto bancario online di un cliente a un esercente);
  • Servizi informativi sul conto (ad esempio, fornitura di informazioni consolidate o aggregate relative ai conti di pagamento gestiti da provider di servizi di pagamento).

Come detto, quando un eCommerce entra in possesso o gestisce fondi dovuti da un acquirente a un venditore e successivamente li versa a quest’ultimo, per la PSD2 è considerato come un fornitore di servizi di pagamento regolamentati, rientrando nei punti 2 e 4 dell’elenco di cui sopra.

Questo a meno che non rientri all’interno di un’esenzione, come quella delle operazioni come agente commerciale, stratagemma abusato fino all’adozione della PSD2.

Esenzione rivolta agli agenti commerciali

Le piattaforme eCommerce, asserendo di operare come agente commerciale autorizzato a negoziare o a concludere la vendita o l’acquisto di prodotti o servizi per conto del venditore, hanno sfruttato di fatto questa esenzione, anziché diventare fornitori autorizzati di servizi di pagamento regolamentati.

Secondo questa impostazione, l’acquirente non effettua il pagamento alla piattaforma ma direttamente al venditore, per il tramite del proprio agente commerciale. Il venditore è considerato come beneficiario del pagamento, sul piano legale, non appena il pagamento viene ricevuto dal rispettivo agente, ossia la piattaforma stessa.

Molte piattaforme hanno tentato di ricorrere a questa esenzione anziché diventare fornitori autorizzati di servizi di pagamento regolamentati.

Prima della PSD2, alcuni paesi permettevano agli agenti commerciali di agire per conto del pagatore o del beneficiario, ma non di entrambi. Inoltre, alcune autorità di controllo hanno sostenuto che, poiché non è possibile parlare di un’effettiva negoziazione o conclusione della vendita o dell’acquisto da parte dell’eCommerce, quest’ultimo non possa essere considerato alla stregua di un agente commerciale.

La PSD2 chiarisce che l’esenzione per gli agenti commerciali è invocabile solo quando un agente commerciale agisce in modo inequivocabile solo per uno tra pagatore e beneficiario del pagamento. Se, al contrario, agisce per conto di entrambi, l’eCommerce può evitare di dover disporre di una licenza per operazioni di pagamento solo nel caso in cui non possieda o gestisca fondi destinati all’effettivo beneficiario.

Le restrizioni applicate all’esenzione per agenti commerciali hanno lo scopo ultimo di tutelare i pagamenti effettuati dai consumatori ai venditori e di evitare un effetto distorsivo sulla concorrenza.

eCommerce e PSD2: SCA, ossia strong customer authentication

La SCA è, in poche parole, il processo di autenticazione “forte” per il cliente. Si applica principalmente durante l’accesso a un conto online o nel momento di un pagamento digitale, che, per qualsiasi tipo di operazione sul conto, possano comportare il rischio di frodi.

La SCA in ambito eCommerce è una delle novità più importanti della PSD2. Se nella prima applicazione della PSD l’utente effettuava un pagamento online tramite registrazione o accesso inserendo solamente username e password, ora la musica è cambiata.

È necessario, pertanto, integrare un secondo sistema di autenticazione basato sull’utilizzo di almeno due di questi fattori:

  • Conoscenza: all’utente viene richiesto un ulteriore codice che solo lui conosce oppure viene posta una domanda “segreta” che ha una risposta che solo l’interessato conosce;
  • Possesso: all’utente può essere richiesto qualcosa che solo lui ha, quindi un numero di cellulare, un indirizzo email, al fine di poterlo autenticare fornendogli un codice OTP (One Time Password) o un token;
  • Inerenza: all’utente può essere richiesto un riconoscimento tramite facial ID o impronta digitale.

La SCA, tuttavia, non è sempre necessaria, e un eCommerce può evitare di implementarla, conformemente alla PSD2, se:

  • le transazioni sono inferiori a 30 euro a condizione che nell’arco di 24 ore i pagamenti non abbiano superato 100 euro o non si siano effettuate cinque transazioni;
  • le transazioni considerate a basso rischio fino ai 500 Euro non richiedono la SCA. L’analisi del rischio e dell’affidabilità viene svolta dai Payment Service Provider. Se la soglia di rischio risulta minima e al di sotto dei parametri fissati per la SCA, quest’ultima non verrà attuata;
  • gli abbonamenti o i pagamenti sono regolari. In questo caso, l’autenticazione forte viene applicata solo in occasione del primo pagamento;
  • i beneficiari risultano “fidati”. Il titolare della carta potrà indicare, al proprio istituto di credito, uno o più eCommerce come “affidabili”. L’autenticazione forte viene quindi richiesta solo in occasione del primo pagamento.

La conservazione dei dati delle carte di credito

È uso comune di molti eCommerce conservare in modo automatico i dati delle carte di credito dei propri utenti, per facilitare i futuri acquisti. La modalità, tuttavia, è quella corretta?

Sul tema si è espresso l’EDPB, il Comitato europeo per la protezione dei dati, adottando nella sessione plenaria di maggio delle precise raccomandazioni sulla base giuridica per la conservazione dei dati delle carte di credito esclusivamente allo scopo di facilitare ulteriori transazioni online.

Le raccomandazioni riguardano situazioni in cui soggetti interessati acquistano un prodotto o pagano servizi tramite siti web o applicazioni, fornendo i dettagli della propria carta di credito per concludere la transazione. In questi scenari, l’interessato non si aspetta che i dati della carta di credito siano conservati più a lungo del necessario per pagare i suddetti beni o servizi.

È evidente che la conservazione dei dati della carta di credito per facilitare acquisti futuri non è necessaria per perseguire un legittimo interesse dell’operatore o di terzi. Pertanto, l’unica base giuridica adeguata alla conservazione dei dati delle carte di credito dopo il pagamento dovrebbe essere il consenso, ai sensi dell’art. 6 par. 1 lettera (a) del GDPR.

Cosa devo fare per rispettare la normativa PSD2?

La SCA della PSD2 dei vostri utenti potrebbe impattare il modo in cui i consumatori si autenticheranno al vostro eCommerce e, conseguentemente, la loro esperienza di navigazione. Le modalità di gestione dell’autenticazione forte e l’applicazione di eccezioni per offrire ai clienti un’esperienza di pagamento sicura costituirà sicuramente uno dei fattori chiave di successo per il vostro eCommerce.

Ecco alcuni suggerimenti operativi per affrontare le attuali sfide della PSD2:

  • Informatevi sulle diverse soluzioni di pagamento offerte dai diversi Istituti. In questo modo sarete sicuri di trovare la soluzione corretta per il vostro sito eCommerce;
  • Affidatevi a istituti di pagamento che implementano e gestiscono interfacce di autenticazione che utilizzano il protocollo di sicurezza “EMV 3DS2.0”, introdotto dalla PSD2 per autenticare i consumatori sulla base della SCA, ridurre le frodi e migliorare la user experience online dell’utente;
  • Disciplinate nelle condizioni generali di vendita del vostro sito a quali condizioni può applicarsi la SCA del cliente. Inoltre, l’informativa privacy deve essere conforme a quanto previsto in materia dal GDPR.