Nuova direttiva per i pagamenti digitali: ottenuto un periodo di tolleranza

Il 14 settembre entra in vigore in Europa la direttiva PSD2 che obbliga a usare l’autenticazione in due fattori per i pagamenti online. Serve per mettersi al riparo da frodi bancarie e furti di dati. Ecco cosa e come cambierà.

Nell’ottica di tutelare al meglio i consumatori che fanno acquisti online, l’Unione Europea ha deciso che dal 14 settembre 2019 entrerà in vigore in Europa la Strong Customer Authentication (SCA) prevista dalla direttiva PSD2 (Payment Services Directive) dell’11 dicembre 2017 e recepita dall’Italia con decreto legislativo del 13 gennaio 2018.

La SCA è un requisito obbligatorio di autenticazione in due fattori per i pagamenti online, e richiede che i pagamenti vengano autenticati tramite almeno due dei seguenti tre elementi:

  • informazioni note solo al cliente (ad esempio password o domanda di sicurezza),
  • oggetti posseduti solo dal cliente (per esempio lo smartphone),
  • caratteristiche fisiche che possiede solo il cliente (impronta digitale o riconoscimento facciale).

La nuova direttiva sui servizi di pagamento digitali (cosiddetta PSD2) prescrive la necessità della cosiddetta “autenticazione forte” del pagatore al fine di aumentare il livello di sicurezza dei pagamenti stessi.

Nel nostro settore, l’implementazione della direttiva comporterà la necessità di aggiornare le procedure di gestione delle prenotazioni e degli incassi, con particolare riferimento alle cosiddette prenotazioni prepagate, al versamento di caparre ed alla gestione dei no show, sia in relazione alle prenotazioni ricevute direttamente dalle strutture ricettive, sia a quelle ricevute per il tramite dei portali.

Trattasi di due novità che apportano cambiamenti importanti sia a livello commerciale (in particolare attraverso l’open banking) sia nelle transazioni.

Cos’è l’open banking

L’open banking è una condivisione dei dati tra i diversi attori dell’ecosistema bancario, naturalmente autorizzata dai clienti. E’ un concetto nato recentemente con la PSD2, motivato dalla nascita di tanti nuovi servizi, specialmente nel segmento fintech, forniti da aziende che, però, non sono banche. Questi servizi di terze parti possono chiedere accesso al conto e ad altre informazioni che l’istituto bancario deve condividere con una terza parte secondo le richieste dell’utente.

La PSD2 ha dovuto definire quali tipi di dati, per esempio, le banche devono obbligatoriamente condividere con una terza parte autorizzata e quali, invece, sono facoltativi. In questo secondo caso, la banca potrebbe anche pensare di “vendere” l’accesso a tali dati. Nascono così nuovi servizi per gli istituti bancari e per le startup fintech. Tra i dati che le banche possono condividere ci sono, ad esempio, l’IBAN, i dati personali dell’utente e lo stato del suo conto corrente.

L’obiettivo della PSD2 è quello di accelerare la concorrenza, agevolando l’introduzione di nuove tipologie di servizi bancari, ma senza costringere le nuove aziende che nascono in questo settore a sottostare a complicazioni burocratiche.

Le associazioni di categoria hanno sensibilizzato le autorità competenti in materia, segnalando la necessità di assicurare alle imprese il tempo, le informazioni e gli strumenti tecnici necessari per l’adeguamento ai nuovi standard, che risulta oggettivamente impossibile da completare entro il 14 settembre 2019.

La medesima comunicazione è stata portata all’attenzione dell’Autorità Garante della Concorrenza e del Mercato, esprimendo preoccupazioni in merito alla possibilità che la nuova normativa possa essere strumentalmente utilizzata dai portali di prenotazione al fine di indurre forzosamente gli esercenti ad avvalersi dei propri canali di incasso.

Nel corso di un incontro presso Banca d’Italia, è stato comunicato che EBA (European Banking Authority) ha deciso di accordare alle società emittenti un periodo di tolleranza rispetto alla scadenza del 14 settembre ed ha reso noto che entro la fine dell’anno sarà reso noto il termine entro il quale dovrà essere portato a termine il percorso di adeguamento.

Nel riservarci di fornire ulteriori informazioni sull’argomento, riteniamo opportuno suggerire di valutare con prudenza eventuali strumenti di incasso proposti dai portali di prenotazione, che potrebbero determinare un incremento del tasso di dipendenza delle strutture ricettive dai portali stessi e del costo dei relativi servizi.

Pubblicato in GDPR, Innovazione, News, Tecnologie Taggato con: , , , ,