PSD2 - Payment Services Directive 2

1. Che cos'è la Payment Services Directive 2?

La PSD2 è la Direttiva europea 2015/2366 sui servizi di pagamento nel mercato interno, entrata in vigore il 13 gennaio 2016 e attuata il 14 settembre 2019.
Le principali finalità della Direttiva sono contrastare le frodi e accrescere la fiducia dei consumatori nei pagamenti digitali modernizzando il quadro normativo che regola i servizi digitali innovativi. La PSD2 si rivolge a tutti i fornitori di servizi di pagamento: banche, assicurazioni e c.d. Terze parti (Third Party Providers -TPP).

2. Quali operazioni sono interessate?

Rientrano nell’ambito di applicazione della normativa le operazioni effettuate tramite:
•     canali remoti (es. bonifici, ricariche telefoniche);
•     carte di credito, di debito e prepagate;
•     POS.
Sono invece esclusi gli incassi domestici (MAV, bollettini bancari, Ri.Ba.), poiché già regolati dalla PSD1.

3. Le novità introdotte

La PSD2 introduce importanti novità quali:
•     obblighi di trasparenza: vengono rafforzati i diritti dei consumatori e la trasparenza in relazione agli obblighi di informazione, esecuzione e condizioni economiche;
•     ampliamento di ambito: l’ambito di applicazione della normativa viene esteso a tutte le aree geografche e a tutte le divise;
•     nuove misure di sicurezza: viene introdotta l’autenticazione forte del cliente (Strong Customer Authentication - SCA) per accedere ai conti, disporre ordini di pagamento sui canali on line e per effettuare operazioni che implichino rischi di abuso o frode;
•     accesso ai conti on line tramite TPP: viene prevista la possibilità di accedere alle informazioni relative al proprio conto corrente e alle transazioni effettuate nonché di disporre ordini di pagamento attraverso Terze parti.

Tra le novità introdotte, particolarmente rilevanti risultano quelle relative alle nuove misure di sicurezza.

4. Le nuove misure di sicurezza

Per l’accesso dei conti on line sarà richiesta l’Autenticazione forte del cliente che garantisce una maggiore sicurezza dell’utente ed è basata su almeno due fattori appartenenti alle seguenti categorie:
•     conoscenza: ossia qualcosa che solo l’utente conosce (es. password statica, codice, numero identifcativo personale);
•     possesso: ossia qualcosa che solo l’utente possiede (es. token, telefono cellulare);
•     inerenza: ossia qualcosa che l’utente è (es. caratteristiche biometriche, come un’impronta digitale).
I fattori devono essere reciprocamente indipendenti, cioè la violazione di uno non compromette l’altro. Inoltre, almeno uno degli elementi dovrebbe essere non riutilizzabile e non replicabile e non trafugabile via Internet. La procedura di autenticazione deve essere progettata in modo tale da proteggere la riservatezza dei dati di autenticazione.

La SCA si applica per:
•     l’accesso al conto on line;
•     la presentazione di una disposizione di pagamento elettronico;
•     l’esecuzione di qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi.

Per autorizzare un pagamento elettronico a distanza è richiesta, oltre alla SCA, l’applicazione del dynamic linking ovvero un codice univoco legato all’importo della transazione e al suo beneficiario, quindi
in caso di cambio di importo o benefciario il codice è nullo e deve esserne generato un altro.

5. Divieto di maggiorazione

La Direttiva impone il divieto per gli esercenti di applicare ai propri clienti una maggiorazione per l’uso di un determinato strumento di pagamento. Nello specifco, secondo quanto previsto dal Regolamento 751 del 2015, le commissioni interbancarie non possono essere superiori allo 0,2% del valore dell’operazione per i pagamenti con carte di debito e allo 0,3% per quelle con carta di credito.
Il cliente ha la possibilità di disconoscere operazioni non autorizzate entro 13 mesi dall’addebito delle stesse sul conto corrente. Il rimborso dell’importo disconosciuto dovrà essere effettuato entro la giornata lavorativa successiva a quella in cui è stata fatta la richiesta. La Banca non è tenuta al rimborso solo nel caso in cui vi sia un motivato sospetto di frode da parte del cliente.

6. Pagamenti non autorizzati e reclami

La franchigia relativa alle spese non riconosciute effettuate prima della denuncia del furto della carta di credito sarà portata da 150 euro a 50 euro.
Per questa tipologia di reclami le tempistiche per la gestione dei reclami scritti si riducono da 30 giorni solari a 15 giorni lavorativi.
Nel caso in cui non sia possibile rispettare il termine dei 15 giorni la Banca invia una risposta interlocutoria con indicazione delle ragioni del ritardo specifcando il termine entro il quale verrà fornita la risposta defnitiva e comunque non oltre 30 giorni solari.