La seconda direttiva sui servizi di pagamento (PSD2, Second Payment Services Directive) ha introdotto importanti modifiche al funzionamento dei pagamenti per piattaforme e marketplace in Europa. Ha cambiato anche la modalità con cui i fornitori di servizi di pagamento di terze parti possono ottenere l'accesso autorizzato ai conti bancari e gestire i pagamenti e ha introdotto l'autenticazione forte del cliente (SCA, Strong Customer Authentication) per assicurare una maggiore protezione dei pagamenti.
La Commissione europea ha da poco rivisto il quadro attuale e ha formulato le proposte per la terza direttiva sui servizi di pagamento e la normativa per i servizi di pagamento. Le nuove norme sui pagamenti mirano a garantire una maggiore armonizzazione delle regole in tutta l'Unione Europea, a sviluppare ulteriormente la parità di condizioni per i fornitori di servizi di pagamento e a introdurre miglioramenti nella protezione dei clienti e contro le frodi.
Le trattative tra il Parlamento europeo e gli Stati membri dell'Unione Europea sono ancora in corso e le regole definitive non entreranno in vigore prima del 2026. Tuttavia, sono previsti alcuni cambiamenti importanti che le piattaforme e i marketplace (in particolare) dovrebbero conoscere e ai quali possono iniziare a prepararsi fin da oggi. Questa guida offre una panoramica dei cambiamenti attesi e ti aiuterà a prepararti con successo all'introduzione delle nuove regole europee sui pagamenti.
L'Autorità bancaria europea (ABE) sarà incaricata dalla Commissione europea di emanare standard tecnici normativi supplementari e di definire regole dettagliate su elementi importanti della direttiva PSD3/PSR, come l'autenticazione forte del cliente, per favorirne l'attuazione.
Panoramica: che cosa cambierà nella direttiva PSD3?
|
Regole direttamente applicabili nell'UE
|
La nuova normativa per i servizi di pagamento (PSR, Payment Services Regulation) include la maggior parte delle regole già esistenti nella direttiva PSD2, tra cui quelle su frodi e responsabilità, trasparenza, Open Banking e SCA. Tuttavia, queste regole saranno ora direttamente applicabili negli stati membri. Le regole sui pagamenti saranno quindi meno aperte all'interpretazione da parte dei singoli stati membri dell'Unione Europea, verranno applicate in modo più uniforme in tutta l'UE e le attività potranno implementare con più facilità. |
|---|---|
|
Gli istituti di pagamento potranno emettere moneta elettronica
|
La direttiva PSD3 accorpa i quadri giuridici che si applicano agli istituti che emettono moneta elettronica e agli istituti di pagamento. In futuro, gli istituti che emettono moneta elettronica otterranno la licenza come istituti di pagamento ai sensi della direttiva PSD3. Gli istituti di pagamento potranno emettere moneta elettronica e la direttiva EMD2 (E-Money Directive) verrà abrogata. |
|
Ulteriore restrizione dell'esenzione per gli agenti commerciali
|
Le nuove regole impongono requisiti più restrittivi alle piattaforme e ai marketplace che possono usufruire dell'esenzione per gli agenti commerciali, limitando le circostanze in cui è possibile ricorrere all'esenzione per i pagamenti. |
|
Misure per ottimizzare i pagamenti tramite Open Banking
|
Verranno introdotti nuovi benchmark per migliorare le prestazioni delle API di Open Banking e per eliminare gli ostacoli esistenti che i fornitori di terze parti incontrano nell'accesso ai conti bancari dei clienti. In questo modo dovrebbero migliorare il funzionamento e l'adozione dell'Open Banking. |
|
Maggiore responsabilità in caso di frode
|
I fornitori di servizi di pagamento saranno responsabili delle frodi in un maggior numero di casi e saranno obbligati ad adottare misure aggiuntive per combattere le frodi (ad esempio, informando i clienti sui rischi di frode o condividendo le informazioni pertinenti con altri istituti finanziari). |
|
Nuove regole per l'autenticazione SCA e il monitoraggio delle transazioni
|
Verranno chiarite le regole relative all'applicazione dell'autenticazione SCA (ad esempio, in caso di transazioni avviate dall'esercente e tramite ordine postale/ordine telefonico). Anche nei nuovi standard tecnici normativi dell'Autorità bancaria europea verranno probabilmente introdotte modifiche ai requisiti di monitoraggio delle transazioni e alle esenzioni SCA. |
Come influirà la direttiva PSD3 su piattaforme e marketplace?
Pagamenti per piattaforme e marketplace ai sensi delle attuali regole PSD2
Il quadro PSD regola i pagamenti per le piattaforme e i marketplace. Ad esempio, quando una piattaforma entra in possesso o controlla i fondi dovuti da un cliente e li versa a quest'ultimo, si ritiene che la piattaforma fornisca servizi di pagamento regolamentati (come la gestione di un conto di pagamento, l'esecuzione di transazioni di pagamento o il completamento di un'operazione di versamento di denaro). Esiste un'importante eccezione a questa regola: l'esenzione per gli agenti commerciali, sulla quale in passato le piattaforme hanno spesso cercato di fare affidamento per evitare di ottenere una licenza.
La direttiva PSD2 ha reso più rigorosa l'esenzione per gli agenti commerciali, che si applica esclusivamente nei casi in cui una piattaforma o un marketplace agisca solo per conto del pagatore o del beneficiario, ma non di entrambi. Se opera per entrambi, una piattaforma può evitare l'obbligo di licenza solo se non possiede o controlla i fondi (cioè se si affida a un fornitore di servizi di pagamento autorizzato). L'obiettivo era quello di mitigare il rischio di credito delle attività con piattaforma e marketplace, limitando la gestione dei fondi acquisiti a un'entità regolamentata che deve soddisfare i requisiti di salvaguardia locali.
L'esenzione per gli agenti commerciali consente alle parti di fornire servizi di pagamento senza licenza, in situazioni in cui agiscono come agenti commerciali per conto di un pagatore o di un beneficiario.
Regole più rigorose per piattaforme e marketplace ai sensi della direttiva PSD3
La direttiva PSD3 impone requisiti più restrittivi alle piattaforme e ai marketplace che usufruiscono dell'esenzione per gli agenti commerciali, che, di conseguenza, sarà probabilmente disponibile solo in circostanze molto limitate. Se hai una piattaforma o un'attività che attualmente si avvale dell'esenzione per gli agenti commerciali, dovresti considerare attentamente l'impatto della direttiva PSD3.
Le nuove regole introducono ulteriori condizioni da soddisfare per l'applicazione dell'esenzione commerciale: l'agente deve essere autorizzato dal pagatore o dal beneficiario a negoziare o concludere transazioni per suo conto e concedere al pagatore o al beneficiario un margine reale per negoziare con l'agente. Il preambolo della direttiva PSD3 ribadisce che le piattaforme di e-commerce che agiscono come agenti per conto di singoli acquirenti e venditori non sono agenti commerciali e quindi non possono svolgere attività finalizzate ai servizi di pagamento senza una licenza.
La direttiva PSD3 incarica inoltre l'Autorità bancaria europea di emanare linee guida specifiche che facciano ulteriore chiarezza e favoriscano la convergenza tra gli Stati membri dell'Unione Europea, oltre a un elenco dei casi d'uso coperti dall'esenzione.
In che modo Stripe aiuta piattaforme e marketplace a soddisfare i nuovi requisiti
Stripe ha sempre puntato a creare prodotti che riducano al minimo l'onere normativo per gli utenti. Per questo abbiamo creato Connect, una soluzione tecnica che ha eliminato l'onere dei requisiti normativi previsti dalla direttiva PSD2 per le piattaforme. Connect offre lo stesso vantaggio alle piattaforme e ai marketplace ai sensi della direttiva PSD3, fornendo una soluzione di pagamento che non richiede una licenza specifica.
È Stripe a fornire il servizio regolamentato, quindi le piattaforme sono libere di concentrarsi su ciò che sanno fare meglio: creare ottimi marketplace per i loro utenti. Molte centinaia di piattaforme con venditori in tutta Europa hanno già scelto di affidarsi a Connect, invece di dover ottenere una licenza per i pagamenti o dimostrare di rientrare nelle esenzioni.
Pagamenti tramite piattaforma con Connect
Se hai domande su Stripe Connect, siamo lieti di ascoltarti.
Quali sono le nuove regole per l'autenticazione SCA?
Ruolo dell'autenticazione SCA nella riduzione delle frodi
L'autenticazione forte del cliente è stata introdotta in Europa con la direttiva PSD2 al fine di ridurre le frodi e rendere più sicuri i pagamenti online e i pagamenti contactless. L'autenticazione SCA si basa su quella a due fattori. Per saperne di più sull'autenticazione SCA, vedi la nostra guida sull'autenticazione forte del cliente.
La valutazione della Commissione europea sulla direttiva PSD2 ha concluso che l'autenticazione SCA è riuscita nell'intento di ridurre le frodi. La direttiva PSD3/PSR mira a sviluppare e migliorare l'autenticazione SCA chiarendo le definizioni chiave, specificando ulteriormente le eccezioni per le transazioni a basso rischio e continuando a mantenere l'equilibrio tra sicurezza e creazione di modalità di pagamento intuitive, innovative e accessibili.
A nostro avviso, le nuove regole potrebbero migliorare ulteriormente l'esperienza dei clienti al momento del pagamento online, dal momento che illustrano con maggiore chiarezza agli istituti finanziari, ai circuiti delle carte di credito e ai fornitori di servizi di pagamento l'applicazione delle esenzioni SCA per le transazioni a basso rischio o per quelle ricorrenti. A lungo termine, le nuove regole potrebbero anche rendere possibili ulteriori esenzioni a seconda del rischio di una transazione e in linea con i miglioramenti tecnologici. Le attività dovrebbero continuare a ottimizzare il motore SCA ai sensi delle nuove regole per ottenere i migliori risultati di autenticazione.
|
Transazioni avviate dell'esercente
|
Per le transazioni avviate dall'esercente, l'autenticazione SCA deve essere applicata solo al momento della creazione del mandato, ma non alle transazioni successive. Per le transazioni avviate dall'esercente viene introdotto un diritto di rimborso incondizionato di otto settimane, simile a quello degli addebiti diretti SEPA. |
|---|---|
|
MOTO
|
Per le transazioni tramite ordine postale/ordine telefonico (MOTO, mail order/telephone order), solo l'avvio di una transazione di pagamento deve essere non digitale affinché tale transazione sia esente da SCA. |
|
Collegamento dinamico
|
Gli elementi dell'autenticazione SCA che collegano in modo dinamico la transazione a un importo e a un beneficiario specifici devono essere utilizzati per le transazioni di pagamento elettronico in cui l'operazione viene effettuata attraverso un dispositivo del pagatore che utilizza la tecnologia NFC (Near-Field Communication) e l'applicazione di autenticazione SCA richiede l'uso di Internet sul dispositivo del pagatore. |
|
Servizi informativi sui conti
|
Per i fornitori di servizi di pagamento che offrono servizi informativi sui conti nell'ambito dell'Open Banking, l'autenticazione SCA è obbligatoria solo in occasione del primo accesso ai dati. L'autenticazione SCA è tuttavia richiesta anche quando i clienti accedono ai dati aggregati del conto nel dominio del fornitore di servizi informativi, almeno ogni 180 giorni. |
|
Tokenizzazione
|
La tokenizzazione richiede l'applicazione dell'autenticazione SCA quando il titolare della carta è coinvolto attivamente nella procedura (ad esempio, durante la registrazione o la sostituzione di una carta in un wallet o in una soluzione con carta in archivio). |
|
Monitoraggio delle transazioni
|
L'Autorità bancaria europea emanerà standard tecnici normativi per i fornitori di servizi di pagamento che utilizzano il monitoraggio delle transazioni, anche attraverso caratteristiche ambientali e comportamentali (ad esempio, la posizione del cliente o le sue abitudini di spesa). Ciò implica l'utilizzo delle esenzioni SCA per le transazioni che presentano un basso livello di rischio (esenzioni Transaction Risk Analysis). |
|---|---|
|
Esenzioni SCA
|
L'Autorità bancaria europea è inoltre incaricata di sviluppare ulteriori standard tecnici normativi per i requisiti e le esenzioni SCA, tenendo in considerazione un approccio basato sul rischio e sull'uso della tecnologia. |
|
Autenticazione a due fattori
|
Le nuove regole suggeriscono che i fattori utilizzati per l'autenticazione a due fattori nell'ambito dell'autenticazione SCA non devono necessariamente appartenere a categorie diverse, a condizione che la loro indipendenza sia pienamente preservata. In questo modo i clienti potrebbero autenticarsi utilizzando due password oppure un'impronta e Face ID. |
|
Accessibilità
|
I fornitori di servizi di pagamento devono fare in modo che l'autenticazione SCA possa essere eseguita anche senza un dispositivo smart, ad esempio tramite SMS. |
|
Responsabilità per i fornitori di servizi tecnici
|
In caso di mancato supporto all'applicazione di autenticazione SCA, la responsabilità è attribuita ai fornitori di servizi tecnici e agli operatori degli schemi di pagamento, al fine di garantire una maggiore cooperazione tra tutte le parti coinvolte nell'esecuzione dell'autenticazione SCA. |
|---|---|
|
Esternalizzazione
|
I fornitori di servizi di pagamento che si affidano a fornitori di servizi tecnici per il provisioning e la verifica degli elementi SCA devono stipulare accordi di esternalizzazione con questi fornitori. L'Autorità bancaria europea stabilirà i requisiti per tali accordi di esternalizzazione. |
Ulteriori misure per prevenire le frodi e proteggere i consumatori
Oltre ai requisiti SCA aggiornati, le nuove regole introducono ulteriori misure per rafforzare la protezione dei consumatori e incoraggiare i fornitori di servizi di pagamento ad adottare misure aggiuntive per prevenire le frodi, ad esempio l'obbligo per i fornitori di servizi di pagamento di informare i clienti sulle tendenze delle frodi, di tenere regolari programmi di formazione interna, di cooperare con i fornitori di servizi di comunicazione elettronica e di condividere le informazioni con altri istituti finanziari. I fornitori di servizi di pagamento sono inoltre tenuti a rimborsare ai loro utenti il valore delle transazioni fraudolente in caso di truffe di impersonificazione.
Ecco come Stripe ti aiuta a rispettare i requisiti SCA
L'introduzione dell'autenticazione SCA nella direttiva PSD2 ha avuto un impatto notevole sul commercio su Internet in Europa. Per garantire la massima fluidità nella transizione alle nuove regole, Stripe ha collaborato con le attività e i partner interessati per implementare i nuovi requisiti e gestire l'impatto sui tassi di conversione, inclusi il supporto di metodi di autenticazione come il 3D Secure 2 e lo sviluppo di nuovi metodi di autenticazione a due fattori per garantire un'esperienza di autenticazione fluida alle attività e ai loro clienti.
I nostri prodotti, tra cui Stripe Checkout e Billing, si basano sulla nostra API Payments che impiega la logica SCA di Stripe al fine di attivare il 3D Secure ove necessario. La nostra soluzione SCA include la corretta gestione delle esenzioni come pilastro chiave per creare un'esperienza di pagamento di eccellenza in grado di ridurre al minimo le complessità, fornendo al contempo le funzionalità di sicurezza migliori della categoria. Ottimizziamo l'applicazione dell'autenticazione SCA per le diverse regole normative, bancarie e dei circuiti delle carte di credito e applichiamo le esenzioni pertinenti, ad esempio per i pagamenti a basso rischio o per i pagamenti aziendali sicuri, in modo da attivare il 3D Secure e/o applicare l'autenticazione a due fattori solo se necessario.
Flusso dell'autenticazione SCA
Il motore di autenticazione di Stripe sfrutta anche modelli di machine learning che rilevano i rischi in tempo reale e consentono alle attività di fornire un'esperienza ottimale ai clienti, garantendo al contempo la conformità SCA.
Continueremo a monitorare le modifiche imminenti all'autenticazione SCA. La nostra soluzione SCA aggiornata può assisterti nell'applicazione dell'autenticazione SCA e aiutarti a migliorare i tassi di autenticazione e di conversione, mantenendo sempre la conformità alle regole SCA e riducendo al minimo le frodi. Scopri di più su come aumentare i ricavi grazie a tassi di autorizzazione più alti con Stripe.
Cos'altro devi fare?
Le direttive PSD3 e PSR contengono importanti aggiornamenti alle regole europee sui pagamenti. In vista del riesame delle regole, le piattaforme e i marketplace dovranno rivedere l'uso di esenzioni come quella commerciale, se applicabile, o continuare ad affidarsi a fornitori di servizi regolamentati per offrire soluzioni di pagamento.
Alla luce della direttiva PSD3/PSR e delle prossime linee guida dell'Autorità bancaria europea, le attività dovranno anche rivedere continuamente i requisiti per l'autenticazione SCA. I fornitori di servizi di pagamento che hanno integrato gli aggiornamenti SCA nel loro motore di autenticazione possono contribuire a ottimizzare il numero di pagamenti che richiedono l'autenticazione SCA e a massimizzare l'indice di successo dell'autenticazione a due fattori, riducendo al minimo le frodi.
Nel corso del 2024 e del 2025, la Commissione europea, il Parlamento europeo e gli Stati membri dell'Unione Europea finalizzeranno le nuove regole. Successivamente, la direttiva PSD3 dovrà essere recepita dal diritto nazionale degli Stati membri. Sebbene in questa fase non vi siano tempistiche chiare sulle trattative e sul periodo di attuazione, è improbabile che le regole entrino in vigore prima del 2026.
Ci stiamo confrontando con i legislatori coinvolti per condividere il nostro punto di vista su come le future regole europee sui pagamenti possano funzionare al meglio per le attività e i loro clienti. Aggiorneremo questa pagina non appena saranno disponibili ulteriori informazioni.
Per saperne di più su come Stripe può aiutarti a prepararti alle nuove regole o per condividere le tue idee con noi, contatta il team Stripe o invia un'email al team PSD3 all'indirizzo psd3@stripe.com.
Per le risposte alle domande più frequenti degli utenti in merito allo status normativo di Stripe Connect in Europa, vedi questa pagina di domande frequenti.