Psd2 e autenticazione forte: il rischio di una partenza disordinata

Il 14 settembre 2019 scatterà l’obbligo di attuazione della direttiva Psd2 per l’autenticazione forte dell’utente (Strong Customer Authentication-Sca), declinate dalle regole tecniche emesse dall’European Banking Authority il 13 marzo.

La nuova disciplina comporterà una radicale trasformazione dei protocolli di pagamento elettronico, imponendo a tutti i prestatori dei servizi di pagamento (Psp) e agli operatori dei settori connessi di ripensare l’operatività.

La Psd2 individua tre criteri generali di autenticazione dell’utente: l’inerenza («ciò che l’utente è», per usare le parole della Direttiva), la conoscenza («ciò che l’utente sa») e il possesso («ciò che l’utente possiede»). Il che non è una novità. Lo è invece l’obbligo di far sì che i protocolli di autenticazione impieghino almeno due di tali criteri in maniera indipendente: l’eventuale violazione del protocollo riferibile a un criterio non dovrà cioè essere tale da compromettere di per sé la sicurezza apprestata dal protocollo riferibile a uno degli altri due criteri. È un adeguamento di portata sistemica, il cui positivo esito sarà fondamentale per non pregiudicare settori di business che nei pagamenti elettronici trovano il proprio presupposto.

Con l’approssimarsi della scadenza negli ultimi mesi sono migliaia le richieste pervenute all’Eba da parte degli operatori per ottenere chiarimenti sulla compatibilità dei protocolli sin qui utilizzati con la disciplina Sca. L’Autorità ha risposto con il parere pubblicato il 21 giugno, svolgendo un interessante approfondimento non solo sul piano tecnico ma anche sulle tempistiche di applicazione delle nuove disposizioni. A livello tecnico, per ciascuno dei criteri generali di autenticazione forte l’Autorità ha elaborato un elenco dei protocolli ritenuti tali da soddisfare o meno i requisiti tecnici imposti dalla nuova disciplina, declinando tali valutazioni in tabelle operative di facile consultazione. Tra i metodi di autenticazione ritenuti non conformi alle regole tecniche possono segnalarsi le carte di pagamento associate a codici di sicurezza stampati direttamente sulla carta o a password per singoli utilizzi riportate in elenchi cartacei, in quanto inidonei a evitare il rischio di duplicazione. Ma la parte più interessante del parere Eba è quella relativa alla deadline per l’entrata in vigore della nuova disciplina.

Nel confermare, in linea di principio, la scadenza del 14 settembre 2019, l’Autorità ha riconosciuto che l’adeguamento ai protocolli Sca pone problemi complessi, soprattutto in relazione al coinvolgimento di soggetti, quali gli operatori di e-commerce, che non essendo prestatori di servizi di pagamento non sono destinatari delle disposizioni della Psd2. Per tale ragione è stata ammessa la possibilità che le Autorità nazionali di vigilanza del settore possano cooperare con le parti interessate (Psp, ma anche commercianti e consumatori) al fine di accordare una proroga che consenta agli utenti di dotarsi di sistemi di autenticazione conformi alla Sca. Approccio dettato da finalità ragionevoli, ma che reca il rischio di gravi disomogeneità applicative, là dove rimette a ciascuna autorità nazionale la valutazione su opportunità e termini dell’eventuale concessione di un grace period.

Si pensi a una transazione su carte di pagamento successiva al 14 settembre che coinvolga Psp di diversi Stati Ue, uno solo dei quali ammesso a beneficiare della proroga: il diverso regime applicativo potrebbe far sì che uno degli operatori, non essendosi ancora adeguato dal punto di vista tecnico, non sia in grado di eseguire il pagamento richiesto con modalità Sca dall’altro operatore. L’Eba ha preannunciato un ulteriore intervento, nei prossimi mesi, proprio in tema di deadline, tuttavia la scadenza è dietro l’angolo e alcune Autorità di Vigilanza si sono già messe all’opera al fine di dar corso a quanto espresso nel parere. Staremo a vedere, ma il rischio d’una partenza disordinata non è da escludersi. Prima di dire che il vizio delle norme a metà è tipicamente italiano, bisognerebbe sfogliare la Gazzetta Ufficiale Europea.

Scarica articolo in PDF

Laureato a pieni voti all’Università Cattolica del Sacro Cuore di Milano nel 2003, nel 2008 ha conseguito il Master in Diritto Bancario e Finanziario organizzato dal Just Legal Services (Scuola di Formazione Legale).
Entrato a far parte dello Studio nell’aprile del 2004, è divenuto associato nel 2007 e Partner nel gennaio 2021.
Ha sviluppato una significativa esperienza nel contenzioso e nella consulenza in materia societaria, bancaria e finanziaria nonché nella contrattualistica commerciale (licenze, franchising, joint venture, contratti distributivi, mandati di agenzia per promotori finanziari, tlc contracts, etc.), operazioni di M&A e gestione della crisi d’impresa.