Pagamenti Online Sicuri: Evoluzione PSD2 e PSD3 per E-commerce

L'inarrestabile crescita dell'e-commerce ha reso imprescindibile l'adozione di normative sempre più stringenti per garantire la sicurezza dei pagamenti online.

Ma quali sono stati gli impatti concreti della PSD2 sul tuo business e cosa cambierà realmente con l'introduzione della PSD3?Il Parlamento Europeo ha pertanto vagliato la PSD2 e decretato una rigida regolamentazione, che tuttavia nel corso del tempo ha mostrato alcune criticità. In questa ottica è stata approvata una nuova proposta, la terza Direttiva sui Servizi di Pagamento, detta anche PSD3.

In questo articolo vedremo cosa cambia tra le due direttive e come la PSD3 mira a migliorare la fiducia dei consumatori e velocizzare ogni genere di transazione finanziaria.

E-commerce Sicuro: Guida a PSD2 e alle Novità della PSD3

La PSD2 e il suo impatto sul mondo dell'e-commerce

Considerata la costante crescita dei pagamenti digitali tramite i dispositivi mobili, alternativi non solo ai contanti ma anche alle più tradizionali carte di credito e debito, l'UE ha deciso di varare un sistema chiamato Payment Service Directive, trasformato nel più noto acronimo PSD2.

Tale introduzione ha modificato nettamente il mondo dei pagamenti digitali, avendo un impatto considerevole sull'e-commerce e non solo. A dover seguire direttive rigide e specifiche sono stati in primis i prestatori di Servizi di Pagamento, come istituti finanziari e banche, seguiti in ordine dai merchant e dal cliente finale.

Determinanti sono state le nuove misure di sicurezza, nate per limitare il crescente numero di frodi digitali che stava allarmando non poco tutto il settore. La Direttiva UE 2015/2366 ha pertanto reso più efficienti e sicuri i sistemi di pagamento online di ogni livello, dai bonifici ai portafogli elettronici, dalle transazioni sugli e-commerce del web all'uso delle carte di credito o di debito sui diversi marketplace.

Già un primo sistema di sicurezza era stato introdotto nel 2009, quando il mondo degli e-commerce iniziava a spiccare le ali, ma la netta revisione della PSD2 nel 2018 ha reso i rapporti tra le parti più funzionali, limitando i rischi di dati sensibili e bancari e favorendo la trasparenza, la concorrenza e la ricerca di innovazione.

Comprendere le dinamiche dell'abbandono dei carrelli ecommerce e come gestire i problemi di pagamento correlati può ulteriormente ottimizzare la tua strategia di vendita online.

Quali erano le finalità della PSD2 al momento della sua nascita?

Possiamo quindi individuare tre finalità principali che la PSD2 si è posta al momento della sua nascita, che sono state in parte attuate e in parte hanno richiesto una revisione, resa possibile dalla PSD3 che analizzeremo in seguito.

• Realizzare un mercato di pagamenti integrato a livello europeo, che garantisse a tutte le parti in causa trasparenza, rapidità, sicurezza ed efficienza;
• Assicurare condizioni paritarie per tutti coloro che forniscono servizi di pagamento a terzi, in modo da favorire la leale concorrenza e una maggiore possibilità di sviluppo e innovazione;
• Proteggere al meglio gli utenti che scelgono di pagare con modalità digitali, rendendo più semplici e intuitive le procedure, in modo da ampliare il mercato in tal senso.

A che si rivolgeva la PSD2 e chi sono i nuovi player?

Al momento della sua introduzione, la PSD2 aveva come interlocutori principali non solo banche e assicurazioni, ma anche quelle che venivano definite terze parti. I nuovi player consistevano pertanto in prestatori di servizi estranei a queste due categorie, come ad esempio Amazon Pay, Apple Pay o PayPal. Tramite le loro piattaforme i clienti potevano gestire i loro pagamenti digitali, previa apposita autenticazione concessa dalla banca, la quale aumentava ancora di più i propri livelli di sicurezza.

Cosa sappiamo della PSD3

La nascita della PSD3 deriva dall'esigenza di rafforzare la sicurezza e rendere ancora più unico e integrato il sistema dei servizi di pagamento digitali. In particolare, uno degli obiettivi principali di questa terza direttiva è quello di rendere i pagamenti transfrontalieri sicuri esattamente come quelli nazionali, all'interno di un settore proiettato all'innovazione e alla sana concorrenza fra le aziende.

Se la PSD1 aveva posto le basi per un primo mercato integrato e la PSD2 ha potenziato la sicurezza e la trasparenza, la PSD3 opera su entrambi i fronti e tiene conto di tutte le innovazioni tecnologiche che sono intervenute negli ultimi anni, come ad esempio l'AI.

Per approfondire le diverse sfaccettature dei pagamenti online per ecommerce, ti invitiamo a consultare le nostre guide dedicate.

Cosa cambierà con la PSD3

Possiamo racchiudere in alcune macro categorie le diverse innovazioni introdotte dalla PSD3, atte alla protezione dei dati e alla conformità di tutti i prestatori di servizi, incentivati a una concorrenza volta a far crescere il livello del settore.

Conservazione dei dati

Rispetto al passato, secondo la normativa prevista dalla PSD3 i prestatori di servizi di pagamento, come banche, assicurazioni e terze parti, sono tenuti a conservare i dati inseriti dal cliente per almeno 5 anni. Lo scopo è poter intervenire rapidamente in caso di problematiche e controversie, sempre senza dimenticare l'altra questione cruciale, il rispetto della privacy secondo il GDPR vigente. La direttiva prevede anche una supervisione accurata da parte degli istituti di credito su tutte le operazioni, con particolare riferimento alla moneta elettronica e ai nuovi token.

Norme più uniformi sui servizi di pagamento

Visto il dilagante fenomeno del forum shopping, che distorce la concorrenza, tramite la PSD3 si è cercato di armonizzare tutte le norme sui pagamenti digitali che riguardano l'UE e i paesi aderenti, in modo da favorire innovazione e progresso in modo leale e regolamentato. All'interno di un mercato equilibrato è infatti possibile progredire, mentre in una giungla senza regole precise per la concorrenza a rimetterci è solo il cliente finale, spesso vittima di frodi.

Protezione dei fondi degli utenti

La PSD3 garantisce maggiore sicurezza anche al cliente, tramite una protezione più stringente sui suoi fondi e depositi. Gli istituti di pagamento, infatti, non possono accettare depositi e possono utilizzare i fondi solo all'interno del loro circuito di servizi di pagamento, così da preservarli. A maggiore garanzia di quanto detto, tali fondi sono comunque garantiti presso una banca centrale.

Registri nazionali e internazionali per una maggiore trasparenza e collaborazione

Per favorire una leale concorrenza e collaborazione tra tutti i prestatore di servizi di pagamento, a livello nazionale e internazionale, sono stati istituiti dei registri. Oltre a quelli inerenti banche, istituti e terze parti che operano sul territorio nazionale, ne è stato creato uno gestito direttamente dall'Autorità bancaria europea, che permette anche un proficuo scambio di informazioni in caso di necessità.

Principali differenze tra la PSD2 e la PSD3

Le differenze che evidenzieremo tra PSD2 e PSD3 mostrano soprattutto l'evoluzione del sistema finanziario e digitale degli ultimi anni, che ha pertanto richiesto una revisione in termini di sicurezza e trasparenza. Vediamo quindi quali sono le innovazioni e i cambiamenti introdotti.

• Autenticazione del cliente: Già la PSD2 aveva compreso la necessità di rendere più sicura l'autentificazione del cliente, inserendo una serie di parametri per la password, la domanda di sicurezza e il riconoscimento facciale. La PSD3 rafforza la sicurezza in tal senso, al fine di limitare ancora di più le frodi, con elementi come il 3D secure o altri sistemi di maggiore riconoscimento.
• Supervisione e normative: Se la PSD2 aveva reso solida la struttura normativa per la supervisione di coloro che prestano servizi di pagamento, la PSD3 ha introdotto un maggiore giro di vite in tal senso, regolamentando anche sistemi precedentemente non inclusi, come i token di moneta elettronica.

PSR: in cosa consiste il regolamento sui servizi di pagamento?

Il Payments Package è un sistema di regole atte a garantire tutti i pagamenti elettronici, composto appunto dalla nuova Direttiva sui servizi di pagamento, la PSD3, e il PSR. Se la prima si occupa essenzialmente di licenze e operazioni consentite ai prestatori di servizi, il secondo riguarda le regole imposte alle banche, con lo scopo di uniformarle a livello europeo.

Entrambi i sistemi cooperano quindi insieme per rendere armonico e in concorrenza leale il settore, aumentando sempre di più lo standard di sicurezza.

Il merchant e i consumatori: quali sono le conseguenze della PSD3?

Tutta la normativa PSD3 che abbiamo citato avrà ovviamente delle conseguenze di forte impatto su altre due categorie che sono parte del settore oltre agli istituti di credito, come i merchant e il consumatore finale.

Conseguenze sui merchant

• Maggiore sicurezza: Tramite le normative introdotte, i merchant saranno maggiormente garantiti dalle frodi, con la possibilità di individuare prima le transazioni sospette e migliorare l'identificazione del cliente. La conservazione dei dati per almeno 5 anni permette anche di risolvere prima le eventuali controversie, avendo tutti gli elementi a disposizione anche dopo diverso tempo.
• Allargamento dell'open banking: La PSD3 potenzia tutto il mondo dell'open banking, dando la possibilità al merchant di accedere ai dati dei conti del cliente, così da poter personalizzare il servizio offerto e renderlo più aderente alle sue richieste.
• Diversa gestione dei fondi bloccati: Le nuove regole permettono di accedere ai fondi bloccati che ancora non sono stati utilizzati, permettendo un loro utilizzo in modo proporzionale rispetto alla transazione autorizzata.
• E-commerce più sicuri: Per contrastare la dilagante nascita degli e-commerce, alcuni privi delle basilari caratteristiche di sicurezza per il cliente, è stata introdotta una più rigida selezione. Alcuni di questi portali devono pertanto richiedere e ottenere apposite licenze per poter operare, soprattutto se negoziano transazioni per conto di terzi.

Conseguenze per il consumatore

• Implemento della sicurezza: Il consumatore finale è maggiormente tutelato dalla PSD3 e può pertanto eseguire le proprie operazioni finanziarie digitali con più sicurezza rispetto alle frodi.
• Miglioramento dell'open banking: Se da un lato il merchant gode dell'open banking per realizzare prodotti personalizzati per il cliente, allo stesso modo quest'ultimo beneficia di un servizio specifico e può monitorare budget e prodotti a lui dedicati.
• Trasparenza del servizio: Il servizio di pagamento digitale non solo diventa più automatico e intuitivo, ma offre una maggiore trasparenza dal punto di vista dei costi e della gestione del denaro, comprensibile anche al cliente non addetto al settore.

Come aggiornare i moduli di pagamento Prestashop e preparare i server

Per garantire una transizione fluida e una piena conformità alle normative PSD2 e PS3, è essenziale adottare un approccio sistematico che includa l'aggiornamento dei moduli di pagamento e la preparazione adeguata del server. In questa sezione, esploreremo i passi pratici per verificare e ottimizzare il sistema di pagamento e la sicurezza del server, assicurandoti che il tuo sito e-commerce rispetti le ultime direttive in materia di sicurezza e autenticazione.

Controllo dei Metodi di Pagamento su PrestaShop

Prima di tutto, è fondamentale che i moduli di pagamento installati sul tuo sito PrestaShop siano aggiornati all'ultima versione.

Controlla che i tuoi moduli siano aggiornati: Aggiornamento Prestashop V.8

I moduli di pagamento devono supportare SCA, 3D Secure 2 (3DS2) e altre tecnologie richieste dalla normativa. Verifica che siano in grado di gestire correttamente l'autenticazione forte.

Cosa controllare nei moduli di pagamento

• Vai su Moduli > Gestione Moduli e cerca i moduli di pagamento come Stripe, PayPal o Nexi.

• Controlla la versione: Assicurati che la versione del modulo sia l'ultima disponibile. I fornitori di moduli solitamente rilasciano aggiornamenti per garantire la conformità alle nuove normative.

• Leggi la documentazione: Verifica che il modulo dichiari esplicitamente il supporto alla PSD2 e che sia compatibile con le normative SCA, con funzioni come il supporto per 3DS2 e Tokenizzazione.

• Richiesta di conferma al fornitore: Se non è chiaro, contatta il fornitore del modulo per chiedere se il modulo supporta pienamente la Strong Customer Authentication.

Preparazione del Server per la Normativa PS3

Sicurezza del Server: HTTPS e Protocollo TLS

Per garantire che il tuo e-commerce sia conforme alle normative sui pagamenti, è necessario che il tuo server supporti HTTPS e l'uso dei protocolli di sicurezza moderni come TLS 1.2 o TLS 1.3.

• Verifica il certificato SSL: Il tuo sito deve essere HTTPS su tutte le pagine. Se non hai ancora un certificato SSL valido, installalo immediatamente. Puoi usare strumenti come SSL Labs per testare la configurazione SSL del tuo server.

• Aggiorna il protocollo TLS: Assicurati che il server supporti almeno TLS 1.2. Se il tuo server non è configurato correttamente, potresti essere vulnerabile agli attacchi.

PHP e Versione di PrestaShop

• PHP aggiornato: Verifica che il tuo sito sia compatibile con la versione più recente di PHP (idealmente PHP 8.1 o PHP 8.2). PrestaShop potrebbe non funzionare correttamente con versioni obsolete di PHP.

• Versione di PrestaShop: Aggiorna PrestaShop almeno alla versione 1.7.8.x, se non lo hai già fatto. Le versioni più recenti supportano tecnologie di sicurezza moderne e sono pronte per le nuove normative.

Conclusione

L'evoluzione normativa nel settore dei pagamenti digitali, con il passaggio dalla PSD2 alla PSD3, rappresenta un passo fondamentale per garantire maggiore sicurezza, trasparenza e uniformità nel mercato europeo dell'e-commerce. Comprendere appieno queste nuove disposizioni è cruciale per aziende, responsabili IT, sviluppatori, designer UX/UI e manager che operano nel commercio online.