L'inarrestabile crescita dell'e-commerce ha reso imprescindibile l'adozione di normative sempre più stringenti per garantire la sicurezza dei pagamenti online.
Ma quali sono stati gli impatti concreti della PSD2 sul tuo business e cosa cambierà realmente con l'introduzione della PSD3?Il Parlamento Europeo ha pertanto vagliato la PSD2 e decretato una rigida regolamentazione, che tuttavia nel corso del tempo ha mostrato alcune criticità. In questa ottica è stata approvata una nuova proposta, la terza Direttiva sui Servizi di Pagamento, detta anche PSD3.
In questo articolo vedremo cosa cambia tra le due direttive e come la PSD3 mira a migliorare la fiducia dei consumatori e velocizzare ogni genere di transazione finanziaria.
Indice
Considerata la costante crescita dei pagamenti digitali tramite i dispositivi mobili, alternativi non solo ai contanti ma anche alle più tradizionali carte di credito e debito, l'UE ha deciso di varare un sistema chiamato Payment Service Directive, trasformato nel più noto acronimo PSD2.
Tale introduzione ha modificato nettamente il mondo dei pagamenti digitali, avendo un impatto considerevole sull'e-commerce e non solo. A dover seguire direttive rigide e specifiche sono stati in primis i prestatori di Servizi di Pagamento, come istituti finanziari e banche, seguiti in ordine dai merchant e dal cliente finale.
Determinanti sono state le nuove misure di sicurezza, nate per limitare il crescente numero di frodi digitali che stava allarmando non poco tutto il settore. La Direttiva UE 2015/2366 ha pertanto reso più efficienti e sicuri i sistemi di pagamento online di ogni livello, dai bonifici ai portafogli elettronici, dalle transazioni sugli e-commerce del web all'uso delle carte di credito o di debito sui diversi marketplace.
Già un primo sistema di sicurezza era stato introdotto nel 2009, quando il mondo degli e-commerce iniziava a spiccare le ali, ma la netta revisione della PSD2 nel 2018 ha reso i rapporti tra le parti più funzionali, limitando i rischi di dati sensibili e bancari e favorendo la trasparenza, la concorrenza e la ricerca di innovazione.
Comprendere le dinamiche dell'abbandono dei carrelli ecommerce e come gestire i problemi di pagamento correlati può ulteriormente ottimizzare la tua strategia di vendita online.
Possiamo quindi individuare tre finalità principali che la PSD2 si è posta al momento della sua nascita, che sono state in parte attuate e in parte hanno richiesto una revisione, resa possibile dalla PSD3 che analizzeremo in seguito.
Al momento della sua introduzione, la PSD2 aveva come interlocutori principali non solo banche e assicurazioni, ma anche quelle che venivano definite terze parti. I nuovi player consistevano pertanto in prestatori di servizi estranei a queste due categorie, come ad esempio Amazon Pay, Apple Pay o PayPal. Tramite le loro piattaforme i clienti potevano gestire i loro pagamenti digitali, previa apposita autenticazione concessa dalla banca, la quale aumentava ancora di più i propri livelli di sicurezza.
La nascita della PSD3 deriva dall'esigenza di rafforzare la sicurezza e rendere ancora più unico e integrato il sistema dei servizi di pagamento digitali. In particolare, uno degli obiettivi principali di questa terza direttiva è quello di rendere i pagamenti transfrontalieri sicuri esattamente come quelli nazionali, all'interno di un settore proiettato all'innovazione e alla sana concorrenza fra le aziende.
Se la PSD1 aveva posto le basi per un primo mercato integrato e la PSD2 ha potenziato la sicurezza e la trasparenza, la PSD3 opera su entrambi i fronti e tiene conto di tutte le innovazioni tecnologiche che sono intervenute negli ultimi anni, come ad esempio l'AI.
Per approfondire le diverse sfaccettature dei pagamenti online per ecommerce, ti invitiamo a consultare le nostre guide dedicate.
Possiamo racchiudere in alcune macro categorie le diverse innovazioni introdotte dalla PSD3, atte alla protezione dei dati e alla conformità di tutti i prestatori di servizi, incentivati a una concorrenza volta a far crescere il livello del settore.
Rispetto al passato, secondo la normativa prevista dalla PSD3 i prestatori di servizi di pagamento, come banche, assicurazioni e terze parti, sono tenuti a conservare i dati inseriti dal cliente per almeno 5 anni. Lo scopo è poter intervenire rapidamente in caso di problematiche e controversie, sempre senza dimenticare l'altra questione cruciale, il rispetto della privacy secondo il GDPR vigente. La direttiva prevede anche una supervisione accurata da parte degli istituti di credito su tutte le operazioni, con particolare riferimento alla moneta elettronica e ai nuovi token.
Visto il dilagante fenomeno del forum shopping, che distorce la concorrenza, tramite la PSD3 si è cercato di armonizzare tutte le norme sui pagamenti digitali che riguardano l'UE e i paesi aderenti, in modo da favorire innovazione e progresso in modo leale e regolamentato. All'interno di un mercato equilibrato è infatti possibile progredire, mentre in una giungla senza regole precise per la concorrenza a rimetterci è solo il cliente finale, spesso vittima di frodi.
La PSD3 garantisce maggiore sicurezza anche al cliente, tramite una protezione più stringente sui suoi fondi e depositi. Gli istituti di pagamento, infatti, non possono accettare depositi e possono utilizzare i fondi solo all'interno del loro circuito di servizi di pagamento, così da preservarli. A maggiore garanzia di quanto detto, tali fondi sono comunque garantiti presso una banca centrale.
Per favorire una leale concorrenza e collaborazione tra tutti i prestatore di servizi di pagamento, a livello nazionale e internazionale, sono stati istituiti dei registri. Oltre a quelli inerenti banche, istituti e terze parti che operano sul territorio nazionale, ne è stato creato uno gestito direttamente dall'Autorità bancaria europea, che permette anche un proficuo scambio di informazioni in caso di necessità.
Le differenze che evidenzieremo tra PSD2 e PSD3 mostrano soprattutto l'evoluzione del sistema finanziario e digitale degli ultimi anni, che ha pertanto richiesto una revisione in termini di sicurezza e trasparenza. Vediamo quindi quali sono le innovazioni e i cambiamenti introdotti.
Il Payments Package è un sistema di regole atte a garantire tutti i pagamenti elettronici, composto appunto dalla nuova Direttiva sui servizi di pagamento, la PSD3, e il PSR. Se la prima si occupa essenzialmente di licenze e operazioni consentite ai prestatori di servizi, il secondo riguarda le regole imposte alle banche, con lo scopo di uniformarle a livello europeo.
Entrambi i sistemi cooperano quindi insieme per rendere armonico e in concorrenza leale il settore, aumentando sempre di più lo standard di sicurezza.
Tutta la normativa PSD3 che abbiamo citato avrà ovviamente delle conseguenze di forte impatto su altre due categorie che sono parte del settore oltre agli istituti di credito, come i merchant e il consumatore finale.
Per garantire una transizione fluida e una piena conformità alle normative PSD2 e PS3, è essenziale adottare un approccio sistematico che includa l'aggiornamento dei moduli di pagamento e la preparazione adeguata del server. In questa sezione, esploreremo i passi pratici per verificare e ottimizzare il sistema di pagamento e la sicurezza del server, assicurandoti che il tuo sito e-commerce rispetti le ultime direttive in materia di sicurezza e autenticazione.
Prima di tutto, è fondamentale che i moduli di pagamento installati sul tuo sito PrestaShop siano aggiornati all'ultima versione.
Controlla che i tuoi moduli siano aggiornati: Aggiornamento Prestashop V.8
I moduli di pagamento devono supportare SCA, 3D Secure 2 (3DS2) e altre tecnologie richieste dalla normativa. Verifica che siano in grado di gestire correttamente l'autenticazione forte.
Vai su Moduli > Gestione Moduli e cerca i moduli di pagamento come Stripe, PayPal o Nexi.
Controlla la versione: Assicurati che la versione del modulo sia l'ultima disponibile. I fornitori di moduli solitamente rilasciano aggiornamenti per garantire la conformità alle nuove normative.
Leggi la documentazione: Verifica che il modulo dichiari esplicitamente il supporto alla PSD2 e che sia compatibile con le normative SCA, con funzioni come il supporto per 3DS2 e Tokenizzazione.
Richiesta di conferma al fornitore: Se non è chiaro, contatta il fornitore del modulo per chiedere se il modulo supporta pienamente la Strong Customer Authentication.
Per garantire che il tuo e-commerce sia conforme alle normative sui pagamenti, è necessario che il tuo server supporti HTTPS e l'uso dei protocolli di sicurezza moderni come TLS 1.2 o TLS 1.3.
Verifica il certificato SSL: Il tuo sito deve essere HTTPS su tutte le pagine. Se non hai ancora un certificato SSL valido, installalo immediatamente. Puoi usare strumenti come SSL Labs per testare la configurazione SSL del tuo server.
Aggiorna il protocollo TLS: Assicurati che il server supporti almeno TLS 1.2. Se il tuo server non è configurato correttamente, potresti essere vulnerabile agli attacchi.
PHP aggiornato: Verifica che il tuo sito sia compatibile con la versione più recente di PHP (idealmente PHP 8.1 o PHP 8.2). PrestaShop potrebbe non funzionare correttamente con versioni obsolete di PHP.
Versione di PrestaShop: Aggiorna PrestaShop almeno alla versione 1.7.8.x, se non lo hai già fatto. Le versioni più recenti supportano tecnologie di sicurezza moderne e sono pronte per le nuove normative.
L'evoluzione normativa nel settore dei pagamenti digitali, con il passaggio dalla PSD2 alla PSD3, rappresenta un passo fondamentale per garantire maggiore sicurezza, trasparenza e uniformità nel mercato europeo dell'e-commerce. Comprendere appieno queste nuove disposizioni è cruciale per aziende, responsabili IT, sviluppatori, designer UX/UI e manager che operano nel commercio online.