Direttiva PSD2: l’autenticazione forte diventa d’obbligo

Avv. Vincenzo Colarocco

La Direttiva (UE) 2015/2366 del Parlamento e del Consiglio Europeo del 25 novembre 2015, entrata in vigore il 13 gennaio 2018, relativa ai servizi di pagamento nel mercato interno, meglio nota come Payment Services Directive 2 (PSD2) ha introdotto sostanziali novità nell’ambito dell’autenticazione del cliente di prestatori di servizi di pagamento.

A partire dal 14 settembre 2019 p.v., infatti, tutti gli Istituti Bancari operanti nel mercato Europeo dovranno adeguare le misure di autenticazione con l’obiettivo di aumentare la sicurezza online degli utenti. Più precisamente, viene introdotta la “Strong Customer Authentication” (nota anche come “Autenticazione Forte”) definita come “un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”. Questo sistema di sicurezza aggiuntivo permette di identificare e autenticare in maniera univoca il cliente, riducendo i rischi legati all’accesso ai propri conti online e all’esecuzione di operazioni fraudolente da parte di soggetti terzi non autorizzati. Pertanto, anche le piattaforme e-commerce dovranno implementare le proprie procedure di pagamento con sistemi di autenticazione innovativi quando il pagatore ad esempio, i) accede al suo conto di pagamento online; ii) avvia un’operazione di pagamento elettronico e/o iii) compie un’azione, attraverso un mezzo di comunicazione a distanza, che può comportare un rischio di frode nei pagamenti o qualsiasi altro uso fraudolento.