La Banca d’Italia si appresta a rendere obbligatorie le regole di sicurezza europee per i pagamenti via internet contenute nelle EBA Guidelines on the security of internet payments che prevedono come regola la cosiddetta autenticazione forte (strong authentication) per le transazioni su internet, salvo consentire forme alternative di autenticazione nel caso di transazioni a basso rischio.

Le Guidelines hanno contenuto quasi identico alle ECB Recommendations on the security of internet payments del 2013, già recepite dalla Banca d’Italia nelle disposizioni di vigilanza applicabili alle banche (Circolare n. 285/2013), con la differenza però che sono obbligatorie: tutti i PSP italiani saranno tenuti a rispettare le Guidelines una volta recepite nell’ordinamento italiano. L’unica eccezione è costituita dalle cosidette migliori prassi (best practices) contenute nell’allegato 1 alle Guidelines, la cui osservanza non è obbligatoria. 

La Banca d’Italia ha recentemente indetto una consultazione pubblica sul recepimento in Italia delle Guidelines: come esplicitato nel proprio documento per la consultazione, si propone di rendere obbligatorie in Italia non solo le disposizioni delle Guidelines di carattere cogente, ma anche le best practices.

Alcune di queste best practices richiedono nuovi investimenti per l’industria dei pagamenti o sono tecnicamente complesse da realizzare. A titolo esemplificativo: la best practice 8 prevede che la strong authentication sia effettuata attraverso elementi associati all’importo della transazione e allo specifico esercente (“Strong customer authentication could include elements linking the authentication to a specific amount and payee”).  Una disposizione quasi identica – ma obbligatoria – è stata introdotta anche nella PSD2, in corso di approvazione (art. 87.1a).

Se questo accadesse, Banca d’Italia anticiperebbe di fatto di qualche anno l’applicazione in Italia delle più restrittive regole della PSD2. Tale situazione costituirebbe un unicum nel panorama europeo dal momento che le altre banche centrali europee non hanno manifestato l’intenzione di rendere obbligatorie le best practices.

Occorre inoltre tenere presente che alcuni Stati, quali il Regno Unito, hanno addirittura deciso di non recepire nel proprio ordinamento le Guidelines, alla luce dell’imminente adozione della PSD2.  Pertanto, i PSP italiani si troverebbero in una posizione di svantaggio competitivo rispetto ai loro concorrenti europei perché dovrebbero conformarsi a regole di sicurezza più restrittive di quelle applicabili nel resto d’Europa.  Questo potrebbe avere un impatto concorrenziale negativo anche sugli esercenti italiani rispetto a quelli stranieri.  È ben documentato che quanto più sono restrittive le regole di sicurezza, tanto più aumenta la difficoltà (friction) per il consumatore di portare a termine la transazione e conseguentemente meno transazioni sono concluse. 

Chiaramente le intenzioni della Banca d’Italia sono di rendere le transazioni più sicure e diminuire il numero di frodi, a vantaggio del nostro Paese.  Tuttavia, lo stesso risultato può essere conseguito attraverso soluzioni alternative che non mettano a rischio il tasso di conversione delle transazioni.  Il cd. approccio basato sul rischio (risk-based approach o RBA), per esempio, utilizza una serie di informazioni in grado di minimizzare il rischio di frodi (device fingerprint, geolocalizzazione, tipologia di transazione, di esercente o di prodotto, o altre informazioni sulle abitudini e i comportamenti del pagatore).  Tali soluzioni alternative sono sempre più tecnologicamente avanzate ed efficaci e hanno il vantaggio di garantire transazioni frictionless. 

L’entrata in vigore delle Guidelines, inizialmente prevista per il 1° agosto 2015, è stata posticipata a data da definirsi.  È possibile che la Banca d’Italia conceda ai PSP italiani un’ulteriore dilazione nel caso si rendesse conto che il mercato italiano non è ancora pronto ad adeguarsi alle nuove regole. 

I PSP e gli altri operatori del mercato dei pagamenti possono inviare alla Banca d’Italia le proprie osservazioni entro il 12 ottobre.  La Banca d’Italia ha bisogno, infatti, d’informazioni dal mercato per regolare in maniera efficiente l’industria italiana dei pagamenti e renderla competitiva.  Questo è fondamentale per l’e-commerce e lo sviluppo dei pagamenti elettronici in Italia.