Negli ultimi dieci anni, l’Unione Europea ha migliorato in modo significativo la sicurezza dei clienti nelle transazioni online grazie alla Seconda Direttiva sui Servizi di Pagamento, o PSD2. Questa normativa di riferimento ha ridotto il numero di frodi e permesso ai consumatori di effettuare transazioni con maggiore sicurezza.
Tuttavia, la PSD2 presenta anche alcuni punti deboli che, secondo diverse imprese, sono in grado di ostacolare l’attività quotidiana. Uno di questi è il modo in cui la Direttiva non fa sufficiente distinzione tra le transazioni B2C, che ai tempi dell’approvazione avevano bisogno di misure di sicurezza più rigide, e le transazioni B2B, per le quali non c’era questa necessità. Di conseguenza, le imprese europee sono state rallentate da protocolli di sicurezza di cui non avevano bisogno. Il rapporto di Stripe European Tech Voices ha dimostrato già nel 2022 che per oltre un milione di imprese innovative europee gli ostacoli esistenti rappresentavano ancora un forte freno alla crescita.
Quanto è diffuso il problema?
Quando si pensa ai pagamenti, si tende a immaginare gli acquisti dei consumatori, come il pagamento di una cena o l’acquisto di un divano, occasioni in cui la PSD2 è stata davvero utile. Ma la stragrande maggioranza dei pagamenti avviene tra aziende: i pagamenti B2B a livello globale superano i 120.000 miliardi di dollari all’anno, un valore sei volte superiore a quello del pagamento al consumo. Le dimensioni di questo mercato rendono urgente un chiarimento delle norme sull’autenticazione dei pagamenti B2B da parte dell’Unione Europea.
Fortunatamente, l’UE ha ora la possibilità di farlo. Il Parlamento europeo e gli Stati membri stanno attualmente completando il lavoro su una nuova legge, la Payment Services Directive 3 and Regulation, o PSD3/PSR. Si tratta di un’opportunità utile per distinguere tra transazioni B2C e B2B, da un lato mantenendo i significativi protocolli di autenticazione nelle impostazioni dei consumatori, e dall’altro consentendo alle aziende di escluderli nelle transazioni B2B, laddove non ce ne sia la necessità.
Protocolli di sicurezza non compatibili
Uno degli elementi più importanti della PSD2 è stata l’introduzione di una maggiore sicurezza per i clienti nelle transazioni online attraverso la Strong Customer Authentication (SCA). Per i consumatori si tratta di un’autenticazione del pagamento in due fasi, come ad esempio la richiesta di inserire sia un PIN che un codice ricevuto via SMS per completare un acquisto online. La PSD2 e la SCA hanno contribuito alla creazione di un mercato unico europeo dei pagamenti e hanno favorito il boom delle startup fintech. Ma le disposizioni della SCA sono state scritte in modo così ampio da venire applicate anche alle aziende, causando alcune difficoltà. Attualmente, nella gestione dei pagamenti online le aziende europee devono seguire esattamente gli stessi protocolli di sicurezza richiesti ai propri dipendenti alle prese con l’home banking personale.
Si tratta di un livello di sicurezza superiore a quello di cui le aziende hanno bisogno, e non sufficiente. Molte aziende che utilizzano Stripe ritengono che la SCA crei disagi a causa dell’applicazione di controlli troppo complessi. Allo stesso tempo, le aziende che si affidano esclusivamente alla SCA potrebbero essere paradossalmente meno tutelate, a differenza di quanto capiterebbe se seguissero gli standard già esistenti per l’autenticazione aziendale.
Le aziende hanno esigenze di sicurezza diverse
I protocolli di sicurezza seguiti dalle grandi aziende sono già di un ordine di grandezza superiore a quelli relativi ai consumatori. Anche prima dell’approvazione della PSD2, le imprese europee si affidavano a una serie di misure per la gestione e la sicurezza dell’identità aziendale (come controlli centralizzati di identificazione univoca, token crittografici o certificati di autenticazione per i singoli laptop) e l’efficacia dei controlli di sicurezza aziendali viene regolarmente verificata attraverso pratiche come gli audit periodici.
È quindi importante che le autorità di regolamentazione europee utilizzino la PSD3 per chiarire i requisiti SCA in modo da tenere conto delle dimensioni di ogni realtà. Le grandi aziende, infatti, dovrebbero avere la flessibilità di utilizzare le proprie valutazioni di rischio per determinare se attivare o disattivare alcune parti della SCA.
Inoltre, i requisiti di identificazione dovrebbero essere rivisti nell’ambito della PSD3 per rendere il livello di autenticazione proporzionato al rischio dell’attività svolta. Le imprese, cioè, dovrebbero essere in grado di utilizzare diversi livelli di autenticazione, dove solo determinate azioni relative a dati sensibili farebbero scattare una verifica più forte, rispetto alla semplice permanenza dell’utente in una dashboard di pagamento.
Un buon esempio dell’importanza di questo aspetto è la “ri-autenticazione” dopo un periodo di inattività. Questo è un aspetto che le aziende che utilizzano Stripe conoscono molto bene, poiché trascorrono gran parte della loro giornata all’interno della piattaforma, inviando fatture, gestendo gli obblighi fiscali, gestendo i rapporti di fatturazione, riducendo il tasso di abbandono involontario degli acquisti e monitorando le metriche aziendali.
I requisiti SCA previsti dalla PSD2 impongono alle aziende di effettuare nuovamente l’autenticazione nella dashboard dopo cinque minuti di inattività. Si tratta di un tipo di regola che ha senso per proteggere i consumatori, ma che non si adatta al modo in cui operano quotidianamente le aziende. Ad esempio, non è insolito che le aziende facciano i controlli pagamento ogni 15-30 minuti in una giornata di elevato volume di transazioni. Oppure, un manager potrebbe essere impegnato in una presentazione o demo a un investitore o a un cliente, dove il tempo attivo in un dashboard sarebbe intervallato da momenti di inattività dovuta alle discussioni dal vivo.
In entrambi questi scenari, SCA richiederebbe all’utente che utilizza la piattaforma di effettuare più volte l’autenticazione, senza alcun beneficio apprezzabile per la sicurezza. Entrambe queste attività infatti si svolgono in ambienti protetti che rimangono sicuri anche quando l’attività è in pausa e il rischio di frode è minore rispetto a qualsiasi altro scenario analogo per i consumatori.
Un’occasione per migliorare la regolamentazione
Se la Commissione europea, il Parlamento europeo e gli Stati membri dell’UE terranno conto delle rilevanti differenze tra le transazioni B2B e B2C durante la revisione della PSD, si potrà costruire un nuovo quadro normativo progettato su misura per i diversi pagamenti online. Il fatto che il Parlamento europeo abbia proposto un mandato affinché l’Autorità bancaria europea (EBA) prenda in considerazione il tipo di pagatore – consumatore o azienda – nello sviluppo delle norme tecniche di regolamentazione in materia di SCA insieme alle regole finali della PSD3, è già un segnale incoraggiante in questo senso per oltre 27 milioni di imprese che operano in Europa.
