Lo scorso 16 settembre 2019 sono entrate in vigore le nuove disposizioni della normativa PSD2 che riguardano l’autenticazione e l’identificazione degli utenti che effettuano pagamenti digitali, che si conclamano nella cosiddetta “Strong Customer Authentication”.

In buona sostanza vi è l’obbligo per le piattaforme di pagamento di adottare criteri di autenticazione più rigidi e che consentano di identificare l’utente. Esempi tipici sono gli OTP inviati sul cellulare o l’accesso tramite impronta digitale.

Più in generale vi è la necessità di prevedere comunque criteri di autenticazione e di accesso più rigidi di quelli che siamo stati abituati a conoscere fino ad oggi.

E’ evidente che la normativa investa anche le applicazioni per il pagamento dei parcheggi, che infatti hanno tutte le caratteristiche per l’applicabilità della nuova normativa, almeno per quanto riguarda quelle che gestiscono un borsellino elettronico.

Non v’è dubbio che l’applicazione di quella normativa si scontri, inevitabilmente, con la necessità di “usabilità immediata” delle applicazioni destinate al pagamento dei parcheggi, per le quali il requisito dell’immediatezza pare irrinunciabile.

Esistono pure delle eccezioni all’applicazione della nuova normativa, in particolare:

  • pagamenti contactless: il limite massimo di spesa senza SCA è stato fissato a 50€; si potrà poi pagare senza PIN finché non si raggiungeranno i 150€ complessivi di spesa oppure finché non si faranno più di 5 pagamenti consecutivi;
  • pagamento di trasporti o parcheggi presso terminali self-service;
  • micro-pagamenti online: il limite massimo di spesa senza SCA è stato fissato a 30€; si potrà poi pagare senza utilizzare un secondo fattore di verifica finché non si raggiungeranno i 100€ complessivi di spesa oppure finché non si faranno più di 5 pagamenti consecutivi;
  • pagamenti online verso un sito “di fiducia”: l’utente potrà decidere di evitare la SCA all’interno di alcuni siti di cui si fida, a favore di un’esperienza di acquisto più semplice e veloce;
  • pagamenti ricorrenti: solo se l’importo è fisso come nel caso degli abbonamenti;
  • pagamenti online a favore di un sito “sicuro”: il commerciante che vende online può decidere di evitare ai propri utenti di effettuare la SCA se introduce un sistema di controllo delle frodi che distingue le transazioni sospette (che verranno bloccate o verranno sottoposte a SCA) da quelle lecite; questa eccezione viene concessa solo a quei commercianti che, insieme ai loro fornitori di servizi di accettazione dei pagamenti, hanno dimostrato di avere un basso numero di frodi nel corso dell’ultimo periodo.
  • ricarica massima di euro 30,00
  • ricarica massima di euro 100,00 nelle 24 ore con ricariche singole al di sotto della predetta soglia di euro 30,00.

L’unica possibilità quindi può essere quella di limitare la ricarica ai 30 e 100 euro ed infatti abbiamo adottato sulle nostre applicazioni le seguenti limitazioni:

  • ricarica massima di euro 30.00;
  • impossibilità di effettuare ricariche su borsellini elettronici che hanno un saldo di euro 100,00; questo anche considerando il fatto che somme superiori non sarebbero giustificate per la tipologia di pagamento al quale sono destinati.

Resta comunque da valutare se la non applicabilità delle norme della PSD2 possa significare la possibilità per una app destinata al pagamento dei parcheggi di memorizzazione le credenziali di accesso su propri archivi e quindi mantenendo la login attiva finché l’utente non decide di uscire, un po’ come avviene nella maggior parte delle applicazioni. Dico questo perché non applicare la SCA non esclude comunque il fatto di dover prevedere criteri di accesso che presuppongano un qualche livello di sicurezza.

Noi abbiamo optato per far scegliere all’utente se salvare o meno le credenziali, ma non all’interno dell’applicazione bensì nel sistema di memorizzazione del telefonino.

La sicurezza resta comunque un nostro obiettivo ed a tal fine stiamo studiano la possibilità di accedere all’applicazione con l’impronta digitale in modo da offrire uno strumento estremamente versatile e sicuro, in linea con la S.C.A., per i nostri utenti.