Payment regulation Payment Innovation Payment Services Ecommerce Carte Mobile App

normative

In arrivo nuove regole sui servizi di pagamento per autenticazione, firme e identità digitale

Home Payment regulation
Partecipa al dibattito
Indirizzo copiato

PSD3 e PSR ridisegnano il quadro europeo dei pagamenti: rafforzano la Strong Customer Authentication, ampliano la responsabilità dei prestatori di servizi di pagamento, impongono nuove regole su frodi e open banking e avvicinano sempre di più pagamenti, firme elettroniche e identità digitale in un’unica infrastruttura normativa

Pubblicato il 5 mag 2026
Matteo Panfilo

product strategy director di Namirial

PSD3 PSR
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Punti chiave

  • Quadro normativo: PSD3 e PSR (accordo nov 2025) in fase finale, entrata prevista entro metà 2026; il regolamento applicherà direttamente SCA, frodi e open banking.
  • Convergenza normativa: eIDAS 2.0 e AMLR si allineano a PSD3/PSR; EUDI Wallet e la FEQ sono metodi SCA di primo livello; delega ammessa con responsabilità al PSP.
  • Impatto operativo e opportunità: SCA rafforzata (SMS/OTP insufficiente), formalizzata la biometria comportamentale e TRA; mercato per IAM, QTSP e soluzioni FIDO2, vincoli DORA.
Riassunto generato con AI

Il quadro europeo dei servizi di pagamento sta attraversando la revisione più significativa dai tempi della PSD2. A seguito dell’accordo politico del novembre 2025, PSD3 e il Regolamento sui Servizi di Pagamento (PSR) sono ora nella fase legislativa finale. L’adozione formale e l’entrata in vigore sono previste entro la metà del 2026.

Il PSR, in quanto regolamento direttamente applicabile, non richiederà recepimento nazionale e darà avvio alla prima fase di applicazione, che coprirà SCA, responsabilità per frodi e obblighi di open banking, tra la fine del 2026 e l’inizio del 2027.

In Namirial, vediamo PSD3/PSR come uno degli esempi più chiari di quanto abbiamo descritto nelle nostre previsioni per il 2026: pagamenti, identità digitale e Strong Customer Authentication stanno convergendo in un’unica infrastruttura di fiducia. I quadri normativi non sono più percorsi paralleli. PSD3/PSR, AMLR ed eIDAS 2.0 stanno convergendo attorno a un’architettura condivisa per la verifica dell’identità, l’autenticazione e l’autorizzazione delle transazioni.

Le organizzazioni che costruiscono oggi per questa convergenza avranno domani un vantaggio strutturale in termini di compliance.

Vediamo insieme cosa significano PSD3 e PSR in pratica per l’autenticazione, le firme digitali e l’infrastruttura di identità, come evolve il framework SCA sotto il PSR, come l’EUDI Wallet e la Firma Elettronica Qualificata diventano strumenti di Strong Customer Authentication di primo livello.

Perché la PSD2 necessitava di un aggiornamento: il gap nell’autenticazione

La PSD2 ha portato progressi concreti: ha introdotto la SCA, creato la base legale per l’open banking e ridotto i tassi di frode sulle carte. Tuttavia, la sua implementazione pratica ha evidenziato debolezze strutturali persistenti che PSD3 e PSR affrontano direttamente.

Il fallimento più critico è stato la qualità della SCA. L’invio di OTP via SMS si è dimostrato altamente vulnerabile al phishing: attacchi SIM-swap, social engineering e malware mobile hanno reso la SCA basata su SMS una difesa debole contro le frodi industrializzate del panorama attuale.

Nel frattempo, le API di open banking sono state implementate in modo incoerente tra gli Stati membri, la responsabilità per le frodi Authorized Push Payment (APP) è rimasta poco chiara e l’autenticazione delegata non aveva alcun quadro normativo.

PSD3 e PSR, una risposta mirata

PSD3 e PSR rappresentano una risposta mirata a queste criticità. I principali cambiamenti:

  • SCA più ampia e più forte: copre login, configurazione dei mandati, gestione dei beneficiari, recupero dispositivo e tutte le azioni ad alto rischio.
  • Responsabilità per frodi ampliata: i PSP sono responsabili per i fallimenti della SCA, anche quando l’autenticazione è delegata a terze parti.
  • Verifica obbligatoria del beneficiario (VoP): corrispondenza IBAN/nome richiesta prima di ogni bonifico.
  • API open banking standardizzate: parità di performance obbligatoria con ostacoli esplicitamente vietati.
  • Allineamento formale con eIDAS 2.0: FEQ e credenziali del Wallet EUDI riconosciute come metodi validi di SCA.
  • Responsabilità per frodi da impersonificazione del PSP: il PSP è responsabile quando il cliente viene truffato tramite impersonificazione del PSP.

PSD2 vs. PSD3/PSR: i cambiamenti operativi

La tabella seguente mostra i cambiamenti operativi più rilevanti per le organizzazioni che gestiscono autenticazione digitale, workflow di pagamento e infrastrutture di identità:

L’effetto complessivo è un carico di compliance significativamente più elevato per i PSP e i loro partner tecnologici, con una responsabilità ampliata lungo tutta la catena di delega. Per i fornitori di servizi SCA, inclusi QTSP, provider IAM e operatori wallet, PSD3/PSR rappresenta un evento normativo diretto, non secondario.

L’evoluzione della SCA: dalle password a un’autenticazione resistente al phishing

La Strong Customer Authentication nel PSR mantiene il principio dei due fattori, almeno due tra conoscenza, possesso e inerzia, ma alza significativamente il livello di ciò che ciascun fattore deve garantire.

Il problema centrale che il PSR risolve: l’OTP non è più sufficiente

Sotto PSD2, la maggior parte delle istituzioni soddisfaceva la SCA con una password (conoscenza) più un OTP via SMS (possesso). Questa combinazione si è dimostrata profondamente vulnerabile. L’intercettazione degli SMS, le frodi SIM-swap e la cattura degli OTP tramite malware hanno reso la SCA basata su SMS un vettore di attacco primario.

Il PSR risponde aumentando il livello qualitativo richiesto ai fattori di autenticazione e formalizzando un approccio basato sul risultato: i PSP che dimostrano tassi di frode costantemente bassi, attraverso una robusta Transaction Risk Analysis (TRA), otterranno accesso a esenzioni più ampie. Tuttavia, anche la soglia per dimostrare tali bassi livelli di frode è stata innalzata.

Biometria comportamentale come fattore SCA formalizzato

Il PSR formalizza un’espansione significativa di ciò che costituisce un fattore di inerzia valido. La biometria comportamentale, inclusi i pattern di digitazione, le dinamiche di uso del dispositivo e i segnali di comportamento nella navigazione, può ora essere formalmente combinata con la biometria fisiologica per costituire un secondo fattore valido. Questo apre la strada a una SCA completamente priva di attrito per le operazioni a basso rischio, dove un’autenticazione adattiva basata sul rischio può verificare l’utente in modo silenzioso, senza alcuna azione esplicita.

SCA delegata: innovazione consentita, responsabilità mantenuta

Il PSR consente esplicitamente la Delegated Authentication (DA): un PSP può delegare la SCA a una terza parte, come un operatore di wallet digitale, un gateway di pagamento o un fornitore di servizi fiduciari. Questo rappresenta un importante abilitatore per l’embedded finance e per l’innovazione nell’open banking.

Tuttavia, il PSR classifica la delega come outsourcing, attivando la piena applicazione delle linee guida EBA sull’outsourcing e dei requisiti di rischio ICT previsti dal DORA. Il PSP delegante mantiene la piena responsabilità per i fallimenti della SCA.

La convergenza che definisce il decennio: PSD3, eIDAS 2.0 e AMLR

Come abbiamo scritto nelle nostre previsioni per il 2026, lo sviluppo più rilevante nel digital trust europeo non è una singola normativa, ma la convergenza di tre framework attorno a un’infrastruttura di identità condivisa:

PSD3/PSR: l’autenticazione deve essere forte, delegata con attenzione e resistente al phishing

Gli obblighi di SCA diventano direttamente applicabili tramite il PSR alla fine del 2026. La qualità dei fattori di autenticazione, la responsabilità nella delega e i requisiti di monitoraggio delle frodi stabiliscono un nuovo livello base per ogni PSP operante nell’UE.

eIDAS 2.0: l’EUDI Wallet diventa uno strumento SCA di primo livello

Ai sensi dell’articolo 5f di eIDAS 2.0, entro dicembre 2027 le istituzioni finanziarie devono accettare l’EUDI Wallet come metodo di autenticazione valido. Questo non è uno scenario futuro: è un obbligo vincolante con una scadenza precisa, anche se rimangono alcune aree da definire, poiché la formulazione eIDAS (strong user authentication) è diversa e meno dettagliata rispetto a quella richiesta dalle normative sui pagamenti/finanza.

Le credenziali basate su wallet, emesse da QTSP e verificate rispetto ai livelli di assurance eIDAS, soddisfano contemporaneamente i requisiti di possesso e inerzia della SCA previsti dal PSR, consentendo inoltre la disclosure selettiva degli attributi di identità e riducendo l’esposizione dei dati.

AMLR: la stessa identità che esegue il KYC può eseguire la SCA

Quando l’AMLR entrerà in applicazione da luglio 2027, la sovrapposizione normativa diventerà operativamente decisiva: un’istituzione che accetta una credenziale del Wallet EUDI per il KYC ai sensi dell’articolo 22 AMLR soddisfa contemporaneamente il requisito SCA del PSR per la stessa interazione con il cliente. Questa è la convergenza che rende gli investimenti infrastrutturali strategici e non semplicemente orientati alla compliance.

Una singola identità qualificata, verificata secondo gli standard ETSI TS 119 461 v2.1.1, può fungere da ancora di fiducia per KYC, SCA e firma di documenti regolamentati all’interno dello stesso flusso.

La timeline legislativa: agire prima dell’applicazione

Il periodo 2026–2027 rappresenta la finestra operativa di preparazione. Le decisioni architetturali prese ora determineranno la postura di compliance quando gli obblighi diventeranno applicabili:

Nota pratica sulla distinzione PSR/PSD3: il PSR contiene la maggior parte delle regole operative, incluse SCA, frodi, trasparenza e open banking, ed entra in vigore direttamente 20 giorni dopo la pubblicazione, senza recepimento nazionale.

PSD3 disciplina invece le licenze e la supervisione degli istituti di pagamento e richiede un periodo di recepimento di 18 mesi. Gli obblighi principali su SCA e responsabilità per frodi saranno quindi applicabili prima che le norme nazionali PSD3 siano pienamente in vigore.

Conclusione: la SCA è ora un business, non solo un requisito di compliance

Il Regulatory Observatory ha identificato la SCA sotto PSD3/PSR come una “nuova opportunità positiva di business”, in particolare nel segmento Keyless/IAM. Confermiamo questa valutazione. L’estensione della SCA, la formalizzazione dell’autenticazione delegata e l’allineamento con l’EUDI Wallet creano un vero mercato per un’autenticazione resistente al phishing, di livello FIDO2 e nativa per wallet a livello dei pagamenti, e questa è esattamente l’infrastruttura che Namirial ha costruito.

Il periodo 2026–2027 non è un orizzonte di pianificazione. È la finestra operativa per prendere decisioni infrastrutturali che devono essere prese ora. Le istituzioni che selezionano partner di autenticazione allineati simultaneamente a PSR, DORA, eIDAS 2.0 e AMLR non si limiteranno a soddisfare gli obblighi normativi: costruiranno l’infrastruttura di identità e pagamento che sosterrà il prossimo decennio della finanza digitale affidabile.

Siamo pronti a supportare questa transizione: come provider tecnologico per l’EUDI Wallet, come QTSP multi-mercato per SCA basata su FEQ e come partner ICT conforme a DORA lungo l’intero ciclo di autenticazione dei pagamenti.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

P
Matteo Panfilo
product strategy director di Namirial
guest
0 Commenti
Più recenti
Le più votate
Feedback in linea
Visualizza tutti i commenti

Argomenti

Canali

Articoli correlati