La disciplina sulla Strong Customer Authentication (SCA) è un esempio utile per aprire una riflessione, che non può certo esaurirsi in queste scarne note, sulla invadenza nelle scelte operative aziendali e sulle potenziali conseguenze negative per la concorrenza, di una regolazione secondaria eccessivamente di dettaglio su materie tecniche oggetto di costante ricerca e innovazione.
Lo spunto di riflessione nasce dall’obbligo, introdotto dalla PSD2, di applicare (v. articolo 97 PSD2) una autenticazione forte del cliente quando il pagatore accede al suo conto di pagamento online, dispone un’operazione di pagamento elettronico o effettua qualsiasi azione tramite un canale a distanza che possa comportare un rischio di frode nei pagamenti o altri abusi (si noti la particolare ampiezza e indeterminatezza di tale ultimo ambito di applicazione).
Il legislatore europeo è stato spinto dalla necessità di ridurre le frodi nel settore dei pagamenti e rafforzare di conseguenza la fiducia nei consumatori nell’utilizzo degli strumenti di pagamento alternativi al contante. La soluzione prescelta nella PSD2 è stata quella di rinviare a specifici Regulatory Technical Standards (RTS), contenuti nel Regolamento delegato UE 2018/389, che individuano le esatte modalità di esecuzione della SCA, disciplinando altresì i casi (e le modalità) in cui i PSP possono esentare l’utente dall’esecuzione della SCA.
Il regolamento emanato il 27 novembre 2017 e successivamente pubblicato sulla Gazzetta ufficiale dell’Unione europea il 13 marzo 2018, si applica dal 14 settembre del 2019. Le disposizioni, sul punto, essenzialmente: obbligano gli operatori a disporre meccanismi di monitoraggio delle operazioni di pagamento al fine di rilevare quelle non autorizzate o fraudolente, tenendo conto almeno di alcuni precisi fattori di rischio; disciplinano puntualmente le caratteristiche delle misure di sicurezza per l’applicazione dell’autenticazione forte, anche nei casi in cui sia disposto un pagamento a distanza, attraverso l’individuazione delle caratteristiche degli elementi idonei a generare il codice di autenticazione utile a disporre l’operazione che necessita della SCA; elencano i casi e le modalità di esenzione dall’applicazione della SCA.
Il legislatore europeo ha rispolverato un approccio dirigista su una materia prettamente tecnica, quando una disciplina normativa – sebbene delegata – difficilmente si adatta a soluzioni, come quelle antifrode, costantemente oggetto di ricerca e innovazione da parte degli operatori. La soluzione adottata ha infatti fatto sorgere diversi dubbi applicativi. Dubbi che hanno richiesto un intervento dell’EBA volto ad interpretare, anche in profondità, il regolamento attraverso risposte a precise domande degli operatori. Sono 75 ad oggi le Q&A relative al Regolamento SCA, che rappresentano circa il 90 per cento della totalità delle Q&A relative ad argomenti PSD2. Con un potenziale effetto distorsivo dovuto al fatto che le Q&A sono diventate per l’industria dei pagamenti un riferimento essenziale per l’adeguamento alle disposizioni del legislatore europeo, pur dovendosi escludere che le stesse abbiano un qualunque valore giuridicamente vincolante sia per gli operatori che per la Commissione europea, come tra l’altro riconosciuto dalla stessa EBA [1]. Infatti, solo la Corte di Giustizia UE può fornire interpretazioni giuridicamente vincolanti sulla legislazione europea.
Se tale prassi interpretativa in molti casi può risultare utile e proficua, come ad esempio per promuovere approcci e pratiche comuni in materia di vigilanza, nel caso della SCA l’assidua interpretazione “tramite Q&A” è un sintomo dell’anomalia di una normazione secondaria che ha disciplinato eccessivamente in profondità le soluzioni tecniche antifrode.
Sempre con riferimento al Regolamento SCA, accanto al sostanzioso ricorso alle Q&A, l’EBA è intervenuta con tre Opinion. Le prime due sono state emanate il 13 giugno 2018 (EBA-Op-2018-04) e il 21 giugno 2019 (EBA-Op-2019-06), quest’ultima ha fornito chiarezza sugli elementi utili alla SCA – con un ulteriore livello di dettaglio – attraverso specifici esempi di soluzioni tecniche per ciascuna categoria di elementi complaiant o meno con le disposizioni regolamentari. La terza Opionion è del 16 ottobre 2019 (EBA-Op-2019-11) specificamente relativa al postponing della SCA, su cui torneremo più avanti.
Dalla lettura dei primi due Opinion emerge un ulteriore sintomo del fatto che con il Regolamento SCA il legislatore europeo abbia eccessivamente normato questioni tecniche. L’EBA si è preoccupata di precisare nei suddetti Opinion (v. par. 33 e 34 EBA-Op-2018-04 e par. 44 EBA-Op-2019-06) che i due o più elementi su cui basare la autenticazione forte del cliente (elementi classificati nelle categorie del possesso, della inerenza e della conoscenza, meglio descritti negli articoli da 6 a 8 del Regolamento SCA), devono essere di categorie differenti, quando invece né nella norma primaria né in quella secondaria si trova alcuna indicazione in tal senso. Infatti, il Regolamento SCA, all’articolo 9, dispone esclusivamente che i PSP devono prevedere misure che assicurano l’indipendenza di ciascun elemento, affinché la violazione di uno non comprometta l’affidabilità degli altri elementi.
Nei mesi precedenti l’applicazione della SCA (14 settembre 2019) sia le associazioni dei consumatori sia quelle dei commercianti, insieme ai rappresentanti dell’industria degli emittenti delle carte, avevano allertato le istituzioni europee che le nuove disposizioni avrebbero messo a serio rischio l’utilizzo degli strumenti di pagamento, in particolar modo per quanto riguarda l’e-commerce. In sostanza si lamentava il fatto che i consumatori non fossero ancora adeguatamente attrezzati per eseguire l’autenticazione forte per i pagamenti a distanza, chiedendo quindi ulteriore tempo non tanto per sviluppare soluzioni compliant, ma soprattutto per informare i clienti, pagatori e beneficiari, e metterli in condizione di poter concretamente utilizzare le soluzioni imposte dal regolamento. L’EBA, nell’Opinion del giugno 2019, ha assecondato la richiesta accordando alle autorità di vigilanza nazionali la facoltà di consentire ai singoli PSP il postponing dell’applicazione della SCA, a fronte di un piano, dettagliato e scadenzato (migration plan), contenente gli interventi volti a favorire l’adozione della SCA e di un piano di comunicazione alla clientela. Tale decisione è stata confermata con l’Opinion del 16 ottobre 2019, che ha anche precisato alle autorità di vigilanza nazionali la definizione di termine comune quello del 31 dicembre 2020 per evitare difficoltà applicative nell’ambito dei pagamenti transfrontalieri. Nell’ultimo documento l’EBA, consapevole di non aver nessuna fonte giuridica utile a giustificare il postponing, ha precisato che in sostanza lo stesso consiste nella possibilità per le autorità nazionali di non applicare alcuna sanzione per il mancato adeguamento. Inoltre, è stato dettagliato uno scadenzario cui le autorità di vigilanza devono attenersi nell’ambito del postponing concesso ai prestatori dei servizi di pagamento. In definitiva quindi l’EBA ha sventolato bandiera bianca di fronte alle criticità espresse da più parti sull’adozione della SCA sui pagamenti basati su carta e così concedendo, solo a queste soluzioni di pagamento, un rinvio dell’applicazione della SCA al 31 dicembre 2020.
Una tale decisione rischia però di “spezzare” il mercato dei pagamenti, infatti aver concesso il postponing soltanto gli strumenti di pagamento basati su carta e non a tutti gli strumenti di pagamento, crea una disparità che non ha alcuna motivazione, se non quella che i primi hanno maggiori difficoltà di applicazione. E ciò è particolarmente significativo sia per il fatto che non esiste alcuna fonte o potere utile a concedere tale postponing (che come detto si traduce nell’astensione dall’applicazione di sanzioni fino ad una certa data) né quindi tantomeno a limitarlo a questo o quello strumento, ma soprattutto per il fatto che il regolamento si applica a tutti i PSP, senza distinguere tra strumenti di pagamento basati su carta o meno. Quindi, anche per il fatto che gli strumenti di pagamento non basati su carta sono generalmente più sicuri, sarebbe stato maggiormente auspicabile accordare il postponing a tutti gli operatori: si tratta questa di una condizione importante per un mercato dei pagamenti davvero concorrenziale.
Questa sommaria ricognizione del Regolamento SCA consente quindi di pervenire ad una considerazione di fondo. Se gli obiettivi di ridurre le frodi e aumentare la fiducia dei consumatori sono sicuramente alla base del rafforzamento del mercato dei pagamenti, e quindi meritevoli di attenzione normativa, il metodo adottato è fortemente invasivo delle scelte operative aziendali, spesso dettate non solo dalla specificità dello strumento di pagamento ma anche dal suo ambito di spendibilità. Al contrario il legislatore europeo avrebbe potuto mettere in campo una strategia volta a stimolare il mercato nella ricerca della (o delle) soluzione migliore. Il legislatore europeo avrebbe potuto quindi individuare il tasso di frode “sopportabile” (ed aggiornarlo nel tempo sulla base dell’osservazione dei dati), al quale tutti gli operatori indifferentemente dalla tecnologia e dal business model avrebbero dovuto attenersi. Per la misurazione di tale tasso frode sarebbe bastato quindi obbligare gli operatori al monitoraggio (anche nelle modalità e forme previste nel regolamento SCA) attraverso metodologie di misurazione comuni e standardizzate. Lo sforamento dei tassi frode senza un corrispondente repentino adeguamento delle soluzioni di sicurezza (secondo le best practices di mercato), così come l’accertamento della mancanza di una qualunque soluzione di sicurezza o della loro inadeguatezza a fronte di scenari di frode noti nella prestazione dei servizi di pagamento, avrebbe potuto comportare misure sanzionatorie da parte delle autorità di vigilanza.
Un approccio che avrebbe consentito, con indubbi benefici, di alimentare la concorrenza degli operatori nella ricerca di soluzioni sempre più efficaci, oggi non immaginabili. In fondo quale istituto di pagamento o banca vorrebbe mai presentarsi come meno sicuro di un altro?
Soprattutto il legislatore europeo avrebbe stimolato per questa via la cosiddetta componente dinamica della concorrenza, quella basata sulla innovazione.
Ciò, oltre che a incentivare la concorrenza tra gli operatori nella ricerca di soluzioni sempre più tecnicamente avanzate e sicure, avrebbe messo al centro le concrete specificità dello strumento di pagamento e le reali esigenze del cliente.
Il legislatore europeo dovrebbe fare tesoro del suo approccio sulla standardizzazione normativa delle tecniche di autenticazione forte del cliente, evitando per il futuro soluzioni create in vitro che se nel breve periodo sono potenzialmente idonee a raggiungere il risultato, sul lungo periodo cristallizzano l’innovazione e la ricerca. Perché cristallizzare l’innovazione significa accontentarsi della soluzione conosciuta al tempo in cui un fenomeno è osservato, e ciò paradossalmente è la negazione di ogni politica volta al miglioramento della sicurezza e della fiducia dei consumatori.
[1] L’EBA è intervenuta più volte per precisare la natura delle Q&A anche attraverso specifiche linee guida.
