Domenica 24 Giugno 2018
MacroambienteNuova disciplina UE sull’eCommerce: più sicurezza o eccessivo rigore?

Nuova disciplina UE sull'eCommerce: più sicurezza o eccessivo rigore?

La nuova direttiva comunitaria sull'eCommerce tra rafforzamento della sicurezza e formalismo delle procedure.


Marco Fiorillo

A cura di: Marco Fiorillo Autore Inside Marketing

Nuova disciplina UE sull'eCommerce: più sicurezza o eccessivo rigore?

Gli atti normativi comunitari rappresentano lo strumento con cui le istituzioni dell’Unione Europea cercano di perseguire un duplice ordine di risultati: da un lato l’armonizzazione (o addirittura l’allineamento) delle discipline legali vigenti sui territori dei 28 Stati Membri, dall’altro lato (ma in misura ovviamente consequenziale) il rafforzamento delle garanzie e delle tutele per i cittadini dell’Unione. Un campo particolarmente sensibile nel quale è intervenuto di recente il legislatore comunitario è quello dell’eCommerce. Con specifico riferimento alla sicurezza dei pagamenti online, infatti, è stata adottata la Direttiva 2015/2366, anche conosciuta come PSD2 (Payment Service Directory 2), il cui termine di recepimento è fissato al 31 gennaio 2018.

Direttive UE: struttura e funzioni

Prima di analizzarne i contenuti, appare opportuno soffermarsi brevemente sulle caratteristiche delle direttive UE. Dal punto di vista strutturale, tali atti non dettano disposizioni di dettaglio, ma si limitano ad imporre il conseguimento di alcuni obiettivi da parte degli Stati, fissando contemporaneamente il termine entro il quale ciò deve avvenire. In ordine alle modalità concrete di attuazione, tuttavia, i singoli paesi dispongono di una certa discrezionalità.

Il dato veramente importante, però, è quello funzionale: con le direttive, infatti, si persegue l’obiettivo dell’implementazione di standard di tutela minimi, ovverosia soglie di garanzia dalle quali i diversi Stati possono discostarsi solo “verso l’alto” – cioè nel senso di una tutela ancora più elevata rispetto a quanto richiesto dall’UE – ma non “verso il basso”: al di sotto del livello minimo prescritto dalla normativa comunitaria, infatti, si incorre in una violazione degli obblighi assunti con i trattati e, di conseguenza, lo Stato inadempiente rischia concretamente l’apertura di una procedura di infrazione con l’irrogazione di pesantissime sanzioni economiche. Non solo: ove vengano in rilievo le cdd. direttive dettagliate, ovverosia atti con previsioni sufficientemente precise da far sorgere dei diritti in capo ai cittadini, ebbene questi potranno anche agire contro lo Stato inadempiente per ottenere il ristoro del danno patito.

eCommerce e pagamenti online: caratteristiche e criticità

Se, quindi, attraverso le direttive si mira all’innalzamento o al consolidamento di determinati standard, ben si comprende per quale ragione il legislatore UE abbia ritenuto di intervenire con tale strumento nella regolamentazione di un settore che ha assunto oramai importanza cruciale quale quello dell’eCommerce. Secondo alcuni studi si tratta di un universo in costante ascesa e capace di generare, nel 2015, un fatturato di 29 miliardi di euro. Anche in Italia, del resto, si sta diffondendo – seppur con una certa lentezza –  l’acquisto di beni o servizi effettuato direttamente online. Sebbene siano alcune specifiche tipologie di prodotti ad essere trainanti nelle statistiche, il fenomeno eCommerce ha dimensioni apprezzabili se si considera che il 60% degli italiani (36,6 milioni) è connesso ad Internet e quasi la metà (circa 17 milioni) ha fatto almeno un acquisto online nell’ultimo anno.

Il successo del mercato elettronico può principalmente ricondursi a tre fattoriampiezza dell’offertacompetitività del prezzosicurezza dell’acquisto. Le prime due caratteristiche sono del tutto evidenti e non necessitano di molte parole: Internet consente all’utente di visionare e comparare un numero elevatissimo di inserzioni, così da poter facilmente (perlomeno in astratto) individuare il prodotto migliore al miglior prezzo. Per quanto riguarda la sicurezza dell’acquisto, invece, occorre tener conto di una doppia dinamica: da un lato, infatti, le principali piattaforme di eCommerce hanno implementato sistemi di gestione dei feedback capaci di innescare un circolo virtuoso di vantaggio per gli utenti onesti e di svantaggio per quelli disonesti, dall’altro lato si è cercato di abbandonare i sistemi tradizionali di pagamento “moneta contro merce” (ad es. contrassegno) a fronte si sistemi informatizzati e garantiti.

Il sistema di gran lunga più in voga è quello dell’abbinamento all’account dell’utente di un metodo di pagamento verificato (di regola una carta di credito) che, proprio perché ritenuto particolarmente affidabile, consente di concludere le transazioni in pochissimi minuti e con un numero estremamente ridotto di click

Tutto ciò, comunque, non ha impedito una crescita sensibile del numero di truffe online non solo per quel che riguarda natura o qualità dei beni acquistati, ma soprattutto per quanto attiene alla possibilità di hackeraggio dei sistemi di pagamento. Il problema, del resto, presenta proporzioni sicuramente rilevanti se si considera che già da tempo Bankitalia auspicava l’adozione di meccanismi più rigorosi e sicuri per le transazioni economiche online.

Le novità previste dalla PSD2

Con la direttiva, in effetti, si impone l’adozione di tecnologie che idonee a garantire all’utente finale un elevato livello di sicurezza sia per le operazioni di accesso allaccount, sia per le transazioni tramite un canale remoto.

Il vero profilo di novità della nuova normativa, infatti, è quello che attiene alla generalizzazione del ricorso alla cd. autenticazione forte (strong customer authentication). Tutto ciò, ovviamente, non solo al fine di tutelare l’utente ma anche per incentivare il mercato: è evidente, infatti, che un mercato più sicuro attira un maggior numero di potenziali clienti. La PSD2 a questo proposito richiede l’utilizzo di due o più strumenti di autenticazione classificati come: “knowledge” (qualcosa che solo l’utente conosce, ad esempio un PIN); “possession” (qualcosa che solo l’utente possiede, ad esempio un “token”); “inherence” (una caratteristica individualizzante dell’utente, come ad esempio l’impronta digitale).

Una particolare attenzione, poi, è rivolta alla necessità di evitare un effetto domino: occorre evitare, cioè, che “scoperta” una chiave si possa accedere anche a tutte le altre, come nel caso in vi fosse una master-key capace di garantire l’accesso al portachiavi, ovverosia al software che custodisce tutti gli identificativi e le chiavi d’accesso.

I PROFILI CRITICI

Tuttavia, numerosi dissensi ha incontrato l’approccio alla tematica adottato dall’EBA, ovverosia dall’Authority bancaria europea cui la direttiva affida un compito di coordimamento. Nonostante le rimostranze dei principali operatori del settore, infatti, l’Authority ha optato per un approccio a “taglia unica” che impone forme bifasiche di autenticazione quasi per ogni transazione. Basti pensare, infatti, che secondo gli standard approvati, occorrerebbe il ricorso alla SCA per ogni transazione di valore superiore 10€, dunque praticamente sempre.

Il rischio denunciato, quindi, è quello di veder sparire gli acquisti one-click e le diverse forme di check-out rapido. Che tutto ciò sia effettivamente imposto dalla PSD2, peraltro, non è affatto detto, in quanto essa, al considerando nr. 91, stabilisce che le misure di sicurezza «devono essere proporzionate ai relativi rischi di sicurezza», raccomandando pure l’adozione di strumenti per «[..] attenuare i rischi e mantenere procedure efficaci di gestione degli incidenti», lasciando dunque intendere che occorre mantenere un certo equilibrio tra procedure di sicurezza e semplicità di utilizzo.

Inoltre non va trascurato come gli effettivi benefici per il consumatore potrebbero assumere proporzioni decisamente più modeste delle attese se si considera come, già oggi, numerose transazioni risultano – al ricorrere di determinate condizioni – garantite dai soggetti intermediari (cioè dai titolari dei servizi di e-payment) e dunque, rispetto ad esse le modifiche della PSD2 si risolveranno fatalmente in un semplice aggravio di “burocrazia“.

È quindi possibile che, con una singolare eterogenesi dei fini, una direttiva nata per tutelare il consumatore ed incentivare l’eCommerce si trasformi in un poco più di un fastidioso e formalistico limite?

© RIPRODUZIONE RISERVATA E' vietata la ripubblicazione integrale dei contenuti
Iscriviti alla newsletter!

Ricevi gli aggiornamenti settimanali delle notizie più importanti tra cui: articoli, video, eventi, corsi di formazione e recensione libri
Potrai anche usufruire di offerte esclusive per libri, eventi e corsi.
Cosa aspetti?!

Iscriviti