La sicurezza nelle transazioni di pagamento digitali

La sicurezza delle transazioni di pagamento digitali è oggi al centro dell’evoluzione dei servizi finanziari e costituisce una priorità strategica per banche e intermediari.

L’aumento della digitalizzazione dei pagamenti, l’adozione di strumenti sempre più immediati e la crescente sofisticazione delle frodi rendono indispensabile un quadro di presìdi di sicurezza solido, coerente e pienamente integrato nei processi operativi.

In tale scenario, la normativa europea sui servizi di pagamento, e in particolare la PSD2 con le relative norme tecniche su Strong Customer Authentication (SCA) e sugli standard di comunicazione comuni e sicuri, definisce oggi l’architettura di riferimento per la protezione delle operazioni con carte e bonifici.

Il rispetto formale dei requisiti regolamentari non è tuttavia sufficiente: per gli operatori finanziari diventa essenziale tradurre le regole in modelli operativi efficaci, capaci di coniugare sicurezza, continuità del servizio, qualità dell’esperienza del cliente e corretta gestione delle eccezioni.

A questo impianto si affiancano le nuove sfide poste dai bonifici istantanei in euro, caratterizzati da esecuzione in tempo reale e da un elevato grado di irreversibilità, che hanno spinto il legislatore europeo a introdurre ulteriori misure di tutela attraverso il Regolamento (UE) 2024/886, con particolare riferimento alla Verification of Payee (VoP). Sullo sfondo, le proposte PSD3 e PSR delineano un ulteriore rafforzamento delle regole in materia di sicurezza, frodi e responsabilità, richiedendo agli intermediari una preparazione tempestiva e strutturata.

PSD2: requisiti di sicurezza per carte e bonifici
Il quadro normativo europeo di riferimento

L’attuale disciplina europea in materia di sicurezza dei pagamenti digitali si fonda su un corpus normativo articolato, volto a garantire un livello elevato e omogeneo di protezione delle operazioni di pagamento all’interno del mercato unico.

In particolare, il quadro di riferimento è costituito da:

• la Direttiva (UE) 2015/2366 (PSD2), che regola i servizi di pagamento e definisce diritti e obblighi dei prestatori e degli utenti;
• il Regolamento Delegato (UE) 2018/389, che integra la PSD2 attraverso norme tecniche di regolamentazione in materia di autenticazione forte del cliente (SCA) e standard di comunicazione comuni e sicuri;
• il Regolamento Delegato (UE) 2022/2360, che interviene sulle RTS introducendo specifiche modifiche, tra cui l’esenzione dei 90 giorni per l’accesso ai conti.

La PSD2 ha inciso in modo significativo sull’assetto dei presìdi di sicurezza dei Payment Service Provider (PSP), imponendo un approccio strutturato e documentato alla prevenzione delle frodi e alla gestione delle operazioni non autorizzate, applicabile tanto ai pagamenti con carta quanto ai bonifici

Obblighi su sicurezza, frodi e operazioni non autorizzate

Tra gli elementi cardine della disciplina PSD2 in tema di sicurezza rientrano: l’adozione di misure adeguate a garantire la protezione delle credenziali di sicurezza personalizzate degli utenti; l’implementazione di sistemi di monitoraggio delle transazioni finalizzati all’individuazione di comportamenti anomali o sospetti e la definizione di processi chiari e strutturati per la gestione delle operazioni non autorizzate, comprensivi di tempistiche, responsabilità e flussi decisionali.

Un ruolo centrale è svolto dalle regole su responsabilità e rimborsi, che delineano un equilibrio tra tutela del cliente e obblighi dei PSP. In via generale, l’utente è protetto rispetto alle operazioni non autorizzate, fatta salva l’ipotesi di dolo o colpa grave, mentre i prestatori di servizi di pagamento devono dimostrare di aver adottato presìdi di sicurezza conformi e proporzionati.

Strong Customer Authentication (SCA): principi e applicazioni operative

La Strong Customer Authentication rappresenta uno dei pilastri della sicurezza dei pagamenti nell’ambito della PSD2. Il meccanismo si basa sull’utilizzo di almeno due fattori di autenticazione appartenenti a categorie differenti:

• conoscenza, ossia informazioni note solo all’utente;
• possesso, riferito a un dispositivo o elemento in possesso esclusivo del cliente;
• inerenza, legata a caratteristiche biometriche dell’utente.

Elemento distintivo della SCA è il dynamic linking, che richiede un collegamento dinamico dell’autenticazione all’importo e al beneficiario della transazione, rafforzando la protezione contro alterazioni e frodi.

Dal punto di vista operativo, la SCA si applica sia ai pagamenti con carta (in particolare nel contesto e-commerce) sia ai bonifici, incidendo in modo rilevante sulla progettazione dei flussi operativi, sull’esperienza utente e sulle interfacce digitali.

Bonifici istantanei: sicurezza e nuove tutele del Regolamento (UE) 2024/886

I bonifici istantanei introducono specifici profili di rischio legati alle loro caratteristiche strutturali, che rendono particolarmente complessa la prevenzione delle frodi e limitano fortemente le possibilità di intervento correttivo successivo all’esecuzione.

Parliamo di:

• esecuzione dell’operazione in tempo reale;
• disponibilità del servizio su base continua (24/7/365);
• irreversibilità sostanziale del pagamento una volta eseguito.

Il Regolamento (UE) 2024/886 introduce un nuovo presidio di sicurezza attraverso l’obbligo di Verification of Payee (VoP), ossia la verifica preventiva della coerenza tra nome del beneficiario e IBAN prima dell’esecuzione del bonifico.

A supporto dell’attuazione degli obblighi regolamentari, l’European Payments Council ha definito lo schema EPC “VOP”, entrato in vigore il 5 ottobre 2025 e diventato obbligatorio il 9 ottobre 2025 per i PSP dell’area euro. Lo schema rappresenta un passaggio chiave verso un approccio armonizzato alla sicurezza dei bonifici istantanei.

PSD3 e PSR: le novità attese sulla sicurezza delle transazioni

Le proposte PSD3 e PSR delineano un rafforzamento significativo del quadro normativo in materia di contrasto alle frodi, con una possibile revisione dell’allocazione delle responsabilità tra i diversi attori della catena del pagamento, in particolare nei casi di social engineering e frodi ad elevata sofisticazione.

Le nuove iniziative normative sono destinate a incidere anche su requisiti e modalità di autenticazione, su livelli di trasparenza nei confronti della clientela, obblighi informativi in presenza di operazioni anomale o potenzialmente fraudolente.

L’obiettivo è rafforzare la protezione del cliente finale, preservando al contempo l’innovazione e la competitività del mercato dei pagamenti.

In vista dei futuri sviluppi normativi, banche e intermediari sono chiamati ad avviare una valutazione preventiva dei principali gap di conformità, con particolare attenzione a:

• governance della sicurezza dei pagamenti;
• integrazione tra funzioni di compliance, IT e business;
• revisione dei processi di gestione delle frodi e dei reclami;
• adeguamento dei sistemi ai nuovi obblighi su bonifici istantanei e VoP.

Un approccio anticipatorio consente di trasformare l’evoluzione regolamentare in un’opportunità di rafforzamento strutturale dei presìdi di sicurezza e della fiducia della clientela.

Conclusioni

La sicurezza delle transazioni di pagamento digitali non può più essere considerata un ambito esclusivamente tecnico o normativo, ma rappresenta un fattore strategico per la stabilità operativa e la reputazione degli intermediari finanziari. La PSD2, il Regolamento (UE) 2024/886 e le imminenti evoluzioni verso PSD3 e PSR delineano un contesto sempre più esigente, che richiede competenze specialistiche e una visione integrata dei processi.

In questo scenario, formazione specialistica e aggiornamento continuo assumono un ruolo centrale nel supportare banche e assicurazioni nell’interpretazione e nell’applicazione concreta delle nuove regole, consentendo di trasformare la compliance  in valore operativo e competitivo.