Sei pronto per PSD2?

Le transazioni con Carta effettuate presso un punto vendita fisico, di importo superiore a €50*, devono sempre essere autenticate dal Titolare tramite Chip&Pin. In caso contrario, non sarà possibile processare il pagamento.

In quali altri casi è richiesta l’autenticazione Chip&Pin?

La Direttiva europea PSD2 consente che, a determinate condizioni, le transazioni contactless di importo inferiore a €50* possano essere processate anche senza inserimento del PIN da parte del Titolare.

Tuttavia, una volta che venga raggiunta una spesa cumulativa con la stessa Carta pari o superiore a €150 tramite transazioni contactless consecutive (ciascuna di importo comunque inferiore a €50*), il Titolare di Carta dovrà necessariamente essere autenticato attraverso la modalità Chip&Pin.

Per le operazioni di pagamento effettuate online dai Titolari utilizzando la propria Carta (e-commerce), i Prestatori di servizi di pagamento sono tenuti ad introdurre forme di autenticazione rafforzata della clientela (Strong Customer Authentication), al fine di aumentare la sicurezza delle transazioni e ridurre le frodi. Rientra in tale contesto anche la necessità di ricorrere a specifici protocolli di sicurezza rafforzata per la gestione delle transazioni online, come il protocollo di sicurezza EMV® 3-D Secure (3D Secure).

Al fine di ottemperare alle nuove disposizioni europee e per consentire la continuità nell’erogazione del servizio di pagamento, gli esercenti convenzionati con American Express dovranno abilitare entro e non oltre il 31 dicembre 2020 il sistema di sicurezza 3D Secure di American Express – denominato Safekey – nei loro esercizi di e‑commerce. In caso di mancato utilizzo di Safekey, a partire dal 1° gennaio 2021 le transazioni e‑commerce saranno declinate.

Ai sensi della Direttiva PSD2 sulla sicurezza dei pagamenti elettronici, alcuni tipi di transazioni sono esenti dall’autenticazione forte.

1. Transazioni online di importo ridotto

• American Express richiede l’utilizzo di SafeKey per ogni singola transazione online. In tal modo, la responsabilità in caso di eventuale frode non ricadrà sull’esercente.
• In conformità con le disposizioni normative vigenti e con i limiti da queste previsti, è consentita al prestatore di servizi di pagamento la possibilità di non applicare l’autenticazione forte in caso di transazioni di importo particolarmente ridotto.
  

2. Esercenti preferiti

• I Titolari di Carta possono aggiungere o rimuovere esercenti dalla propria lista i siti web di e-commerce preferiti attraverso la SafeKey Express List di American Express, gestita da American Express e dal Titolare della Carta.
• Qualora il Titolare di Carta effettui un acquisto presso un sito web inserito tra i suoi “preferiti” non sarà necessaria, di regola, l’autenticazione forte.
• Per maggiori informazioni, consulta www.americanexpress.it/safekey.
  

3. Analisi dei rischi collegati alle transazioni

• Le transazioni potranno essere esentate dall’applicazione dell’autenticazione forte qualora presentino un livello di rischio particolarmente basso, sulla base dei parametri individuati dalla normativa applicabile e delle informazioni a disposizione di American Express.
• La transazione, se online, dovrà comunque essere processata tramite Safekey: American Express determinerà il livello di rischio e avvierà le azioni necessarie per autenticare il Titolare di Carta.
  

4. Esenzione Corporate

• La PSD2 prevede una ulteriore forma di esenzione (c.d. “Corporate Exemption”), per pagamenti effettuati attraverso procedure di pagamento o protocolli dedicati, disponibili solo per le aziende.
• American Express applicherà tale esenzione laddove possibile ai suoi vari prodotti di pagamento di tipo Corporate.
• In caso di transazioni online, SafeKey determinerà se il prodotto coinvolto nella transazione richieda l’autenticazione forte o meno.
  

1. Ordini tramite posta o telefono

• Ai sensi della direttiva PSD2, gli ordini effettuati tramite posta o telefono (mail order/telephone order) sono esenti dall’autenticazione forte, a condizione che l’esercente trasmetta ad American Express i corretti codici per identificare in modo chiaro la transazione come effettuata tramite posta o telefono.
  

2. Transazioni avviate dal commerciante

• Le transazioni di pagamento avviate dall’esercente anziché dal Titolare di Carta non sono soggette all’autenticazione forte, poiché il Titolare della Carta ha autorizzato l’esercente ad avviare la transazione (dunque previo accordo tra l’esercente e il Titolare della Carta).
• Per maggiori informazioni su tutti i tipi di transazioni avviate dall’esercente non soggette all’autenticazione forte, consulta il nostro sito web dedicato agli esercenti.
  

3. Competenza geografica (UE/non SEE)

• L’autenticazione forte del cliente riguarderà in via principale le transazioni effettuate tra esercenti e clienti appartenenti allo Spazio Economico Europeo (SEE). In caso di transazioni in cui uno fra l’esercente e il cliente sia collocato al di fuori dello Spazio Economico Europeo, le regole dell’autenticazione forte saranno applicate secondo il criterio del Best effort.
  

4. Pedaggi e parcheggi

• Saranno esenti da autenticazione forte tutte le transazioni avviate presso terminali per tariffe di pedaggio o di parcheggio.
  

Per maggiori informazioni riguardo alla posizione di American Express sulle transazioni esenti, consulta la pagina web www.americanexpress.com/merchantspecs.