Conformità in materia di pagamenti: normative chiave e migliori prassi
Ogni azienda che gestisce denaro ha un problema di conformità. Transazioni con carta, pagamenti online, pagamenti in criptovalute: non importa quale canale. Le regole si applicano, le sanzioni sono reali e ignorarle raramente finisce in silenzio.
La difficoltà nel rispettare le normative sui pagamenti non sta nel sapere che esistono, bensì nel comprendere quali regolamenti si applicano alla propria attività, come interagiscono tra loro e cosa è effettivamente necessario fare. Questa guida si propone proprio di illustrare questi aspetti.
Cos'è la conformità dei pagamenti e perché è importante?
Chiedete a cinque diversi operatori di pagamento cosa significhi "conformità dei pagamenti" e probabilmente otterrete cinque risposte diverse. In pratica, si tratta dell'insieme completo delle norme che regolano le modalità di raccolta, archiviazione, trasmissione ed elaborazione dei dati di pagamento da parte delle aziende. Queste norme esistono perché quando i sistemi di pagamento non funzionano correttamente, a causa di frodi, riciclaggio di denaro o violazione dei dati, i danni si diffondono rapidamente e ampiamente.
Le aziende soggette a questi obblighi includono praticamente chiunque gestisca denaro in formato digitale: rivenditori online, piattaforme SaaS, marketplace, società fintech e commercianti di criptovalute. Le norme non prevedono esenzioni in base alle dimensioni. Una startup di dieci persone è soggetta agli stessi requisiti fondamentali di una grande impresa.
Alcuni dati che mettono in prospettiva la posta in gioco: si prevede che le perdite dovute a frodi nei pagamenti e all'e-commerce raggiungeranno i 343 miliardi di dollari tra il 2023 e il 2027. Il rapporto sulla sicurezza dei pagamenti di Verizon del 2023 ha rilevato che il 64% delle aziende non è ancora pienamente conforme allo standard PCI DSS. E una singola violazione dei dati può innescare cause legali, audit obbligatori e sanzioni da parte dei circuiti di pagamento, la cui risoluzione può richiedere anni.
Il rispetto delle normative garantisce l'accesso alle reti di pagamento. Perderlo, a causa di una violazione o di una violazione dei dati, può precludere definitivamente tale accesso.
Chi regola la conformità dei pagamenti a livello globale?
Non esiste un'unica autorità che si occupi della conformità dei pagamenti a livello mondiale. Un insieme eterogeneo di enti stabilisce gli standard e applica le norme in diverse giurisdizioni, e la maggior parte delle aziende finisce per dover rispondere a più di uno di essi.
| Regolatore | Giurisdizione | Ambito di applicazione |
|---|---|---|
| PCI SSC (Consiglio per gli standard di sicurezza del settore delle carte di pagamento) | Globale | Definisce il PCI DSS, lo standard di base per la sicurezza dei dati nei pagamenti con carta. |
| GAFI (Gruppo di azione finanziaria internazionale) | Globale (oltre 40 paesi membri) | Definisce gli standard in materia di antiriciclaggio e contrasto al finanziamento del terrorismo. |
| EBA / BCE | Unione Europea | Applica la PSD2 e rilascia licenze ai fornitori di servizi di pagamento. |
| FinCEN (Rete per il contrasto ai crimini finanziari) | Stati Uniti | Applicazione delle norme antiriciclaggio, legge sul segreto bancario, linee guida sulle criptovalute |
| FTC (Commissione Federale per il Commercio) | Stati Uniti | Tutela dei dati dei consumatori, pratiche di pagamento sleali |
| ICO / Autorità per la protezione dei dati | UE e Regno Unito | Applicazione del GDPR |
| banche centrali | Ogni paese | Concedere licenze e supervisionare a livello locale i fornitori di servizi di pagamento. |
Un commerciante con sede nell'UE che accetta carte statunitensi da clienti internazionali, ad esempio, si trova a dover rispettare contemporaneamente PCI DSS, GDPR e potenzialmente anche le linee guida del FinCEN. Gestire questa sovrapposizione è ciò che significa essere conformi alle normative sui pagamenti e alle normative vigenti quando la tua attività opera a livello internazionale.
Spiegazione delle principali normative in materia di conformità dei pagamenti.
Cinque normative definiscono la maggior parte degli obblighi che le aziende devono rispettare. Ciascuna si concentra su un'area di rischio diversa e prevede una propria struttura sanzionatoria.
- PCI DSS — Lo standard di sicurezza dei dati del settore delle carte di pagamento si applica a qualsiasi entità che memorizzi, elabori o trasmetta dati dei titolari di carte. Stabilisce 12 requisiti tecnici e operativi. Le sanzioni per la mancata conformità vanno da 5.000 a 100.000 dollari al mese, a seconda della gravità della violazione.
- PSD2 — La Direttiva 2 sui servizi di pagamento dell'UE disciplina i fornitori di servizi di pagamento in tutto lo Spazio economico europeo. Il requisito principale è l'autenticazione forte del cliente (SCA) per le transazioni elettroniche. Le sanzioni possono raggiungere i 5 milioni di euro o il 3% del fatturato annuo globale.
- AML/KYC — Le normative antiriciclaggio impongono alle aziende di verificare l'identità dei clienti (Know Your Customer), monitorare le transazioni per individuare attività sospette e presentare segnalazioni di attività sospette. Queste norme derivano da leggi nazionali basate sulle raccomandazioni del GAFI (Gruppo d'azione finanziaria internazionale).
- GDPR/CCPA — Il Regolamento generale sulla protezione dei dati (GDPR) dell'UE e il California Consumer Privacy Act (CCPA) stabiliscono le regole per la privacy dei dati nei pagamenti, disciplinando le modalità di raccolta, archiviazione ed elaborazione dei dati personali e delle informazioni di pagamento. Le sanzioni previste dal GDPR possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale. La multa di 405 milioni di euro inflitta a Meta nel 2022 ha confermato che le autorità di regolamentazione applicheranno le norme su larga scala.
- Normative BSA/FinCEN — Il Bank Secrecy Act statunitense impone agli istituti finanziari e alle società di servizi finanziari di adottare programmi antiriciclaggio, segnalare le transazioni in contanti superiori a 10.000 dollari e presentare segnalazioni di operazioni sospette (SAR). Il FinCEN ha esteso questi obblighi anche alle società di criptovalute che operano negli Stati Uniti.
PCI DSS 4.0: Le fondamenta della sicurezza dei dati di pagamento
La maggior parte delle aziende online si è conformata allo standard PCI DSS prima di qualsiasi altra normativa. La versione 4.0 è stata finalizzata nel 2022 ed è entrata pienamente in vigore nell'aprile 2025, introducendo cambiamenti significativi che commercianti e fornitori di servizi di pagamento devono conoscere.
Il livello di conformità dipende dal volume annuo delle transazioni con carta:
- Livello 1 : Oltre 6 milioni di transazioni/anno — audit annuale in loco da parte di un valutatore di sicurezza qualificato (QSA)
- Livello 2 : da 1 a 6 milioni di transazioni all'anno — questionario di autovalutazione annuale (SAQ) più scansioni trimestrali della rete.
- Livello 3 : da 20.000 a 1 milione di transazioni di e-commerce all'anno — SAQ più scansioni trimestrali
- Livello 4 : meno di 20.000 transazioni di e-commerce all'anno — SAQ raccomandato
Quali sono le modifiche apportate nella versione 4.0 rispetto alla versione 3.2.1?
- Approccio personalizzato : le aziende possono ora implementare controlli alternativi che soddisfino lo scopo di un requisito, anziché seguire alla lettera le specifiche tecniche prescrittive.
- Autenticazione a più fattori obbligatoria : l'autenticazione a più fattori è ora richiesta per tutti gli accessi all'ambiente dati del titolare della carta, non solo per le sessioni remote.
- Formazione su phishing e ingegneria sociale : la formazione mirata sulla sensibilizzazione è un requisito formale, non una raccomandazione.
- Password più sicure : minimo 12 caratteri (rispetto agli 8 precedenti), con rotazione automatica ogni 90 giorni per gli account con privilegi elevati.
Ignorare lo standard PCI DSS ha un costo altissimo. Quando Heartland Payment Systems subì una violazione dei dati nel 2008, le perdite totali superarono i 200 milioni di dollari. Il titolo azionario crollò del 50% in pochi giorni e perse il 77% del suo valore prima di una ripresa. Le piccole imprese di solito non sopravvivono a una situazione del genere.
AML e KYC: Individuare i reati finanziari alla fonte
La conformità AML (Antiriciclaggio) significa costruire sistemi in grado di individuare i reati finanziari prima che transitino attraverso la tua piattaforma. Il KYC, ovvero la verifica dell'identità, è ciò che rende possibile questo monitoraggio.
Cosa richiede effettivamente la conformità alle normative antiriciclaggio:
- Monitoraggio delle transazioni : sistemi automatizzati che segnalano schemi insoliti, come trasferimenti di grandi dimensioni, movimenti rapidi di fondi e frazionamento delle transazioni (suddivisione in transazioni per rimanere al di sotto delle soglie di segnalazione).
- Presentazione della segnalazione di attività sospetta (SAR) : quando emerge un'attività sospetta, è necessario presentare una segnalazione di attività sospetta all'autorità competente entro i termini previsti.
- Controllo delle sanzioni : ogni cliente e controparte viene verificato in tempo reale rispetto agli elenchi di sanzioni OFAC, ONU e UE.
- Due diligence del cliente (CDD) : revisione continua del profilo di rischio, non solo un controllo iniziale una tantum.
- Due diligence rafforzata (EDD) : esame più approfondito per i clienti ad alto rischio, ovvero le persone politicamente esposte (PEP) e chiunque provenga da una giurisdizione ad alto rischio.
La procedura KYC in fase di onboarding in genere prevede la verifica dei documenti (documento d'identità rilasciato dal governo, prova di residenza) e un controllo di autenticità. Le soluzioni eKYC ora gestiscono tutto questo in pochi secondi grazie all'intelligenza artificiale; per qualsiasi azienda che effettua onboarding su larga scala, questa è diventata la prassi standard.
La Travel Rule del FATF aggiunge un livello specifico per le criptovalute: i fornitori di servizi di asset virtuali devono raccogliere e trasmettere le informazioni del mittente e del destinatario per i trasferimenti superiori a 1.000 dollari. La soglia esatta varia leggermente a seconda della giurisdizione, ma l'obbligo si applica sia che il trasferimento riguardi Bitcoin, stablecoin o qualsiasi altro asset digitale.
Requisiti previsti dalla PSD2, dalla SCA e dall'Open Banking
La PSD2 ha ridefinito l'autenticazione per i fornitori di servizi di pagamento in tutta l'UE. Il suo mandato principale, l'autenticazione forte del cliente, è ora lo standard per qualsiasi servizio di pagamento operante nello Spazio economico europeo.
L'autenticazione SCA richiede l'utilizzo di almeno due dei tre fattori indipendenti:
- Qualcosa che conosci : password, PIN, domanda di sicurezza
- Qualcosa che possiedi : telefono cellulare, token hardware, smart card
- Qualcosa che sei : impronta digitale, riconoscimento facciale, modello vocale
3D Secure 2.0 è il principale standard tecnico per l'implementazione dell'autenticazione forte del cliente (SCA) nelle transazioni senza presenza fisica della carta. Trasmette i segnali di rischio tra l'esercente, il circuito di pagamento e la banca emittente, consentendo alle transazioni a basso rischio di essere completate senza intoppi.
Le esenzioni SCA esistono per ridurre gli attriti non necessari:
| Esenzione | Condizione |
|---|---|
| transazioni di basso valore | Meno di 30 € (fino a 5 transazioni consecutive o 100 € cumulativi) |
| Beneficiari di fiducia | Il cliente ha pre-autorizzato il beneficiario |
| Pagamenti ricorrenti a importo fisso | Stesso importo allo stesso beneficiario in ogni periodo |
| Strumenti di pagamento aziendali | Protocolli di pagamento aziendali dedicati |
| Analisi del rischio di transazione | Punteggio di frode in tempo reale inferiore alla soglia definita |
La PSD2 impone anche l'open banking. Le banche devono consentire ai fornitori terzi autorizzati di accedere ai dati dei conti dei clienti tramite API, previo consenso del cliente. Il rispetto di tali norme di accesso è una condizione per l'ottenimento della licenza, non è facoltativo.
Conformità dei pagamenti nel settore delle criptovalute e degli asset digitali
La maggior parte delle guide sulla conformità dei pagamenti si ferma ai pagamenti con carta e ai bonifici bancari. Questa è una lacuna importante. I commercianti di criptovalute, i gateway di pagamento e le aziende che operano nel settore degli asset digitali sono soggetti a tutte le normative AML/KYC, oltre a una crescente serie di regole specifiche per le criptovalute.
Ai fini della lotta al riciclaggio di denaro, secondo le linee guida del GAFI, i fornitori di servizi di asset virtuali (VASP), ovvero piattaforme di scambio di criptovalute, portafogli digitali e gateway di pagamento, sono considerati istituzioni finanziarie. In pratica, ciò significa che:
- Verifica completa dell'identità (KYC) al momento dell'iscrizione, monitoraggio continuo delle transazioni e obbligo di presentazione delle segnalazioni di attività sospette (SAR).
- Regola FATF sui trasferimenti : per i trasferimenti superiori a 1.000 dollari è necessario che il nome del mittente, il numero di conto dell'originatore e i dati del destinatario accompagnino la transazione.
- Registrazione presso FinCEN come impresa di servizi finanziari per le aziende di criptovalute con sede negli Stati Uniti.
- Licenza ai sensi del regolamento UE MiCA (Markets in Crypto-Assets Regulation), in vigore dal 2024, che disciplina i requisiti di riserva, le norme a tutela dei consumatori e gli obblighi di informativa per gli emittenti di stablecoin e i fornitori di servizi crittografici.
La sfida pratica consiste nel garantire la conformità normativa su centinaia di asset e blockchain, ognuno con diversa finalità e tracciabilità delle transazioni. Costruire tutto questo da zero è costoso e richiede molto tempo.
Plisio gestisce la conformità a livello di gateway, supportando oltre 200 criptovalute e mantenendo al contempo il monitoraggio delle transazioni conforme alle normative AML e un processo di onboarding dei commercianti semplificato per la verifica dell'identità (KYC). Per le aziende di e-commerce che desiderano accettare criptovalute senza dover costruire un'infrastruttura di conformità interna, la scelta più pratica è quella di affidarsi a un gateway che si faccia carico di tale complessità normativa.
Come creare un flusso di lavoro per la conformità dei pagamenti
La conformità non è uno strumento che si attiva all'occorrenza. È un processo continuo che fallisce se trattato come un progetto una tantum.
- Definisci l'ambito della tua infrastruttura : mappa ogni sistema che gestisce i dati di pagamento: pagine di checkout, processori, database, integrazioni con terze parti. Lo standard PCI DSS copre solo ciò che rientra nell'ambito di applicazione, e la maggior parte delle violazioni si verifica in aree che non sono mai state incluse nell'analisi.
- Effettua un'analisi delle lacune in materia di conformità : valuta i controlli attuali rispetto ai requisiti PCI DSS, AML/KYC e GDPR (o CCPA). Annota ciò che manca, non solo ciò che è presente.
- Implementare controlli tecnici : la tokenizzazione sostituisce i numeri di carta con token non sensibili; la crittografia protegge i dati sia in transito che a riposo. Questi due passaggi da soli eliminano la maggior parte dell'ambito di applicazione dello standard PCI DSS.
- Configura il monitoraggio delle transazioni : i sistemi automatizzati devono segnalare le transazioni sospette in tempo reale. Definisci le regole di avviso, le code di revisione e i percorsi di escalation prima di andare in produzione, non dopo.
- Formare il personale : l'ingegneria sociale e il phishing causano più violazioni dei dati rispetto ai guasti tecnici. Lo standard PCI DSS 4.0 ora richiede una formazione mirata sulla consapevolezza della sicurezza; trattatela come un vero e proprio controllo.
- Documentate tutto : politiche, procedure, registri di controllo, piani di intervento in caso di incidenti. Gli enti regolatori richiedono la documentazione come prova dell'intenzione e della capacità di agire, non solo del funzionamento dei sistemi.
- Pianifica audit regolari : valutazioni annuali PCI DSS, scansioni di rete trimestrali e revisioni continue del programma AML. La conformità tende a deteriorarsi senza una manutenzione attiva.
- Scegliete partner di pagamento conformi : il vostro processore, il gateway e i partner bancari condividono la responsabilità. Un partner che gestisce la conformità PCI DSS a livello di infrastruttura riduce drasticamente il vostro carico di lavoro.
Migliori pratiche di conformità dei pagamenti per l'e-commerce
Una volta avviato il programma di conformità dei pagamenti, queste pratiche impediscono che si sgretoli silenziosamente:
- Utilizza un gateway certificato PCI DSS Livello 1 : delega la gestione dei dati del titolare della carta al fornitore, riducendo in genere l'ambito di applicazione del PCI DSS a un SAQ A
- Attiva 3D Secure 2.0 : riduce la responsabilità per frode nelle transazioni senza presenza fisica della carta e soddisfa i requisiti SCA dell'UE.
- Tokenizzare tutto : sostituire i numeri di carta con token al punto di accesso; i dati grezzi dei titolari di carta non devono mai rimanere nei vostri sistemi.
- Implementa il fingerprinting del dispositivo e la geolocalizzazione IP : crea segnali di prevenzione delle frodi a partire dai dati comportamentali senza aggiungere complessità al processo di pagamento.
- Applicare la minimizzazione dei dati : in conformità al GDPR, raccogliere solo i dati necessari, conservarli solo per il tempo richiesto ed eliminarli nei tempi previsti.
- Verifica i commercianti prima di abilitare i pagamenti : su un marketplace o una piattaforma, la conformità in fase di onboarding si estende anche ai sub-commercianti.
- È fondamentale avere un piano di risposta agli incidenti : il GDPR richiede la notifica delle violazioni alle autorità di controllo entro 72 ore; la maggior parte degli stati americani richiede 30 giorni. Un piano non testato è solo un documento.
