EBA, con Q&A 2025/7482, ha chiarito se sia possibile elaborare transazioni contactless offline tramite terminali SoftPOS, senza applicare la SCA, in circostanze eccezionali come attacchi informatici o altre interruzioni della connettività Internet e dei sistemi degli acquirenti.
Si ricorda che la tecnologia SoftPOS consente agli smartphone di divenire dei veri e propri terminali di pagamento POS.
Nella questione posta ad EBA, un PSP asserisce di voler sviluppare una soluzione di backup per la propria applicazione terminale SoftPOS, destinata ad essere utilizzata in circostanze eccezionali come attacchi informatici o altre interruzioni della connettività.
Tuttavia, poiché i terminali SoftPOS funzionano esclusivamente con transazioni contactless e queste ultime non supportano il PIN offline, il PSP asserisce sia tecnicamente impossibile eseguire l’autenticazione forte del cliente (SCA) in modalità offline: vorrebbe quindi comprendere se, in tali condizioni, sia accettabile elaborare transazioni contactless offline senza applicare la SCA, in conformità con l’art. 15 della Direttiva (UE) 2015/2366 (PSD2).
EBA ricorda preliminarmente che l’art. 97, par. 1, lett. b) della PSD2 prescrive che il prestatore di servizi di pagamento (PSP) applichi “l’autenticazione forte del cliente (SCA) quando il pagatore avvia un’operazione di pagamento elettronico“.
Pertanto, nel caso in cui il pagatore avvii un’operazione di pagamento elettronico basata su carta presso un POS (Software Point of Sale), l’emittente applicherà l’autenticazione forte del cliente (SCA) a tale operazione, a meno che non si applichi un’esenzione dalla SCA ai sensi degli artt. 11-18 del Regolamento Delegato (UE) 2018/389: non sono previste altre esenzioni dalla SCA, comprese quelle per situazioni di emergenza, oltre a quelle specificate nel Regolamento Delegato.
Nel caso specifico descritto, quindi, in cui un’operazione di pagamento viene avviata presso un POS durante un attacco informatico o un’interruzione della connettività Internet o del sistema dell’acquirente, la SCA dovrebbe essere applicata, a meno che l’operazione di pagamento non possa essere soggetta a un’esenzione dalla SCA.
Va inoltre osservato che, come chiarito in Q&A 2018/4055, il PIN può essere trasmesso e verificato offline, a condizione che soddisfi i requisiti degli artt. 6-22 del Regolamento delegato.
