I pci dss requirements sono solo una delle tre normative che un merchant italiano deve rispettare nel 2025. Accanto al PCI DSS, il GDPR e la PSD2 formano un quadro normativo complesso dove le responsabilità si sovrappongono, le scadenze si accumulano e le sanzioni possono cumularsi in modo significativo. Questa guida mappa le tre normative in modo pratico: chi è obbligato a cosa, quando e cosa succede se non si è in regola.
Il quadro normativo 2025: PCI DSS, GDPR e PSD2 a confronto
Le tre normative operano su piani diversi ma si intersecano continuamente. Il PCI DSS è uno standard contrattuale imposto dai network delle carte (Visa, Mastercard, ecc.) attraverso gli acquirer: regola la sicurezza tecnica dei dati carta e si applica a chi accetta, elabora o archivia dati di pagamento con carta. Il GDPR è una legge europea con forza di legge in Italia: regola il trattamento di tutti i dati personali, inclusi i dati carta che identificano una persona fisica. La PSD2 è una direttiva europea recepita in Italia con il D.Lgs. 218/2017: regola i servizi di pagamento, l'accesso ai conti e la Strong Customer Authentication.
Le sovrapposizioni sono concrete. Un data breach che espone dati carta attiva simultaneamente il PCI DSS (procedura di indagine forense e potenziali sanzioni dal network), il GDPR (notifica obbligatoria al Garante Privacy entro 72 ore e possibili sanzioni fino al 4% del fatturato globale) e la PSD2 se il breach riguarda conti di pagamento o dati di autenticazione. Ogni normativa ha il proprio iter sanzionatorio e il proprio regolatore: gestirle in modo integrato è molto più efficiente che trattarle come tre silos separati.
Chi deve rispettare cosa in Italia: obblighi per settore
Il PCI DSS si applica a qualsiasi entità che accetti pagamenti con carta: merchant di ogni dimensione, PSP, acquirer, gateway e processori. Non ci sono esenzioni per dimensione aziendale: anche un piccolo e-commerce con 100 transazioni al mese deve soddisfare i requisiti PCI DSS applicabili al proprio livello. La differenza tra livelli riguarda la complessità degli adempimenti, non la loro presenza.
Il GDPR si applica a qualsiasi azienda che tratti dati personali di residenti UE, indipendentemente dalla sede dell'azienda. Per i pagamenti, questo include quasi ogni merchant italiano. La PSD2 si applica direttamente ai prestatori di servizi di pagamento (PSP, banche, istituti di moneta elettronica), ma i merchant sono indirettamente coinvolti nei requisiti di SCA (Strong Customer Authentication) che i loro sistemi di checkout devono supportare. Un merchant che non supporta il 3DS2 sulle proprie pagine di pagamento rischia che le transazioni vengano declinate dalla banca del consumatore.
Sanzioni cumulative e come evitarle con una sola soluzione
Le sanzioni delle tre normative si accumulano in modo indipendente. Un singolo data breach che espone dati carta di clienti italiani può attivare: sanzioni PCI DSS dal network (da 5.000 a 100.000 euro al mese per non conformità), sanzioni GDPR dal Garante Privacy (fino al 4% del fatturato globale o 20 milioni di euro), e potenziali sanzioni PSD2 se il breach riguarda servizi di pagamento regolamentati. In uno scenario reale di media gravità, il costo cumulativo può superare facilmente i 500.000 euro, senza contare i danni reputazionali e la perdita di clienti.
La strategia più efficiente per coprire tutti e tre i fronti è centralizzare la gestione dei dati carta su un provider che soddisfi simultaneamente i pci dss requirements tecnici, i requisiti GDPR di sicurezza e residenza dei dati, e le specifiche tecniche PSD2 per l'autenticazione. PCI Proxy EU è certificato PCI DSS Level 1, opera con dati localizzati in UE per la conformità GDPR, e supporta i flussi di autenticazione 3DS2 richiesti dalla PSD2. Un'unica integrazione riduce il perimetro di rischio su tutti e tre i fronti normativi.
Domande frequenti
Quali sono le scadenze normative più urgenti nel 2025?
Sul fronte PCI DSS, i requisiti aggiuntivi di PCI DSS v4 sono diventati obbligatori il 31 marzo 2025. Chi non ha completato la transizione dalla v3.2.1 è già fuori compliance. Sul fronte GDPR, non ci sono scadenze specifiche nel 2025, ma l'obbligo di notifica breach entro 72 ore è permanente. Sul fronte PSD2, i requisiti SCA per le transazioni online sono in vigore dal 2021 e continuano a essere oggetto di verifica da parte di Banca d'Italia.
Un merchant italiano piccolo deve rispettare tutte e tre le normative?
Per il PCI DSS sì, ma con adempimenti proporzionali al volume (SAQ invece di ROC). Per il GDPR sì, se tratta dati di persone fisiche (praticamente sempre). Per la PSD2 in senso diretto no (si applica ai PSP), ma indirettamente sì per i requisiti SCA sul checkout. In pratica, qualsiasi merchant italiano che vende online deve fare i conti con tutte e tre le normative.
PCI Proxy EU copre anche gli obblighi PSD2?
PCI Proxy EU supporta i flussi di autenticazione 3DS2 richiesti dalla PSD2 per ridurre i chargebacks e massimizzare l'acceptance rate delle transazioni. La copertura diretta degli obblighi PSD2 riguarda i PSP, non i merchant, ma l'integrazione con il vault di PCI Proxy EU facilita l'implementazione corretta dei flussi di autenticazione che la PSD2 richiede indirettamente ai merchant tramite i loro PSP.
Vuoi coprire PCI DSS, GDPR e PSD2 con un'unica soluzione integrata, dati in Europa e certificazioni complete? Scopri PCI Proxy EU.