Durante le scorse settimane ci siamo tenuti in costante contatto con la IATA sottoponendo una serie dettagliata di query volte a meglio comprendere le procedure che saranno applicate sin dal prossimo primo di marzo.

In realtà, per quanto ci è sembrato di comprendere, neppure la IATA ha ben chiare le procedure da applicare per il semplice motivo che, il PCI, è un consorzio formato da American Express, Discover Financial Services, JCB, MasterCard Worldwide e Visa International che costituiscono i reali attori dei protocolli resi obbligatori a tutti i soggetti commerciali che effettuano transazioni con carte di credito.
L’associazione delle compagnie aeree non ha difatti alcun potere per inibire – per sua volontà o interesse – l’emissione tramite le carte di credito che, per l’ente, non rappresentano neppure una partita di giro non transitando attraverso BSP (se non solo sotto forma di rendicontazione). Pertanto, qualunque azione in tal senso può essere intrapresa solo ed esclusivamente dal consorzio stesso.

Per quanto riteniamo di aver capito, però, la IATA provvederà in ogni caso a richiedere entro il 31 marzo l’attestato di conformità al DSS (Data Security Standard) in una sorta di forma cautelativa destinata ad informare il consorzio della inidoneità delle agenzia che non lo forniranno, e alle quali sarà inviato un avviso di non conformità.
In tal caso, l’ulteriore data entro la quale le agenzie dovranno presentare la certificazione sarà spostata al mese di dicembre, ma ciò che resta nebuloso è come si comporterà il consorzio verso le agenzie risultanti inadempienti: non è certo, cioè, che si possa continuare ad emettere con carta di credito, né fino a quando ed in quali termini.

È logico pertanto affermare che non esiste nessun “congelamento” del problema, come è stato sottolineato da più parti, perché l’adeguamento agli standard di sicurezza resta obbligatorio entro i termini indicati. Semmai sono incerte le sanzioni e/o le conseguenze.
La gran parte delle agenzie IATA con impatto significativo sulle emissioni con carta di credito (in particolare nel business travel) ha deciso di mettersi comunque in regola entro i tempi indicati giacché insistere nel postergare significherebbe non solo incorrere in rischi commerciali, ma soltanto spostare la lancetta un tantino più avanti, senza nessun significativo vantaggio.

Si ricorda inoltre che, le vigenti leggi, obbligano l’esercente ad accettare i pagamenti con carta di credito se tale è l’intenzione del consumatore: pertanto, in caso di un blocco repentino dei contratti merchant dei vettori, l’agente di viaggio potrebbe essere obbligato ad accettare i pagamenti sul proprio POS subendo un danno in termini commissionali (o sanzionatori) non indifferente.

Dr. Dario Nicola Scuto

Sito IATA: PCI DSS & Travel Agent Compliance Requirements

LEAVE A REPLY

*