La pci dss compliance in Italia segue le stesse regole globali del PCI SSC, ma con alcune specificità locali che ogni merchant e azienda deve conoscere per evitare errori costosi. Chi accetta pagamenti con carta in Italia ha obblighi precisi verso gli acquirer, scadenze legate alla transizione a PCI DSS v4 e la questione sempre più rilevante della residenza dei dati in Europa. Questa guida risponde alle domande più comuni in modo diretto e pratico.
PCI DSS in Italia: normativa, attori e obblighi specifici
In Italia, il PCI DSS non è una legge statale ma uno standard contrattuale imposto dagli acquirer (come Nexi, Worldline, Banca Sella e altri) ai merchant come condizione per accettare pagamenti con carte Visa, Mastercard, American Express e le altre reti. La conformità viene verificata dagli acquirer stessi, che sono a loro volta obbligati dalle reti di carte a garantire che i loro merchant rispettino lo standard. Le sanzioni per non conformità arrivano dai network internazionali e possono includere la revoca del diritto di accettare carte.
Gli obblighi variano in base al livello del merchant, determinato dal volume annuale di transazioni. I merchant di Livello 1 (oltre 6 milioni di transazioni Visa/Mastercard all'anno) devono sottoporsi a un audit annuale condotto da un QSA accreditato. I merchant di Livello 2, 3 e 4 possono in genere compilare un SAQ (Self-Assessment Questionnaire) in autonomia, ma la tipologia di SAQ dipende dall'architettura tecnica usata per accettare le carte.
Costi reali della compliance PCI DSS per un'azienda italiana
I costi variano enormemente in base al livello del merchant e al perimetro PCI. Per un merchant di Livello 1 con un perimetro ampio, un audit QSA completo (Report on Compliance) in Italia costa tra 30.000 e 80.000 euro per la sola attività del QSA, a cui si aggiungono i costi interni di preparazione, remediation e penetration test. Per i livelli inferiori, la compilazione del SAQ ha un costo diretto molto più basso, ma richiede comunque una preparazione tecnica e organizzativa che può richiedere settimane di lavoro interno.
Ridurre il perimetro PCI tramite tokenizzazione e outsourcing del CDE può far scendere un merchant da un ROC a un SAQ A, con un risparmio che nella pratica si traduce in 20.000-60.000 euro all'anno considerando sia i costi diretti di audit sia i costi operativi di mantenimento della compliance. Per le PMI italiane, questa riduzione è spesso la differenza tra un programma di compliance sostenibile e uno che blocca le risorse interne.
PCI DSS v4 e residenza dati UE: perché conta per i merchant italiani
La transizione a PCI DSS v4 ha introdotto nuovi requisiti su autenticazione, crittografia e monitoraggio continuo. Molti dei requisiti diventati obbligatori a partire dal 31 marzo 2025 riguardano aree come la gestione delle password, il monitoraggio dell'integrità dei file e i controlli anti-skimming per le pagine di pagamento web. I merchant che non hanno ancora completato la gap analysis rispetto alla versione precedente (v3.2.1) sono già fuori compliance.
La residenza dei dati in Europa è diventata un tema concreto dopo le sentenze Schrems II e le successive decisioni del Garante Privacy italiano. Archiviare dati carta fuori dall'UE espone a potenziali conflitti con il GDPR, in particolare quando il paese di destinazione non garantisce un livello di protezione equivalente a quello europeo. Un vault certificato PCI DSS con dati fisicamente localizzati in Europa, come quello di PCI Proxy EU, elimina questa zona grigia e semplifica sia la compliance PCI sia quella GDPR.
Domande frequenti
In Italia chi controlla il rispetto del PCI DSS?
Il controllo è esercitato principalmente dagli acquirer italiani (Nexi, Banca Sella, Worldline Italia e altri), che sono obbligati dai network internazionali a verificare la compliance dei loro merchant. In caso di data breach, i brand delle carte (Visa, Mastercard) avviano le proprie indagini forensi, che possono portare a sanzioni fino a centinaia di migliaia di euro.
Quanto costa un audit PCI DSS in Italia?
Per un merchant di Livello 1, un audit QSA completo in Italia costa tra 30.000 e 80.000 euro per la sola attività del QSA. Per i livelli inferiori, il costo diretto del SAQ è basso, ma il costo totale include la preparazione tecnica, i penetration test richiesti e l'eventuale remediation. Con la tokenizzazione, molti merchant possono ridurre il perimetro e abbattere significativamente questi costi.
Con i dati fuori UE posso avere problemi di compliance?
Sì. Dopo Schrems II, trasferire dati personali (inclusi i dati carta) verso paesi non adeguati senza le garanzie previste dal GDPR espone a sanzioni del Garante Privacy. Il Garante italiano ha già emesso provvedimenti su questo tema. Un vault con dati localizzati in Europa elimina questo rischio.
Vuoi una soluzione PCI DSS con dati in Europa, pronta per i requisiti v4 e ottimizzata per il mercato italiano? Scopri PCI Proxy EU.