I pci dss merchant levels definiscono il profilo di rischio di un merchant in base al volume annuale di transazioni con carta processate. Il livello determina quali adempimenti si applicano: dal self assessment autonomo all'audit obbligatorio da parte di un QSA (Qualified Security Assessor) certificato. Capire il proprio livello è il primo passo per pianificare la compliance in modo efficace e proporzionato.
I 4 livelli merchant PCI DSS: le soglie di transazioni
La classificazione per livelli si basa sul numero di transazioni con carta processate nell'arco di 12 mesi, sommando tutti i canali (ecommerce, POS, MOTO). Le soglie principali definite da Visa e Mastercard sono:
- Level 1: oltre 6 milioni di transazioni annue con qualsiasi circuito, o merchant che ha subito una violazione dei dati. Obbligo di audit annuale da parte di un QSA e quarterly vulnerability scan certificato (ASV).
- Level 2: tra 1 e 6 milioni di transazioni annue. SAQ annuale (compilato internamente) e quarterly ASV scan.
- Level 3: tra 20.000 e 1 milione di transazioni ecommerce annue. SAQ annuale e quarterly ASV scan.
- Level 4: meno di 20.000 transazioni ecommerce annue o fino a 1 milione di transazioni su altri canali. SAQ raccomandato (in molti casi obbligatorio su richiesta dell'acquirer).
Obblighi per livello: da SAQ a QSA
La differenza pratica tra i livelli non è solo nel numero di transazioni: è nella complessità e nel costo degli adempimenti. Un merchant Level 1 deve commissionare un Report on Compliance (ROC) annuale da un QSA certificato, che include interviste, verifica documentale e test tecnici sull'intera infrastruttura. Il costo di un ROC completo varia tra 30.000 e 150.000 euro a seconda della dimensione dell'ambiente.
I merchant Level 2, 3 e 4 possono gestire la compliance tramite self assessment, ma la complessità del SAQ dipende dall'architettura di pagamento adottata. Un Level 4 con checkout diretto e CDE esteso può dover compilare un SAQ D con centinaia di domande. Lo stesso merchant con tokenizzazione e pagina hosted può qualificarsi per il SAQ A e completare il self assessment in autonomia in poche ore.
Come la tokenizzazione riduce il rischio indipendentemente dal livello
Il livello merchant determina gli obblighi di validazione, ma non cambia la logica di sicurezza: meno dati carta si trattano direttamente, meno superficie è esposta ad attacchi e a requisiti di compliance. La tokenizzazione con PCI Proxy EU riduce il CDE in modo trasversale a tutti i livelli: un merchant Level 1 che tokenizza i PAN riduce il perimetro del ROC e quindi i costi dell'audit; un merchant Level 4 che tokenizza può passare al SAQ A.
Un aspetto spesso trascurato: il livello può cambiare a seguito di una violazione dei dati. Un merchant che subisce un breach viene automaticamente classificato come Level 1 per i successivi anni, con tutti gli obblighi di audit che ne derivano. Ridurre il CDE con la tokenizzazione riduce anche la probabilità che un breach esponga dati carta reali, proteggendo il merchant da questa escalation.
Domande frequenti
Come faccio a sapere qual è il mio livello merchant?
Il livello viene definito dal tuo acquirer o dalla tua banca convenzionante in base al volume annuale di transazioni comunicato. Se non hai ricevuto una comunicazione esplicita, contatta direttamente il tuo acquirer o il tuo PSP: sono tenuti a informarti del livello assegnato e degli adempimenti corrispondenti.
Il livello merchant cambia se uso più acquirer?
Sì. Il volume totale di transazioni va sommato su tutti gli acquirer e tutti i circuiti carta. Non è possibile "dividere" il volume tra acquirer diversi per restare sotto le soglie di livello: le linee guida PCI DSS e degli schemi richiedono di considerare il volume complessivo.
Un merchant Level 4 può fare SAQ autonomamente?
Sì, nella maggior parte dei casi. Il SAQ per i merchant Level 4 può essere compilato internamente senza il supporto di un QSA, a condizione che il merchant comprenda i requisiti applicabili e possa documentarli correttamente. Alcuni acquirer richiedono comunque la firma di un consulente qualificato per i SAQ più complessi come il SAQ D.
Vuoi semplificare la compliance PCI DSS qualunque sia il tuo livello merchant? Scopri PCI Proxy EU.