di Lucia Izzo - La direttiva (UE) 2015/2366, nota anche come PSD2 (Payment Services Directive 2), relativa ai servizi di pagamento nel mercato interno è entrata in vigore da gennaio 2018. L'Italia ha avviato il percorso di recepimento della direttiva con la promulgazione del d.lgs n. 218/2017.
- Direttiva PSD2: cos'è e cosa cambia
- Open banking
- Nuovi attori nel panorama finanziario
- Clienti: maggiore sicurezza e trasparenza
- Strong Customer Authentication
Direttiva PSD2: cos'è e cosa cambia
[Torna su]
Il provvedimento si rivolge a tutti gli operatori bancari e, di fatto, rivoluziona il mondo bancario, in particolare quello dei digital payments (ad es. effettuati tramite app o siti mobile). Sarà a partire da quest'anno che la direttiva inizierà a mostrare concretamente i suoi effetti, divenendo completamente operativa da settembre 2019.
Tra gli obiettivi della direttiva figura la diffusione degli strumenti di pagamento e la realizzazione di un mercato unico e integrato, da realizzarsi mediante l'introduzione di regole uniformi per istituti bancari, aprendo la strada ai Prestatori dei Servizi di Pagamento facendo leva sulla concorrenza, nonché incrementando la trasparenza e la competizione del mercato e rafforzando la sicurezza del sistema per garantire un elevato livello di protezione dei consumatori nei pagamenti.
Open banking
[Torna su]
Con l'obiettivo di assicurare maggiore concorrenza sul mercato dei pagamenti, rendendolo più efficace, una delle principali novità riguarda l'open banking, letteralmente un sistema di banche aperte da realizzarsi con la condivisione dei dati tra i diversi attori del sistema previa autorizzazione dei clienti.
I titolari dei conti correnti potranno, a propria discrezione, autorizzare l'accesso al proprio conto a terze parti ovvero i c.d. TPP (Third Party Providers) che, tramite le API, potranno venire a conoscenza di informazioni quali saldo, movimenti e rendicontazione.
Di fronte all'espressa volontà del cliente, gli istituti presso il quale è acceso il conto dovranno "aprire le porte" e saranno obbligati a consentire alle terze parti autorizzate, ovvero a quei provider di soggetti non bancari a cui i correntisti consentiranno la gestione delle proprie finanze, di operare sul conto.
Il punto cruciale resta quello della sicurezza, che dovrà sempre essere garantita ai clienti. Per questo, ad esempio, dovrebbe essere consentito alle terze parti un accesso limitato, eventualmente rinnovabile tramite una nuova manifestazione di consenso.
Nuovi attori nel panorama finanziario
[Torna su]
La direttiva, dunque, apre le porte a nuovi operatori terze parti, esterni al settore bancario, ad esempio i prestatori di servizi dispositivi, ovvero che avviano pagamenti per conto dell'utente (Payment Initiation Service Providers - PISP), ma anche a fornitori di servizi con accesso alle informazioni (Account Information Service Providers - AIPS).
Ancora, tra le terze parti autorizzabili vi sono anche coloro che prestano servizi di pagamento basati su carta (Card Initiation Service Provider - CISP) che consentono, di volta in volta, di scegliere il conto corrente di addebito, anche aperto presso un istituto distinto da quello del soggetto emittente la carta.
In questo modo, la PSD2 apre le porte a nuovi protagonisti come le società FinTech e i grandi colossi come Apple, Amazon e Google che occuperanno una posizione a metà strada tra gli utenti e le banche fungendo da intermediari.
Clienti: maggiore sicurezza e trasparenza
[Torna su]
Le novità consentiranno un miglioramento a livello di customer experience e, per questo, la direttiva prevede anche elevate misure di sicurezza e trasparenza a protezione dei consumatori, soprattutto per il mercato dei pagamenti (sia tradizionali che elettronici) i cui servizi sono essenziali per il funzionamento di attività economiche e sociali cruciali.
L'EBA (European Banking Authority), l'authority bancaria europea, ha predisposto un registro elettronico in cui confluiranno le informazioni sui pagamenti e, in particolare, sui PISP e gli AISP che avranno l'autorizzazione ad operare in UE nell'ambito della direttiva PSD2. Il consumatore potrà, in tal modo, verificare se il fornitore è presente nel registro prima di concedergli l'autorizzazione per accedere ai dati del proprio conto e disporre pagamenti.
A integrazione della Direttiva PSD2, inoltre, la Commissione europea ha emanato il Regolamento delegato UE/2018/389 contenente le norme tecniche di regolamentazione per l'autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri (Common Secure Communication - CSC).
Strong Customer Authentication
[Torna su]
La direttiva PSD2 prevede, dunque, la "Strong Customer Authentication" (SCA), ovvero i requisiti di autenticazione forte richiesti al cliente quando accede al suo conto di pagamento, dispone un'operazione di pagamento elettronico o effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi.
La Strong Customer Authentication, che implica una maggiore sicurezza in termini di autenticazione di un'operazione, potrà avvenire solo con la combinazione di almeno due fattori tra i seguenti tre:
- "Knowledge factors" (conoscenza), qualcosa che solo l'utente conosce, ad esempio la password o il Pin;
- "Possession factors" (possesso), qualcosa che solo l'utente possiede, ad esempio uno smartphone o una chiavetta/token;
"Inherent factors" (inerenza), quelli che che contraddistingue l'utente come ad esempio la sua impronta digitale o, in generale, i dati biometrici.
Per questo motivo, molte banche nell'ultimo periodo stanno comunicando ai correntisti che il sistema di autenticazione è stato modificato e, pertanto, non sarà più sufficiente usare strumenti come le chiavette o la carta codici, non da soli almeno.
• Foto: 123rf.com