di Lucia Izzo - La direttiva 2015/2366 c.d. PSD2 (Payment Services Directive 2) ha rivoluzionato il mondo bancario, in particolare quello dei "pagamenti digitali", ad esempio quelli effettuati tramite app o mobile. In Italia, il recepimento di questo importante provvedimento è iniziato a partire dal 13 gennaio 2018, a seguito della promulgazione del d.lgs n. 218/2017.
Leggi anche Banche: addio chiavette e password si farà tutto col cellulare
La direttiva PSD2
[Torna su]
Una delle maggiori novità è stata sicuramente quella che ha coinvolto l'autenticazione del cliente, ovvero la c.d. "Strong Customer Authentication" (Sca), espressione che identifica i requisiti in caso di accesso al conto di pagamento on line, disposizione di un'operazione di pagamento elettronico o in caso di effettuazione di una qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi.
Lo scopo, che appare evidente, è quello di assicurare maggior protezione, trasparenza e sicurezza nelle transazioni e fornire strumenti legislativi più efficaci per prevenire le frodi. Si tratta di innovazioni ritenute necessaria per controbilanciare un'altra delle principali novità introdotte dalla direttiva PSD2, nota come "Open Banking".
Open banking in vigore dal 14 settembre
[Torna su]
In poche parole, la direttiva prende atto dei notevoli cambiamenti intervenuti nell'ambito del mercato dei pagamenti in cui si sono affacciati nuovi operatori e terze parti (anche non riferibili al settore bancario) e, per tali motivi, punta ad abbattere le barriere e ad azzerare la forte burocrazia esistente nell'ambito degli istituti di credito tradizionale.
L'Open Banking, in pratica, consente agli utilizzatori del conto corrente di disporre pagamenti oppure ottenere informazioni sul proprio conto anche utilizzando applicazioni dei c.d. Third Party Provider (TPP). Questi, se autorizzati, potranno così accedere a tutti i dati dei correntisti in quanto le banche saranno obbligate ad "aprire" le proprie interfacce, note come API (Application Program Interface).
Con la trasmissione diretta dei dati e delle informazioni complete, venendo meno barriere, ostacoli e commissioni di ogni genere, sarà possibile autorizzare direttamente il pagamento dal proprio conto in maniera veloce, economica e senza intermediari.
Questo cambiamento rivoluzionario, che spalanca le porte alla competizione e stimola la concorrenza, trasformerà radicalmente le banche tradizionali e il modo in cui i clienti si approcciano ai pagamenti. Basti pensare che colossi come Apple, Google o Facebook guardano con interesse al mercato finanziario e già offrono servizi di pagamento digitali.
In pratica, rendere le banche "open", consentirà al conto corrente di operare a 360°, anche senza l'ausilio di bancomat o carte di credito, ad esempio appoggiandosi a servizi offerti da terzi, e al conto si potranno, ad esempio, collegare tutte le applicazioni di mobile payment o di instant payment. Le opportunità sono davvero eccezionali e molteplici.
Tuttavia, si è preso atto anche dell'aumento esponenziale delle frodi negli ultimi anni che sfruttano proprio le debolezze dei sistemi di sicurezza bancaria, con tattiche sempre più subdole e sofisticate che finiscono per colpire in maniera incondizionata i risparmiatori che utilizzano sistemi di pagamento online.
Strong Customer Authentication
[Torna su]
Per questo il legislatore comunitario è intervenuto anche in materia di "autenticazione" del cliente, ovvero sulle modalità per autorizzare le operazioni, accedere ai conti e così via, rafforzando le misure di sicurezza e imponendo agli istituti paletti particolarmente rigidi.
Tutto questo allo scopo di implementare la sicurezza dei pagamenti, diminuire il rischio di frodi, furti di dati bancari e operazioni fraudolente a danno dei correntisti.
SCA: di cosa si tratta?
Secondo la direttiva, una Strong Customer Authentication si intenderà realizzata soltanto se sono combinati almeno due fattori tra i seguenti (uno solo non basta):
- "Knowledge factors" (conoscenza), qualcosa che solo l'utente conosce, ad esempio la password o il Pin;
- "Possession factors" (possesso), qualcosa che solo l'utente possiede, ad esempio uno smartphone o una chiavetta/token;
"Inherent factors" (inerenza), quelli che che contraddistingue l'utente come ad esempio la sua impronta digitale o, in generale, i dati biometrici.
Negli ultimi mesi, tutti coloro che dispongono di un conto con accesso online si saranno visti recapitare numerosi avvisi da parte del proprio istituto finanziario volti ad avvisare che, dal 14 settembre 2019, andranno in soffitta molti degli strumenti con i quali i correntisti avevano imparato a familiarizzare: le "chiavette" che generavano codici autorizzativi per le operazioni online, o anche le c.d. carte dei codici o password card.
Tali strumenti, usati da soli, non rispondono più alla normativa vigente in quanto non consentono di utilizzare almeno due degli elementi di autenticazione a scelta tra le opzioni introdotte dalla direttiva PSD2.
Quando entra in vigore la Strong Customer Authentication?
La data fissata per completare gli adeguamenti richiesti dalla direttiva PSD2 in materia di sicurezza delle transazioni online effettuate con carta di pagamento e dunque per l'obbligatoria adozione di sistemi di autenticazione forte dei clienti, basati sull'utilizzo di almeno due fattori, era inizialmente fissata al 14 settembre.
Nonostante molti operatori si siano già adeguati alle novità, la Banca d'Italia "in considerazione della complessità degli adeguamenti" ha ottenuto dall'EBA (European Banking Authority) una piccola proroga, rispetto alla data predetta, volta a consentire agli operatori dell'industria finanziaria italiana il completamento degli interventi e l'adozione dei nuovi strumenti di autenticazione da parte di tutti i clienti.
Gli intermediari che vorranno avvalersi di tale proroga devono presentare un dettagliato piano di migrazione. Durante il periodo di migrazione, inoltre, i pagamenti effettuati senza autenticazione forte potranno continuare a essere inviati e accettati secondo le attuali modalità, avendo tuttavia presente l'immediata applicabilità delle regole di imputazione delle responsabilità, in caso di frodi, alle transazioni prive dei requisiti di sicurezza richiesti dalla normativa.
• Foto: 123rf.com