Iniziano ad avvertirsi gli effetti della direttiva PSD2 che ha rivoluzionato i digital payments. Unicredit e Intesa Sanpaolo prime banche a mandare in soffitta O-Key e password card per adeguarsi all'open banking

di Lucia Izzo - Dal 13 gennaio 2018, a seguito della promulgazione del d.lgs n. 218/2017, l'Italia ha iniziato il percorso di recepimento della c.d. direttiva 2015/2366 c.d. PSD2 (Payment Services Directive 2), il provvedimento che rivoluziona il mondo bancario e, in particolare, quello dei digital payments (ad es. effettuati tramite app o siti mobile).

In particolare, la direttiva punta alla creazione di un mercato unico e integrato dei servizi di pagamento, allo sviluppo della concorrenza e a fissare regole uniformi per gli istituti bancari e per i nuovi PSP sorti con l'avvento del digitale. In tal modo, ai clienti si vuole assicurare maggior protezione, trasparenza e sicurezza.

Open banking

[Torna su]

Una delle maggiori novità è quella che punta a rendere le banche "open": la direttiva prende atto che sul mercato dei pagamenti si stanno affacciando nuovi operatori, terze parti che possono essere sia prestatori di servizi dispositivi (Payment Initiation Service Providers - PISP) che di servizi informativi (Account Information Service Providers - AIPS).


Grazie alla direttiva, il cliente che dispone di un conto online o che ha sottoscritto un contratto di home banking potrà decidere di autorizzare tali operatori ad accedere a informazioni quali, ad esempio, saldo, movimenti e rendicontazione del conto; le banche, invece, non potranno opporsi alla trasmissione di tali dati richiesti dalle terze parti qualora vi sia stato un esplicito consenso da parte del correntista.


Quest'ultimo è il punto più delicato, ovvero il rilascio dei consensi. Per questo dovrebbe essere consentito alle terze parti un accesso limitato a 90 giorni, eventualmente rinnovabile tramite una nuova manifestazione di consenso. Il mondo dell'home banking si apre, in tal modo, a nuovi soggetti quali le società FinTech e i colossi come Apple, Amazon e Google.


A partire da settembre 2019, quindi, banche e Poste Italiane dovranno consentire ai soggetti terzi di operare sui conti, previa autorizzazione dei consumatori.

Autenticazione forte del cliente

[Torna su]

A integrazione della Direttiva PSD2, inoltre, la Commissione europea ha emanato il Regolamento delegato UE/2018/389 contenente le norme tecniche di regolamentazione per l'autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri (Common Secure Communication - CSC). Il Regolamento delegato è entrato in vigore il 14 marzo 2018, ma troverà applicazione il 14 settembre 2019.

Quest'anno, dunque, sarà essenziale per l'attuazione delle disposizione contenute nella direttiva. Tra gli aspetti da questa coinvolti emerge quello relativo alla "Strong Customer Suthentication" (Sca), ovvero i requisiti di autenticazione forte del cliente quando questi accede al suo conto di pagamento on line, dispone un'operazione di pagamento elettronico o effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi.

Ad individuare le norme tecniche è stata l'EBA (European Banking Authority) che, in linea con quanto previsto dalla direttiva, ha emendato gli Standard Tecnici di Regolamentazione (RTS) che i PSP devono rispettare nell'esecuzione di tutte leo operazioni di pagamento indicate dall'Allegato 1 della PSD2. Oltre agli standard di utilizzo, l'EBA ha chiarito anche le esenzioni all'autenticazione forte, ad esempio quando vengono in rilievo transazioni di modesto importo. La sicurezza nelle transazione funge, in sostanza, da controbilanciamento alla maggior apertura all'accesso dei dati dei clienti.

In soffitta token e password card

[Torna su]

La Strong Customer Authentication, che implica una maggiore sicurezza in termini di autenticazione di un'operazione, si intenderà realizzata soltanto se sono combinati almeno due fattori tra i seguenti (uno solo di essi non sarà dunque sufficiente):

- "Knowledge factors" (conoscenza), qualcosa che solo l'utente conosce, ad esempio la password o il Pin;

- "Possession factors" (possesso), qualcosa che solo l'utente possiede, ad esempio uno smartphone o una chiavetta/token;

"Inherent factors" (inerenza), quelli che che contraddistingue l'utente come ad esempio la sua impronta digitale o, in generale, i dati biometrici.

Stante i paletti fissati dalla direttiva e la valorizzazione della doppia autenticazione dell'utente per le operazioni online alcuni strumenti a disposizione dei correntisti saranno travolti dalle innovazioni in materia. In sostanza, poiché fino a ora sono stati usati da soli, non saranno più adeguati alle modifiche normative dovendosi associare a uno degli altri suddetti fattori.

Si tratta di alcuni strumenti molto diffusi in ambito bancario quali i c.d. "token", le chiavette di plastica che, premuto un bottone, generano codici autorizzativi per le operazioni online, oppure le c.d. "password card", tessere prestampate plastificate con i codici che alcune banche distribuiscono sempre per l'inserimento di parole chiave per autorizzare i pagamenti.

Le innovazioni di Intesa Sanpaolo e Unicredit

Nel primo caso, si pensi alle c.d. "O-Key" utilizzate da Intesa Sanpaolo. Come ha spiegato Giancarlo Esposito della direzione Global Transaction banking di Intesa Sanpaolo, "Il problema è che quel codice non è dinamicamente legato alla transazione. La norma mira infatti a proteggere il consumatore creando un legame inscindibile tra l'operazione e il codice autorizzativo: se si modifica la prima, nel destinatario o nell'importo, il secondo non è più valido".

I clienti Intesa SanPaolo avranno tempo fino al 4 giugno per passare al nuovo servizio O-Key Smart (oppure O-Key Sms) e abbandonare le sole chiavette di plastica. Si stima che andranno al macero oltre 4 milioni di chiavette dispositive O-Key, ormai incompatibili con i nuovi standard di cui alla direttiva PSD2. Al suo posto un servizio che consente di accedere alla banca online e di autorizzare le operazioni direttamente dal proprio smartphone.


Anche UniCredit ha già eliminato dal proprio catalogo le Password Card e ha annunciato che quelle ancora in possesso dei clienti saranno dismesse definitivamente a partire da marzo 2019 in considerazione dei progressivi interventi legati all'entrata in vigore delle nuove regole di sicurezza previste dalla direttiva UE 2015/2366. Le card dovranno essere sostituite con altro dispositivo di sicurezza a scelta tra Mobile Token e/o UniCredit Pass.

Smartphone, biometria e app per autorizzare le operazioni bancarie

Anche altri banche, ad esempio Banca Mediolanum e Banca Sistema, hanno negli ultimi tempi scelto di affidarsi all'autenticazione tramite sms e app affinché sia quanto più possibile garantito che l'operazione bancaria sia frutto della decisione del proprietario del conto e sia evitato il rischio di phishing.


Non è detto, però, che anche altri istituti seguano lo stesso esempio e decidano di prediligere soluzioni alternative che passano attraverso lo smartphone. Teoricamente, infatti, sarebbe possibile anche usare dispositivi fisici (non software) in linea con la nuova direttiva, ad esempio tramite l'inquadratura di QR code, oppure dispositivi biometrici (lettura delle impronte digitali), oppure l'apposizione di firme digitali.

I prossimi mesi, dunque, si preannunciano cruciali per gli istituti di credito e per l'adeguamento alle nuove disposizioni della direttiva PSD2.


Foto: 123rf.com
Altri articoli che potrebbero interessarti:
In evidenza oggi: