Se sei tra quelli che passavano ore a cercare la loro chiavetta per fare un’operazione online per la tua banca, il 14 settembre di quest’anno è un giorno che non dimenticherai. Cosa succede? Proprio da sabato la Direttiva europea per i pagamenti elettronici, meglio nota con l’acronimo di Psd2, entra in scena.
Cosa prevede? La Direttiva opera su due campi, il primo è il cambiamento delle procedure di autenticazione per effettuare un pagamento online (spiegheremo in quest’articolo come si evolvono). Mentre l’altro campo è quello che fa sorridere le startup fintech, con l’inizio dell’era dell’Open Banking, che obbligherà le banche a fornire a terze parti le informazioni sui correntisti, sotto loro autorizzazione. Una vera e propria rivoluzione alla quale devi essere preparato. Se hai bisogno di orientarti meglio, leggi questa mini guida che abbiamo realizzato.
Cos’è la Psd2
Partiamo dalla base: la Psd2, acronimo di payment service directive 2, è una direttiva europea che regola i pagamenti digitali. L’obiettivo che vuole raggiungere è quello di garantire maggiore trasparenza e sicurezza nei pagamenti. Ad essere un filo più precisi, la normativa è entrata in vigore già il 13 gennaio del 2018, solo che sono stati concessi 20 mesi agli istituti di credito per adeguarsi alle nuove disposizioni.
Come ti anticipavamo, gli ambiti su cui interviene sono due. Innanzitutto, la direttiva prevede nuove procedure per l’autenticazione e l’autorizzazione delle tue operazioni online. Il principio sul quale si fondano è quello della Strong Customer Authentication, che vedremo tra poco cosa significa e comporta.
Mentre con l’Open Banking le banche si trasformano in piattaforme aperte, che supportano diversi servizi. Per fare un esempio, con la Psd2, potrai collegare il tuo conto alle applicazioni di mobile o instant payment (come quelle offerte, per esempio da Google, Apple e Facebook) che preferisci, o ad altri servizi fintech, per facilitare, per esempio, la gestione del tuo conto.
Strong Customer Authentication
Con la direttiva Psd2, puoi dire addio alla tua chiavetta (o token). Il token ha fatto ormai il suo tempo, e viene rimpiazzato da un sistema di codici, che ti vengono inviati via smartphone per autorizzare ogni singola operazione. Quindi, un solo codice per una sola operazione, a differenza della chiavetta, con la quale potevi accedere a più operazioni.
Perché la chiavetta passa di moda? Perché non è sicura. Quando la usavi (l’imperfetto ormai è d’obbligo) la chiavetta generava un codice che cambiava ogni 15-20 secondi. Questo sistema, tuttavia, non associando il codice a una singola operazione, ti esponeva maggiormente ai rischi di phising, senza tener conto che la chiavetta potevi facilmente perderla, come è successo varie volte al sottoscritto.
Con le nuove procedure, per operare nella banca online, avrai bisogno di due autorizzazioni: la prima è il pin che usi anche oggi, mentre la seconda è a scelta tra tre opzioni:
- Autenticazione attraverso un oggetto che possiede solo il cliente (leggasi smartphone, con codici usa e getta via sms validi per una singola operazione)
- Autenticazione con una caratteristica fisica del cliente (come l’impronta digitale o altri fattori biometrici)
- Autenticazione tramite altra informazione nota solo al cliente (un’altra password).
La Strong Customer Authentication non partirà, tuttavia da subito. Le banche, sotto dettato della Banca d’Italia, hanno ricevuto una proroga per abituare i loro correntisti ai mobile code, anche se c’è da dire che i più importanti istituti di credito italiani hanno già da mesi abolito la chiavetta e informato i clienti sulle novità introdotte.
Open Banking, Eldorado delle fintech
Nessuna proroga invece sull’Open Banking che si avvierà tassativamente dal 14 settembre. Le banche condivideranno le loro informazioni con terze parti, previa autorizzazione dei correntisti. Uno scenario che da una parte offrirà più servizi ai consumatori, e dall’altra favorirà l’alleanza tra banche e fintech, che si è già rafforzata negli anni, proprio in attesa che l’Open Banking diventasse realtà.
Leggi: Intesa Sanpaolo entra nel capitale di Yolo. Round da 5 milioni
Chi sono le terze parti, i cosiddetti “Third Party Provider”? Sono definiti come soggetti non bancari, come le fintech appunto, che sono autorizzati dai correntisti a gestire finanze e operazioni di pagamento. Sono classificati in tre categorie:
PISP: acronimo di payment initiation service providers, sono il tramite tra la banca, il titolare del conto e consentono il pagamento verso un terzo soggetto. Pensa a quelle app che ti consentono di ricevere o inviare denaro tra amici.
AISP: acronimo di account information service providers, consentono ai correntisti di avere tutte le informazioni sui propri conti in un unico strumento.
CISP: acronimo di Card issuer service provider, sono soggetti che emettono carte di pagamento. I CISP non detengono i fondi dei clienti, ma possono interrogare la banche, quella presso cui il conto è attivo, per verificare la disponibilità dei fondi per una transazione.
L’Open Banking diventa l’Eldorado per le fintech, che fino a cinque anni fa, avrebbero sognato di poter accedere ai dati delle banche. Tuttavia, come ogni rosa, ci sono le spine. L’Open Banking aumenterà la concorrenza nei servizi finanziari e aumenterà di gran lunga i costi per le fintech sul fronte sicurezza.