Addio al vecchio token, bonifici con lo smartphone, nuovi sistemi rafforzati di autenticazione e open banking, ovvero la condivisione dei dati degli utenti con società del fintech e altri soggetti terzi. Sabato 14 settembre scoccherà l’ora X della rivoluzione dei pagamenti online, con l’entrata in vigore dell’ultima parte della direttiva europea dedicata ai servizi di pagamento digitali, la c.d. PSD2.
Le nuove regole hanno creato un effetto spiazzamento nei correntisti ma anche negli addetti ai lavori, considerata l’inevitabile diversità con cui ogni istituto finanziario ha ottemperato alle disposizioni di Bruxelles, modificando i propri sistemi di accesso e uso dell’home banking. Vista la complessità della materia, inoltre, la Banca d’Italia ha concesso una proroga ai ‘ritardatari’, con la conseguenza di un panorama dei conti online che, sulle regole di sicurezza, rischia di funzionare temporaneamente a doppia velocità.
Ma quali sono le vere novità per gli utenti? “La necessità di un doppio fattore indipendente di autenticazione (pin più codice usa e getta) e la possibilità di compiere una sola operazione per password generata sono i principali cambiamenti destinati a incidere sulla vita quotidiana dei cittadini”, spiega all’Adnkronos Maurizio Pimpinella, presidente dell’APSP, Associazione Prestatori di Servizi di Pagamento.
‘AUTENTICAZIONE FORTE’ PER L’HOME BANKING - “E’ questo il cuore della cosiddetta ‘Strong Customer Authentication’ o ‘Autenticazione Forte del Cliente’, il nuovo meccanismo di sicurezza che prestatori di pagamento e intermediari dovranno utilizzare ogniqualvolta sia necessario accedere a un conto di pagamento online o effettuare un’operazione elettronica tramite il proprio home banking”, prosegue Pimpinella.
“Questa procedura impone alle banche di verificare l’identità dell’utente e l’autenticità delle operazioni di pagamento attraverso l’utilizzo di due o più fattori tra loro indipendenti che facciano riferimento alle categorie della ‘conoscenza’ (qualcosa che solo l’utente conosce, ad esempio il pin), del ‘possesso’ (qualcosa che solo l’utente possiede, ad esempio l’OTP, one time password, generata dal proprio cellulare) e dell’’inerenza’ (qualcosa che solo l’utente è, ad esempio l’impronta digitale). In sostanza all’utente viene richiesto un doppio fattore di autenticazione per accedere al proprio conto ed effettuare i pagamenti”.
UNA SOLA OPERAZIONE PER PASSWORD GENERATA - Non solo. “Altra novità riguarda l’utilizzo delle password”, puntualizza il numero uno dell’APSP. “In precedenza era possibile compiere un numero indefinito di operazioni di pagamento con la medesima password. Con la nuova normativa, invece, ogni bonifico richiede un nuovo codice usa e getta. Tale codice è quindi collegato a una singola e unica operazione di pagamento che avviene nei confronti di un solo e unico beneficiario”.
TOKEN ADDIO? ‘NI’ - E il token? Sarà davvero da buttare? “Diciamo ‘ni’. Ciascun intermediario ha potuto decidere con una certa discrezionalità il modo in cui conformarsi alle nuove regole, pur sempre nel rispetto dei tre pilastri della sicurezza (possesso, conoscenza, inerenza)”, spiega ancora Pimpinella. “Tendenzialmente si è scelto di sostituire il vecchio token fisico con i nuovi codici generati direttamente dal proprio smartphone tramite app o inviati via sms. Tuttavia, in alcuni casi, la chiavetta che tutti conosciamo è rimasta: essa va però utilizzata in combinazione con altri requisiti di sicurezza. In genere, comunque, si cerca di disincentivarne l’uso con la previsione di canoni aggiuntivi”.
C’E’ ANCORA TEMPO PER ADEGUARSI - “Per i ritardatari la Banca d’Italia ha già concesso un termine supplementare, ancora da definire, onde evitare che i singoli utenti/consumatori possano subire disagi e disservizi dal passaggio alle nuove procedure”, conferma Pimpinella. “Chi usufruirà della proroga permetterà ai propri clienti di continuare a effettuare bonifici e operazioni secondo le precedenti modalità”. Non è ancora possibile, tuttavia, fornire un elenco esaustivo degli intermediari che hanno deciso di approfittare del tempo extra. “A questi verrà richiesto di presentare un piano di migrazione dettagliato dove dovranno illustrare, passo dopo passo, le azioni necessarie per procedere all’adeguamento”.
ARRIVA L’OPEN BANKING, ATTENZIONE AI DATI - Infine l’open banking. “Con la PSD2, per la prima volta, soggetti terzi possono essere autorizzati dai singoli utenti ad accedere al proprio conto al fine di offrire nuovi strumenti e servizi volti ad agevolare l’esperienza di home banking. In pratica le banche europee devono aprire le proprie API, Application Program Interface, a società fintech e ad altri soggetti che forniscono servizi di pagamento. Attenzione, però, al trattamento dei propri dati bancari – avvisa il presidente dell’APSP - che, difatti, verranno condivisi, seppur previo consenso, con tutte le realtà che si interfacceranno con il conto di pagamento online. Compresi i cosiddetti Gafa - Google, Apple, Facebook, Amazon – che recentemente hanno implementato nella loro offerta anche servizi di pagamento e finanziamento”.
