Pagamenti digitali e banche online. Cosa cambia con la PSD2?

Se utilizzi l’home banking o semplicemente acquisti on line, ti sei accorto che qualcosa è cambiato.

Dal 14 settembre 2019 è entrata in vigore una nuova normativa sui pagamenti: la PSD2 e di colpo la tua casella mail si è riempita di nuovo come ai bei tempi della direttiva sulla privacy.

I cambiamenti che ci interessano da vicino sono due:

  1. La strong authentication
  2. L’open banking

PSD2: Strong Customer Authentication, addio alla chiavetta 

La Strong Customer Authentication, o autenticazione forte, è in pratica una doppia autenticazione che viene richiesta quando si effettuano i pagamenti digitali.

Tutti i sistemi di home banking (cioè l’accesso on line al tuo conto corrente) prevedono da tempo questo livello di sicurezza, ma la normativa europea estendendo l’obbligatorietà della doppia autenticazione a tutto il mondo dei pagamenti on line ha di fatto determinato un aggiornamento del sistema.

La direttiva prevede che per l’autenticazione si possano usare tre sistemi:

  1. un dispositivo strettamente personale, come lo smartphone 
  2. un dato biometrico (impronta digitale o riconoscimento facciale) 
  3. una password generata per una singola operazione

Strong authentication

Le banche in questo caso, si sono mosse per tempo. La maggioranza ha eliminato il tolken fisico (la cosiddetta chiavetta) optando per la doppia autenticazione attraverso l’utilizzo della propria App (quindi il dispositivo strettamente personale come  lo smartphone) altre inviano il codice tramite SMS per ogni singola autorizzazione.

Oltre alle banche, tutto il sistema dei pagamenti online deve adeguarsi alla direttiva che definisce precisi limiti.

Secondo quanto tracciato da Altroconsumo:

  • lo strumento di pagamento utilizzato per il pagamento on line viene bloccato se l’autenticazione fallisce per cinque volte di seguito. In tutti i casi, prima del blocco permanente il cliente viene allertato;
  • se dopo l’autenticazione di un pagamento si rimane inattivi per più di cinque minuti, bisogna autenticarsi nuovamente;
  • l’autorizzazione al pagamento si ottiene per un determinato ammontare: nel momento in cui la somma aumenta (nel caso, per esempio, dell’aggiunta di commissioni) l’autorizzazione non è più valida;
  • l’autenticazione forte non è necessaria se si accede al sito solo per controllare il saldo del conto corrente o le operazioni eseguite negli ultimi 90 giorni;
  • a prescindere dall’ammontare, non viene richiesto alcun PIN quando le carte sono utilizzate per pagare biglietti di trasporto o parcheggi su terminali incustoditi;
  • è possibile indicare alla banca o all’istituto di pagamento una lista di beneficiari di fiducia o di transazioni ricorrenti verso cui i pagamenti possono essere fatti senza strong authentication;
  • i giroconti non necessitano di un autenticazione forte;
  • esiste la possibilità di una deroga all’autenticazione forte per le operazioni di basso ammontare online;
  • un’altra deroga si basa sull’analisi di rischio: se l’operazione viene considerata poco rischiosa, l’autenticazione forte non viene richiesta. Come viene classificata un’operazione a basso rischio? Devono verificarsi queste condizioni: l’operazione non può superare i 500 Euro, deve essere classificata entro il tasso di frode rilevato per la banca che fa il pagamento e si deve trattare di un’operazione dall’ammontare non anomalo, con accesso da computer o altro device identificato e con luogo di spedizione della merce non strano, già noto. 

Quest’ultimo punto significa che i sistemi di intelligenza artificiale rendono così leggibili le nostre abitudini di spesa e di utilizzo del conto che capiscono se stiamo facendo un’operazione di pagamento fuori dei nostri canoni.

Inquietante per qualcuno, comodo per altri.

PSD2: l’open banking e la banca tradizionale cambia pelle

L’open banking letteralmente “banca aperta” è il termine utilizzato dalla direttiva PSD2 per indicare la possibilità di aprire a parti terze, società di servizi esterne alle banche, i dati informatici dei nostri conti.

Sarebbe stato più giusto chiamarlo Open API perché si tratta di questo.

API acronimo di Application Programming Interface è una chiave, un’interfaccia di un software, che consente ai programmi informatici di comunicare tra loro.

Quando uno sviluppatore vuole che il suo software sia collegato ad altri servizi lascia le API aperte. Microsoft ad esempio, per favorire la diffusione del proprio software, fornisce le API affinché si possano sviluppare giochi o altri tipi di servizi da integrare con il loro sistema operativo.

Anche PayPal è ad API aperta. Se hai un sito, e vendi on line, il collegamento tra PayPal il tuo e-commerce funziona grazie una API.

Insomma il sistema è collaudato da tempo e il fatto che la direttiva europea imponga alle banche l’apertura delle loro API non mina la sicurezza del tuo denaro, ma impone attenzione.

Fornire a qualche società esterna la tua API è un po’ come dargli le chiavi di casa. Scegli con cura chi far entrare. 

Al di là degli allarmismi che si leggono sul web, la PSD2 realizza la visione che Commissione Europea aveva deliberato già a luglio 2013 con il Payment Legislative Package.

L’obiettivo del piano comunitario sui pagamenti è quello di accelerare la diffusione degli strumenti di pagamento digitale mediante lo sfruttamento di tre leve:

  1. la leva della competizione fra strumenti di pagamento
  2. la leva dell’armonizzazione normativa
  3. la leva della sicurezza

Certo in quest’ottica si sono mossi bene e per tempo colossi come Amazon, Google e Facebook che già nel 2017 studiavano da Banche. 

La PSD2 è uno dei passi verso un futuro che Bill Gates aveva anticipato nel 1994 e che ora suona come una profezia che si avvera: “i servizi bancari sono essenziali, le banche non lo sono.”

Giorgia Ferrari

Commento

La tua email non sarà pubblicata.

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.