La doppia autenticazione slitta a gennaio. Ecco cosa cambia per i pagamenti elettronici

Sarebbe dovuta partire il 14 settembre 2019 l’attuazione della nuova direttiva sui sistemi di pagamento (PSD2) per la doppia autenticazione e l’open banking, ma in realtà l’autorità bancaria europea (EBA) e Banca d’Italia hanno in extremis deciso di rinviare al 1 gennaio 2021 Via libera da subito invece per l'altra grossa novità, l’open banking. Ma cosa sono di preciso e perché impatteranno sul mercato dei pagamenti e sul mercato finanziario? 

La strong customer authentication

Si chiama strong customer authentication ed è sostanzialmente un'autenticazione doppia, che avviene attraverso l'inserimento di due password: una statica e una dinamica, con codici usa e getta, tramite messaggi sul cellulare o tramite i generatori di codici (le cosiddette chiavette token) o attraverso i token digitali o ancora attraverso i sistemi di riconoscimento biometrico.  Ciò significa che dal 1 gennaio 2021 tutti i pagamenti online (a parte le deroghe indicate nei punti successivi) dovranno essere autorizzati anche con un codice dinamico generato di solito dalla app della propria banca o emittente. L’obiettivo principale della strong authentication è aumentare la sicurezza delle transazioni online e ci auguriamo che dal 1 gennaio 2021 tutto entri pienamente a regime perché aumentare il livello di fiducia nel sistema dei pagamenti online è fondamentale per consumatori ed operatori. Ci dispiace che proprio in questi giorni ci siano richieste di ulteriori rinvii; sarebbe davvero incomprensibile questa richiesta visto che gli operatori hanno avuto più di un anno per adeguarsi. Vediamo quali sono le principali novità: 

• tutte le operazioni di pagamento online dovranno essere autenticate con un codice usa e getta come quello che usiamo quando facciamo un bonifico sul nostro home banking;
• lo strumento di pagamento viene bloccato se l'autenticazione per un pagamento fallisce per cinque volte di seguito. In tutti i casi, prima del blocco permanente il cliente sarà allertato;
• se dopo l'autenticazione di un pagamento si rimane inattivi per più di cinque minuti, bisognerà autenticarsi nuovamente;
• l'autorizzazione al pagamento si ottiene per un determinato ammontare: nel momento in cui la somma aumenta (nel caso, per esempio, dell'aggiunta di commissioni) l'autorizzazione non sarà più valida;
• l'autenticazione forte (strong authentication) non sarà necessaria se si accede al sito della propria banca solo per controllare il saldo del conto corrente o le operazioni eseguite negli ultimi 90 giorni;
• a prescindere dall'ammontare, non verrà richiesto alcun PIN quando le carte o i sistemi di pagamento verranno utilizzate per pagare biglietti di trasporto o parcheggi su terminali incustoditi;
• sarà possibile indicare alla banca o all'istituto di pagamento una lista di beneficiari di fiducia o di transazioni ricorrenti verso cui i pagamenti possono essere fatti senza strong authentication;
• anche i bonifici a sé stessi nella stessa banca, i cosiddetti giroconti, non necessiteranno di un autenticazione forte;
• esiste la possibilità di una deroga all'autenticazione forte per le operazioni di basso ammontare, possibile se il pagamento non supera i 30 euro e, comunque, solo se in totale con deroga sono state fatte operazioni di pagamento che non superano i 100 euro o ne sono state fatte massimo cinque consecutive;
• un'altra deroga si basa sull'analisi di rischio: se l'operazione di pagamento viene considerata poco rischiosa, l'autenticazione forte non verrà richiesta. Come viene classificata un'operazione a basso rischio? Devono verificarsi queste condizioni: l'operazione non può superare i 500 euro, deve essere classificata entro il tasso di frode rilevato per la banca che fa il pagamento e si deve trattare di un'operazione dall'ammontare non anomalo, con accesso da computer o altro device identificato e con luogo di spedizione della merce non strano, già noto. 

L’open banking

Ma altra grossa novità portata da PSD2 è l’open banking. Che cos’è? Letteralmente attività bancaria aperta. L’Open Banking consente di trasmettere le informazioni dei conti e delle carte bancarie a terze parti che possono così entrare nel mercato finanziario superando la burocrazia e la chiusura delle infrastrutture tipiche del mondo bancario tradizionale, per creare nuovi prodotti e servizi moderni per i clienti.

Tutto questo si realizza attraverso API aperte. Tecnicamente un’API, cioè un’interfaccia di programmazione di un’applicazione, è un insieme di comandi che consentono alle applicazioni software di comunicare tra loro in modo uniforme. Grazie a PSD2 si aprono le API bancarie a soggetti terzi autorizzati, che possono così accedere rapidamente e secondo gli standard di sicurezza bancari ai dati della banca (conto corrente, transazioni con carta, bonifici, etc). Le banche entrano così in competizione non solo con le banche ma con chiunque offra servizi finanziari.

La PSD2 ovviamente si è preoccupata anche di creare una serie di norme per tutelare la sicurezza degli utenti. Innanzitutto, per poter fare open banking bisogna essere dei soggetti autorizzati. La direttiva si è preoccupata anche di indicare le caratteristiche e gli standard di sicurezza per queste nuove figure che si affiancano così a banche e istituti di pagamento. Si tratta di:

1. gli AISP (Account Information Service Provider), fornitori di servizi con accesso alle informazioni sul conto dei clienti delle banche in grado di analizzare il comportamento di spesa di un utente o di aggregare i dati da diverse banche in un’unica piattaforma. Esempi sono Yolt oppure Oval che abbiamo avuto il piacere di conoscere durante Festivalfuturo 2017. Questi operatori, in pratica, dietro autorizzazione del cliente gli danno la possibilità via app di avere una visione completa di tutte le sue transazioni di pagamento su diversi conti bancari oppure con diverse carte. Così lo possono aiutare a risparmiare, ad investire o gli possono offrire sconti o offerte basate sulle sue abitudini di acquisto. Le banche tengono traccia di tutto ciò che facciamo con i nostri soldi, sanno come li spendiamo, se chiediamo o diamo un prestito, quanto spendiamo in bollette, rate del mutuo, viaggi, caffè... Sono una grande fonte di informazioni.
2. i PISP (Payment Initiatin Service Provider), fornitori di servizi che avviano un pagamento per conto dell’utente. Questi operatori su autorizzazione del cliente sono in grado di prelevare i soldi dal suo conto bancario (in questo modo i pagamenti avvengono direttamente con addebito su conto senza dover fare un bonifico o un pagamento con carta).
3. i CISP (Card Issuing Service Provider), prestatori di servizi di pagamento basati su carta che permettono di sapere se sul conto di chi paga vi è disponibilità dell’importo richiesto perché la transazione vada a buon fine. Il CISP non vede quanti soldi ci sono sul conto dell’utente, ma fornisce solo risposta positiva o negativa al momento dell’operazione di pagamento.

Un’innovazione per noi positiva

Guardiamo con favore all’apertura del mercato dei pagamenti e del mercato finanziario a nuovi operatori. In questo modo si aumenta il livello di concorrenza del mercato e, come abbiamo sempre detto, un mercato più concorrenziale porta benefici al mercato stesso dove rimarranno gli operatori migliori e agli utenti che potranno scegliere le soluzioni e i prodotti più adatti ed economici per le loro esigenze.

Nel caso specifico poi le norme hanno assecondato l’innovazione di mercato già in essere da qualche tempo imponendo però anche ai nuovi operatori regole e norme comuni agli operatori tradizionali. Per poter offrire servizi e prodotti i nuovi operatori devono essere operatori autorizzati e questo ovviamente assicura standard di sicurezza elevati.

Lato sicurezza, dobbiamo anche ricordare che per usare i servizi dei nuovi operatori bisogna autorizzarli, ed è facoltà dell’utente scegliere se avvalersene oppure no, e revocarne l’autorizzazione in qualsiasi momento. In pratica non è vero che i nostri dati e le nostre informazioni saranno alla mercé di tutti; gli operatori potranno accedere ai nostri dati solo con nostra apposita autorizzazione e lo potranno fare solo se sono operatori riconosciuti dalle Autorità competenti.

Come tutte le novità ovviamente non è esente da comportamenti scorretti; vedremo come sarà messa in campo anche dai big online come Amazon, Facebook, Apple. Ovviamente nel caso saremo pronti a chiedere sanzioni ed interventi nei confronti di chi non rispetta le norme a tutela del consumatore.