Addio alle chiavette token che generano i codici di accesso al conto online. Bonifici con lo smartphone. Nuovi sistemi rafforzati di autenticazione in due passaggi. E open banking, ovvero la condivisione dei dati degli utenti con società che offrono servizi finanziari. Sabato 14 settembre è scoccata l’ora X per i pagamenti online, con l’entrata in vigore dell’ultima parte della direttiva europea dedicata ai servizi di pagamento digitali, la cosiddetta PSD2. “I consumatori europei saranno più protetti contro le frodi online e avranno miglior accesso a forme più innovative di pagamenti online e via smartphone”, promette la Commissione Ue. Le nuove norme verranno recepite in maniera graduale dagli operatori del settore per dare loro il tempo di adattarsi ai cambiamenti, come suggerito dall’Autorità bancaria europea. Tuttavia, l’esecutivo comunitario invita tutti gli Stati membri a fare in modo che il passaggio sia rapido.
Il nuovo sistema d’identificazione basato su due fattori, come l’impronta digitale e un codice pin, sarà obbligatorio per tutti i pagamenti online e mobile superiori ai 30 euro. Diversi elementi della Psd2 sono già entrati in vigore in tutta Europa dal 13 gennaio 2018. Ma quali sono le vere novità per gli utenti? “La necessità di un doppio fattore indipendente di autenticazione (pin più codice usa e getta) e la possibilità di compiere una sola operazione per password generata sono i principali cambiamenti destinati a incidere sulla vita quotidiana dei cittadini”, ha spiegato all’Adnkronos Maurizio Pimpinella, presidente dell’Associazione Prestatori di Servizi di Pagamento.
UNA SOLA OPERAZIONE PER PASSWORD GENERATA – Non solo. ”Altra novità riguarda l’utilizzo delle password’’, puntualizza il numero uno dell’APSP. “In precedenza era possibile compiere un numero indefinito di operazioni di pagamento con la medesima password. Con la nuova normativa, invece, ogni bonifico richiede un nuovo codice usa e getta. Tale codice è quindi collegato a una singola e unica operazione di pagamento che avviene nei confronti di un solo e unico beneficiario”.
TOKEN ADDIO? ‘NI’ – E il token? Sarà davvero da buttare? “Ciascun intermediario ha potuto decidere con una certa discrezionalità il modo in cui conformarsi alle nuove regole, pur sempre nel rispetto dei tre pilastri della sicurezza (possesso, conoscenza, inerenza)”, spiega Pimpinella. “Tendenzialmente si è scelto di sostituire il vecchio token fisico con i nuovi codici generati direttamente dal proprio smartphone tramite app o inviati via sms. Tuttavia, in alcuni casi, la chiavetta che tutti conosciamo è rimasta: essa va però utilizzata in combinazione con altri requisiti di sicurezza. In genere, comunque, si cerca di disincentivarne l’uso con la previsione di canoni aggiuntivi”.
C’E’ ANCORA TEMPO PER ADEGUARSI – “Per i ritardatari la Banca d’Italia ha già concesso un termine supplementare, ancora da definire, onde evitare che i singoli utenti/consumatori possano subire disagi e disservizi dal passaggio alle nuove procedure”, conferma Pimpinella. ”Chi usufruirà della proroga permetterà ai propri clienti di continuare a effettuare bonifici e operazioni secondo le precedenti modalità”. Non è ancora possibile, tuttavia, fornire un elenco esaustivo degli intermediari che hanno deciso di approfittare del tempo extra. “A questi verrà richiesto di presentare un piano di migrazione dettagliato dove dovranno illustrare, passo dopo passo, le azioni necessarie per procedere all’adeguamento”.
‘AUTENTICAZIONE FORTE’ PER L’HOME BANKING – La ‘Strong Customer Authentication’ o ‘Autenticazione Forte del Cliente’ è il nuovo meccanismo di sicurezza che “prestatori di pagamento e intermediari dovranno utilizzare ogniqualvolta sia necessario accedere a un conto di pagamento online o effettuare un’operazione elettronica tramite il proprio home banking”, prosegue Pimpinella. “Questa procedura impone alle banche di verificare l’identità dell’utente e l’autenticità delle operazioni di pagamento attraverso l’utilizzo di due o più fattori tra loro indipendenti che facciano riferimento alle categorie della ‘conoscenza‘ (qualcosa che solo l’utente conosce, ad esempio il pin), del ‘possesso‘ (qualcosa che solo l’utente possiede, ad esempio l’OTP, one time password, generata dal proprio cellulare) e dell’’inerenza‘ (qualcosa che solo l’utente è, ad esempio l’impronta digitale). In sostanza all’utente viene richiesto un doppio fattore di autenticazione per accedere al proprio conto ed effettuare i pagamenti”.
ARRIVA L’OPEN BANKING, ATTENZIONE AI DATI – Infine l’open banking. “Con la PSD2, per la prima volta, soggetti terzi possono essere autorizzati dai singoli utenti ad accedere al proprio conto al fine di offrire nuovi strumenti e servizi volti ad agevolare l’esperienza di home banking. In pratica le banche europee devono aprire le proprie API, Application Program Interface, a società fintech e ad altri soggetti che forniscono servizi di pagamento. Attenzione, però, al trattamento dei propri dati bancari – avvisa il presidente dell’APSP – che, difatti, verranno condivisi, seppur previo consenso, con tutte le realtà che si interfacceranno con il conto di pagamento online. Compresi i cosiddetti Gafa – Google, Apple, Facebook, Amazon – che recentemente hanno implementato nella loro offerta anche servizi di pagamento e finanziamento”.