di Lucia Izzo - La direttiva 2015/2366 c.d. PSD2 (Payment Services Directive 2) ha rivoluzionato il mondo bancario, in particolare quello dei "pagamenti digitali", ad esempio quelli effettuati tramite app o mobile. In Italia, il recepimento di questo importante provvedimento � iniziato a partire dal 13 gennaio 2018, a seguito della promulgazione del d.lgs n. 218/2017.
La direttiva PSD2
[Torna su]
Una delle maggiori novit� � stata sicuramente quella che ha coinvolto l'autenticazione del cliente, ovvero la c.d. "Strong Customer Authentication" (Sca), espressione che identifica i requisiti in caso di accesso al conto di pagamento on line, disposizione di un'operazione di pagamento elettronico o in caso di effettuazione di una qualsiasi azione, tramite un canale a distanza, che pu� comportare un rischio di frode nei pagamenti o altri abusi.
Lo scopo, che appare evidente, � quello di assicurare maggior protezione, trasparenza e sicurezza nelle transazioni e fornire strumenti legislativi pi� efficaci per prevenire le frodi. Si tratta di innovazioni ritenute necessaria per controbilanciare un'altra delle principali novit� introdotte dalla direttiva PSD2, nota come "Open Banking".
Open banking in vigore dal 14 settembre
[Torna su]
In poche parole, la direttiva prende atto dei notevoli cambiamenti intervenuti nell'ambito del mercato dei pagamenti in cui si sono affacciati nuovi operatori e terze parti (anche non riferibili al settore bancario) e, per tali motivi, punta ad abbattere le barriere e ad azzerare la forte burocrazia esistente nell'ambito degli istituti di credito tradizionale.
L'Open Banking, in pratica, consente agli utilizzatori del conto corrente di disporre pagamenti oppure ottenere informazioni sul proprio conto anche utilizzando applicazioni dei c.d. Third Party Provider (TPP). Questi, se autorizzati, potranno cos� accedere a tutti i dati dei correntisti in quanto le banche saranno obbligate ad "aprire" le proprie interfacce, note come API (Application Program Interface).
Con la trasmissione diretta dei dati e delle informazioni complete, venendo meno barriere, ostacoli e commissioni di ogni genere, sar� possibile autorizzare direttamente il pagamento dal proprio conto in maniera veloce, economica e senza intermediari.
Questo cambiamento rivoluzionario, che spalanca le porte alla competizione e stimola la concorrenza, trasformer� radicalmente le banche tradizionali e il modo in cui i clienti si approcciano ai pagamenti. Basti pensare che colossi come Apple, Google o Facebook guardano con interesse al mercato finanziario e gi� offrono servizi di pagamento digitali.
In pratica, rendere le banche "open", consentir� al conto corrente di operare a 360�, anche senza l'ausilio di bancomat o carte di credito, ad esempio appoggiandosi a servizi offerti da terzi, e al conto si potranno, ad esempio, collegare tutte le applicazioni di mobile payment o di instant payment. Le opportunit� sono davvero eccezionali e molteplici.
Tuttavia, si � preso atto anche dell'aumento esponenziale delle frodi negli ultimi anni che sfruttano proprio le debolezze dei sistemi di sicurezza bancaria, con tattiche sempre pi� subdole e sofisticate che finiscono per colpire in maniera incondizionata i risparmiatori che utilizzano sistemi di pagamento online.
Strong Customer Authentication
[Torna su]
Per questo il legislatore comunitario � intervenuto anche in materia di "autenticazione" del cliente, ovvero sulle modalit� per autorizzare le operazioni, accedere ai conti e cos� via, rafforzando le misure di sicurezza e imponendo agli istituti paletti particolarmente rigidi.
Tutto questo allo scopo di implementare la sicurezza dei pagamenti, diminuire il rischio di frodi, furti di dati bancari e operazioni fraudolente a danno dei correntisti.
SCA: di cosa si tratta?
Secondo la direttiva, una Strong Customer Authentication si intender� realizzata soltanto se sono combinati almeno due fattori tra i seguenti (uno solo non basta):
- "Knowledge factors" (conoscenza), qualcosa che solo l'utente conosce, ad esempio la password o il Pin;
- "Possession factors" (possesso), qualcosa che solo l'utente possiede, ad esempio uno smartphone o una chiavetta/token;
"Inherent factors" (inerenza), quelli che che contraddistingue l'utente come ad esempio la sua impronta digitale o, in generale, i dati biometrici.
Negli ultimi mesi, tutti coloro che dispongono di un conto con accesso online si saranno visti recapitare numerosi avvisi da parte del proprio istituto finanziario volti ad avvisare che, dal 14 settembre 2019, andranno in soffitta molti degli strumenti con i quali i correntisti avevano imparato a familiarizzare: le "chiavette" che generavano codici autorizzativi per le operazioni online, o anche le c.d. carte dei codici o password card.
Tali strumenti, usati da soli, non rispondono pi� alla normativa vigente in quanto non consentono di utilizzare almeno due degli elementi di autenticazione a scelta tra le opzioni introdotte dalla direttiva PSD2.
Quando entra in vigore la Strong Customer Authentication?
La data fissata per completare gli adeguamenti richiesti dalla direttiva PSD2 in materia di sicurezza delle transazioni online effettuate con carta di pagamento e dunque per l'obbligatoria adozione di sistemi di autenticazione forte dei clienti, basati sull'utilizzo di almeno due fattori, era inizialmente fissata al 14 settembre.
Nonostante molti operatori si siano gi� adeguati alle novit�, la Banca d'Italia "in considerazione della complessit� degli adeguamenti" ha ottenuto dall'EBA (European Banking Authority) una piccola proroga, rispetto alla data predetta, volta a consentire agli operatori dell'industria finanziaria italiana il completamento degli interventi e l'adozione dei nuovi strumenti di autenticazione da parte di tutti i clienti.
Gli intermediari che vorranno avvalersi di tale proroga devono presentare un dettagliato piano di migrazione. Durante il periodo di migrazione, inoltre, i pagamenti effettuati senza autenticazione forte potranno continuare a essere inviati e accettati secondo le attuali modalit�, avendo tuttavia presente l'immediata applicabilit� delle regole di imputazione delle responsabilit�, in caso di frodi, alle transazioni prive dei requisiti di sicurezza richiesti dalla normativa.