Dopo tanto parlare e anche qualche polemica, dal 14 settembre è entrata in vigore la nuova direttiva europea per i pagamenti elettronici, che prende il nome di Payment services directive 2 (Psd 2). Le nuove norme prevedono sistemi di identificazione più sicuri rispetto al passato per quanto riguarda i pagamenti on line e mobile superiori a 30 euro.
Le norme della Psd 2 completano un percorso iniziato diversi anni fa con l’introduzione della direttiva 2007/64/CE, meglio nota come Psd 1, voluta per disciplinare in maniera uniforme l’accesso al mercato ai nuovi servizi di pagamento nell’ottica di una maggior tutela e trasparenza per gli utenti. Questa seconda fase permette di fare un ulteriore passo in avanti verso la completa armonizzazione del mercato interno europeo, introducendo alcune importanti novità per banche e operatori del mercato dei pagamenti.
L’obiettivo finale è quello di regolamentare i pagamenti digitali per rafforzare la sicurezza delle operazioni, favorire la concorrenza all’interno del mercato e creare un sistema unico e integrato, che tuteli sia i consumatori che tutti gli altri attori presenti sul mercato stesso. L’entrata in vigore della Psd 2 dovrebbe dunque proteggere in maniera più efficace i consumatori europei dalle frodi on line, oltre a favorire un accesso a forme di pagamento più snelle e rapide, che sfruttano le tecnologie più avanzate per garantire un servizio sempre più semplice ed efficiente.
Sebbene l’Autorità Bancaria Europea si mostri molto rassicurante da questo punto di vista, sottolineando tra l’altro come le nuove norme potranno essere recepite in maniera graduale proprio per minimizzare i disagi, le associazioni dei consumatori appaiono più scettiche e temono che le nuove misure possano creare rallentamenti e criticità nell’esecuzione delle operazioni bancarie.
Al di là degli immancabili scontri tra favorevoli e contrari, è interessante osservare cosa cambierà dal punto di vista prettamente pratico per gli utenti. Tra le principali novità introdotte dalla Psd 2, spicca per esempio la necessità di un doppio fattore indipendente di autenticazione, che prevede non più solo il classico pin personale ma anche un codice usa e getta, ossia una password utilizzabile per una sola operazione. Si parla, a tal proposito, di Strong Customer Authentication (Autenticazione Forte del Cliente), un sistema che mediante l’utilizzo di due o più fattori indipendenti tra loro permetta al gestore (per esempio la banca) di avere sempre la certezza dell’identità dell’utente e dell’autenticità delle operazioni.
Tale procedura si fonda su tre categorie cardine:
- conoscenza, ossia qualcosa che solo l’utente può conoscere (per esempio il pin);
- possesso, qualcosa che solo l’utente può possedere (per esempio un token hardware);
- inerenza, qualcosa che si riferisce a una caratteristica soggettiva dell’utente (per esempio un parametro biometrico, come retina o impronta digitale).
Uno degli effetti delle nuove disposizioni comunitarie è proprio quello di superare il semplice utilizzo di chiavette, carte-codici e token (ma non per tutte le banche), sistemi che tuttora continuano a garantire elevati livelli di protezione non solo sui siti bancari ma anche nel settore dei giochi on line, grazie all’utilizzo di una One Time Password per ogni operazione eseguita. Appare chiaro che i token, che pure hanno dimostrato una buona efficacia, in realtà non saranno del tutto dismessi, ma verranno integrati da ulteriori sistemi di controllo, che sfrutteranno app per smartphone e sms per assicurare un accesso ancora più certo e controllato che in passato.
Interessante è anche ciò che riguarda l’utilizzo stesso delle password: se in passato era possibile compiere diverse operazioni anche con una singola password, le nuove disposizioni prevedono l’utilizzo esclusivo di codici usa e getta, che permettono di effettuare una singola operazione (per esempio un bonifico) nei confronti di un unico beneficiario.
Un ultimo aspetto, infine, è quello dell’open banking. La Psd 2 prevede, infatti, l’apertura da parte delle banche delle API (Application Program Interface) ai soggetti che forniscono servizi di pagamento, così che gli utenti possano autorizzare soggetti terzi ad accedere al proprio conto per implementare nuovi strumenti e servizi in fase di home banking, oppure per consentire a Google, Apple, Facebook e Amazon di completare un pagamento in maniera automatica. Tale passaggio, che forse è quello che maggiormente preoccupa in fatto di privacy dei dati personali, prevede comunque che il trattamento degli stessi debba essere sempre autorizzato attraverso un consenso espresso in maniera chiara e certa.
Il cambiamento, come anticipato, non sarà repentino e non deve dunque spaventare: data la complessità della materia, infatti, la Banca d’Italia ha previsto termini più lunghi per l’adeguamento alla normativa, garantendo così la possibilità, sia per gli addetti ai lavori che per gli utenti finali, di comprendere appieno le novità e non subire particolari difficoltà nel passaggio ai nuovi sistemi.
Commenta con Facebook