PSD2: nuove misure di sicurezza per i pagamenti online

L’entrata in vigore della nuova direttiva europea sulla sicurezza e la trasparenza dei trasferimenti bancari introduce alcune importanti novità nel settore dei pagamenti digitali.

Come cambia il rapporto fra banche e clienti

La direttiva 2015/2366 approvata dal Parlamento Europeo nel novembre 2015 ed entrata in fase di attuazione lo scorso 14 settembre prevede l’adozione di una serie di misure di sicurezza aggiuntive per identificare i titolari di conti bancari, ma sembra anche destinata a cambiare radicalmente il rapporto fra banche e clienti. La normativa, ribattezzata PSD2, va infatti anche a modificare le modalità di scambio delle informazioni fra gli istituti di credito e società esterne come quelle che si occupano di intermediazione dei pagamenti.

Secondo quando previsto dalla nuova normativa, da settembre gli istituti bancari sono obbligati a condividere con terze parti le informazioni sui propri clienti, se il cliente stesso ha precedentemente fornito alla propria banca un’esplicita autorizzazione alla condivisione dei suoi dati. La disposizione è stata pensata per promuovere l’innovazione e lo sviluppo nell’ambito dei pagamenti digitali e favorire i cosiddetti TPP (o third party players), ovvero le società di intermediazione. Il nuovo regolamento permette infatti di integrare più facilmente i servizi di operatori esterni al settore bancario come i PISP (o payment initiation service provider), società che gestiscono le transazioni fra banche e consumatori e permettono di effettuare pagamenti online, e i CISP (o card issuer service provider), cioè le compagnie che emettono carte di credito o di debito. La possibilità di concedere l’accesso alle proprie informazioni finanziarie permetterà anche di utilizzare efficacemente i servizi AISP (o account information service provider), ossia tutte quelle applicazioni che monitorano le attività dei conti correnti per fornire rapporti periodici sull’andamento delle finanze personali e dati sulle abitudini di spesa.

 

Pagamenti online più sicuri

Le nuove misure di sicurezza riguardano principalmente le modalità di verifica dell’identità dei clienti usate per garantire l’accesso ai servizi di online-banking. La normativa introduce il concetto di ‘autenticazione forte del cliente’ e prevede che la verifica dell’identità per autorizzare un acquisto sia basata su almeno due di questi tre fattori: qualcosa che l’utente conosce (password o PIN), qualcosa che l’utente possiede (numero di telefono o token) e un parametro biometrico direttamente riconducibile alla persona, come l’impronta digitale. In questo caso, lo scopo della direttiva è quello di prevenire le frodi legate ai pagamenti online e rendere più trasparenti le transazioni in formato digitale, che rappresentano ormai un giro d’affari da oltre 80 miliardi di euro l’anno.

Insieme all’autenticazione a due fattori viene anche introdotta la possibilità per i clienti degli istituti di credito di creare una lista di rivenditori online preferiti per i quali attivare una modalità di autenticazione semplificata che eviti di doversi identificare ogni volta. Per quanto comoda per gli utenti l’opzione rappresenta tuttavia una vulnerabilità soprattutto in termini di privacy, perché incoraggia un ancor più serrato monitoraggio dei consumatori e dei loro comportamenti di acquisto da parte degli e-commerce. Anche chi effettua operazioni tramite PISP è esposto allo stesso rischio: i PISP permettono infatti di effettuare pagamenti presso venditori come Amazon senza inserire i dati della propria carta di credito, ma lasciando piuttosto che sia il venditore stesso ad accedere direttamente al conto per il prelievo. In futuro, questa possibilità potrebbe essere sfruttata anche da giganti del panorama digitale come Google e Facebook per addebitare i clienti senza servirsi di alcuna carta.

 

PSD2 e normativa GDPR sulla protezione dei dati personali

Le novità introdotte nell’ambito delle modalità di scambio delle informazioni fra istituti bancari e TPP devono naturalmente tener conto dell’entrata in vigore della normativa GDPR, che garantisce a ciascun cittadino il diritto di essere informato sul modo in cui i suoi dati sono trattati e di controllare l’accesso ai dati stessi. Il problema tuttavia è che i nuovi servizi basati sull’intermediazione di aziende esterne necessitano che gli istituti di credito garantiscano un accesso diretto ai dati da parte delle società di intermediazione, che devono poter verificare in tempo reale le informazioni relative ai pagamenti fatti dagli utenti.

Il testo della normativa non chiarisce ancora chi debba essere considerato responsabile del trattamento dei dati dei clienti nel caso questi scelgano di usare i servizi di un fornitore esterno: le banche non possono rifiutare l’accesso ai dati richiesti dal fornitore per erogare i servizi sottoscritti dal cliente, ma al tempo stesso non hanno alcun modo di verificare o intervenire sulle modalità di gestione dei dati personali del cliente da parte delle società di intermediazione. Rimane quindi da capire su chi ricada la responsabilità in caso di data breach e quali siano i reali rischi per gli utenti quando i dati vengono trattati da società che non sono soggette agli stessi regolamenti e agli stessi controlli degli istituti bancari.