Dal 14 settembre è entrata in vigore la nuova Direttiva europea 2015/2366 “Payment Services Directive 2”, dedicata ai servizi dei pagamenti digitali, nota anche come PSD2.
La PSD2 ha introdotto diverse novità nel nostro modo di rapportarci con la banca, novità che vedono protagonisti i nostri cellulari. I nostri smartphone, infatti, sono diventati oramai la nostra banca.
Vediamo nello specifico cosa è cambiato.
Open Banking: come cambiano i nostri pagamenti digitali
Nella puntata di Mi Manda RaiTre andata in onda il 4 novembre (v. puntata sotto l’articolo), l’ Avv. Massimo Melpignano ha spiegato cos’è l’Open Banking e ha parlato delle nuove misure di sicurezza di autenticazione forte, entrambe novità introdotte dalla direttiva PSD2.
L’open banking è la condivisione dei dati di noi clienti tra i vari operatori (banche, soggetti che gestiscono carte di credito, app, ecc.).
Spieghiamo meglio questo concetto con degli esempi pratici.
Riteniamo in maniera semplicistica che le banche posseggano soltanto i nostri soldi: ho un conto corrente, quindi i miei soldi sono in banca.
Oppure riteniamo che le banche custodiscano i nostri risparmi: ho comprato dei titoli di stato, delle azioni. Bene, l’ho fatto in banca, tramite la banca, e la banca custodisce i miei investimenti. In realtà per le banche, ma soprattutto per questi nuovi soggetti che dobbiamo imparare a chiamare “terze parti”, siamo molto di più.
Siamo una persona, un consumatore, una famiglia, una impresa che chiede un finanziamento, un mutuo, usa una carta di credito. Siamo anche soggetti che hanno delle abitudini: risparmiano, non risparmiano. Usano poco o tanto la carta di credito. Operano on line o allo sportello. Hanno figli oppure no. Un patrimonio di informazioni quindi, che per noi possono significare o valere poco. Per altri possono significare o volere moltissimo.
Proviamo a fare un altro semplice esempio.
A molti sarà capitato di cercare sul motore di ricerca un nuovo telefonino da acquistare e poco dopo, navigando sul nostro social preferito, vedere comparire come per magia diversi annunci di telefonini che potremmo acquistare.
Questo rende l’idea in parte di quello che accadrà. Certamente con l’open banking, quindi consentendo a terzi l’accesso ai nostri dati, potremo ricevere proposte mirate, “targhettizzate”, fatte su misura per noi. Un mutuo su misura per esempio o il conto corrente che risponde alle nostre esigenze.
Dall’ altra parte, lo scenario che prende piede è ancora più complicato: tutto ciò che eravamo abituati a fare in banca o attraverso una banca, ora potremo farlo anche con terzi soggetti autorizzati. Tutto questo si chiama disintermediazione.
Ve lo spieghiamo con un esempio pratico: vado al ristorante e consulto il menù: per ordinare però devo passare dal cameriere, che di fatto è un intermediario tra me e la cucina del ristorante. Con l’open banking e con la nostra autorizzazione, chi vuole mangiare salta il rapporto con il cameriere ed accede direttamente alla cucina che è “aperta”.
Con questo meccanismo dell’open banking, le banche devono aprire le proprie API (Application Program Interface) cioè i software con cui dialoghiamo – il cameriere – a società del fintech (tecnologia applicata alla finanza) e in generale alle altre terze che si occupano di prodotti e servizi finanziari.
Quindi queste società, terze parti nel rapporto tra me e la banca, potranno avere accesso ai dati di pagamento. Perciò le terze parti arriveranno ai dati del cliente della banca e potranno costruire i propri prodotti e servizi “intorno” a quei dati.
Cambia, quindi, il modo di pagare: potrò pagare in molti più modi senza passare dalla banca (il famoso cameriere che abbiamo scavalcato), perché avrò autorizzato molti soggetti ad andare direttamente in cucina.
Naturalmente teniamo ben chiaro un concetto: potremo decidere di non fornire alcuna autorizzazione e nulla cambierà per noi. Ma il mondo va in questa direzione e questo è bene saperlo.
Sempre per cercare di comprendere queste innovazioni con un esempio, pensiamo al nostro pieno di carburante. Fino a qualche anno fa pensavano solo ai distributori di benzina con i marchi delle compagnie petrolifere. Oggi troviamo assolutamente normale fare il pieno presso una pompa che si trova nel centro commerciale in cui abbiamo fatto la spesa. E questa pompa ha lo stesso marchio del centro commerciale o dell’ipermercato. Lo stesso esempio vale anche per i telefoni: oggi il nostro gestore può essere anche un supermercato o la Posta.
E’ il mercato aperto: trasferiamo questo concetto alle banche ed avremo le banche aperte: l’open banking appunto. In realtà in questo caso ad essere aperti, cioè accessibili a terzi, saranno i nostri dati, quelli che ad esempio la nostra banca detiene e tratta per gestire le operazioni che impartiamo (prelievi, bonifici, ecc.) o per proporci mutui a tassi convenienti o nuovi investimenti.
Quello che dobbiamo comprendere è che tutto ciò che fino ad ora eravamo abituati a fare in banca o utilizzando la banca, con l’open banking potremo farlo anche attraverso altri soggetti.
Questi soggetti non dovranno essere necessariamente banche, anzi è prevedibile che non lo saranno affatto. Ma saranno app per esempio, messe a punto magari da start up innovative. Oppure siti internet. Quindi i prodotti e i servizi finanziari potranno essere offerti, ma anche utilizzati, al di fuori del solito canale bancario.
Facciamo un altro esempio: se faccio un acquisto online, ad es. tramite Amazon, collego al mio profilo la mia carta di credito che a sua volta è collegata al mio conto corrente bancario. Tutto questo potrà essere disintermediato e magari Amazon, che io avrò autorizzato, attingerà il pagamento direttamente dalla mia banca.
Ma potrebbe anche attingere, sempre che io lo autorizzi, ad altre informazioni. E questo gli consentirà ad esempio di conoscere molte cose di me, di propormi l’acquisto di beni, di servizi o anche di propormi finanziamenti, come in realtà già avviene, su misura. Un vantaggio per me certamente.
Ma sull’altro piatto della bilancia devo mettere altre due cose: mi fido di queste terze parti che ho autorizzato ad usare i miei dati? E useranno correttamente i miei dati finanziari?
Il grande fratello finanziario diventa realtà, ma dobbiamo evitare nuovi casi come Cambrige analytica.
Quindi, avremo un nuovo terreno di gioco in cui, oltre a noi e le banche, ma anche le finanziarie le assicurazioni, entrano in campo nuovi players, nuovi giocatori, che puntano tutto sulla tecnologia.
Velocità, varietà di offerte, convenienza per i consumatori. Almeno così dicono.
In cambio devo autorizzare, rendere open, l’accesso ai miei dati in banca. Sperando di dare l’autorizzazione alle società giuste e che queste società usino i miei dati finanziari in modo corretto.
E qui si innesta il tema dell’autenticazione forte, che è l’altro aspetto importante toccato dalla direttiva PSD2.
Che cos’è l’autenticazione forte?
L’autenticazione forte del cliente (Strong Customer Authentication) è una procedura di sicurezza che dovrebbe garantire maggiore protezione quando operiamo online e favorire i pagamenti in mobilità (da telefonino ad esempio) all’interno dell’ UE.
Questo sistema consente alle banche di verificare l’identità dell’utente e l’autenticità dei pagamenti attraverso l’utilizzo di due o più elementi di riconoscimento:
- Conoscenza, consente di autenticarci con qualcosa che solo l’utente conosce, ad esempio il pin;
- Inerenza, ovvero qualcosa che riguarda soltanto l’utente, ad esempio l’impronta digitale, il riconoscimento facciale;
- Possesso, inteso come qualcosa che solo l’utente possiede, ad esempio il proprio smartphone.
Quando due di questi elementi si intrecciano tra loro, la transazione risulterà per la banca o l’intermediario autentica e sicura.
La procedura di questi doppi codici può cambiare da banca a banca. Ad esempio, alcuni istituti di credito, per entrare nel proprio conto bancario online, chiedono l’inserimento del codice univoco (valido solo una volta) che si riceverà sul proprio smartphone come notifica, o un token mobile generato dall’ apposita applicazione.
In altri casi viene generato un QR code che deve essere scansionato mediante la fotocamera del proprio smartphone, proprio come uno scanner. Alcune banche possono richiedere una combinazione di questi fattori.
Stesso discorso può valere per l’autorizzazione a operare sul conto. Questo avviene sia nel caso in cui si acceda al proprio conto dal PC, sia nel caso in cui l’accesso avvenga mediante app. In quest’ultimo caso, spesso è lo stesso smartphone a gestire l’autenticazione che legge in automatico l’OTP (One Time Password) o il token virtuale generato dall’applicazione della banca, senza più il bisogno che l’utente digiti il codice manualmente come avveniva tradizionalmente con i vecchi token.
Guarda la puntata di Mi Manda RaiTre del 4.11.2019
TI POTREBBE INTERESSARE: PSD2: cos’è e cosa cambia nel mondo dei pagamenti digitali dopo l’addio ai token
