Si chiama Payment Service Directive 2 (Psd2) ed è la normativa europea in tema di servizi di pagamento che ha introdotto novità significative nel mondo dei servizi finanziari. Entrata in vigore a gennaio 2018, la direttiva Ue 2015/2366 è diventata operativa in Italia lo scorso 14 settembre e ha impatti rilevanti sulla titolarità dei dati nel settore bancario, sull’uso del contante e sul contrasto all’evasione fiscale.
GLI OBIETTIVI E L’AMBITO DI APPLICAZIONE
Attraverso una revisione del quadro normativo che regola i servizi digitali, la direttiva ha come finalità lo sviluppo di un mercato interno dei pagamenti al dettaglio sicuro, efficace e competitivo. Gli obiettivi perseguiti dalla Psd2 sono molteplici: innovare il settore bancario grazie all’apertura del mercato a soggetti terzi, disincentivare l’uso dei contanti per contrastare l’evasione fiscale e attribuire la titolarità dei dati ai clienti e non più agli istituti di credito. Le novità introdotte coinvolgono i fornitori di servizi di pagamento come banche, assicurazioni e i Tpp (Third Party Providers), ossia i fornitori di servizi di pagamento terzi rispetto a quelli dove sono i conti degli utenti. Le operazioni su cui la direttiva impatta sono tutte quelle effettuate attraverso carte – di credito, di debito e prepagate – Pos e canali remoti come, ad esempio, bonifici e ricariche telefoniche.
GLI OPERATORI TERZI
La Psd2 impone alle banche e agli istituti di credito la condivisione dei dati e delle informazioni dei clienti con soggetti terzi tramite le Api (Application Programming Interface). Le interfacce Api consentono agli operatori esterni, previa autorizzazione, l’accesso ai conti dei consumatori per le operazioni di pagamento e, allo stesso tempo, permettono agli utenti di scegliere il servizio o l’operatore di cui vogliono avvalersi per effettuare i pagamenti o gestire le proprie finanze. Questa novità permette l’accesso al mercato, aumentando la concorrenza, non solo ai player FinTech ma anche a società che offrono servizi di pagamento come, ad esempio, Google e Apple. I Third Party Providers coinvolti sono di tre tipi: gli Account Information Service Provider hanno accesso ai dati dei clienti con scopi di analisi e profilazione, i Payment Service Provider sono autorizzati a operare sui conti dei clienti per predisporre i pagamenti e, infine, i Card Issuing Provider, gestiscono i servizi di pagamento tramite carta.
LE REGOLE DI SICUREZZA (SCA)
Se da un lato l’obiettivo della direttiva è l’apertura del mercato, dall’altro risulta fondamentale, in quest’ottica, l’implementazione di sistemi di sicurezza in un settore in cui vengono trattati dati sensibili. A questo fine è stata introdotta la Strong Customer Authentication (Sca), un’autenticazione a due fattori, obbligatoria per tutti i pagamenti oltre i trenta euro. La Sca è basata su due elementi reciprocamente indipendenti, dove uno dei due dev’essere non replicabile, trafugabile o riutilizzabile per proteggere la riservatezza dei dati di autenticazione. Gli elementi di identificazione devono afferire alle categorie della conoscenza (dato noto solo all’utente), dell’inerenza (qualcosa che caratterizza l’utente come, ad esempio, le caratteristiche biometriche) e del possesso. Le operazioni per cui è richiesta la Sca sono l’accesso al conto corrente, la predisposizione di un pagamento elettronico e qualsiasi altra azione, eseguita a distanza, che comporti un alto rischio di frode nei pagamenti.
L’ABBANDONO DEI TOKEN E LA GESTIONE DEI CONTI
Con la piena operatività della direttiva Psd2 è stato dismesso l’utilizzo delle chiavette token e delle carte-codici fornite dagli istituti di credito come strumento di identificazione per accedere ai conti. Sarà invece necessario effettuare l’accesso attraverso il sistema di sicurezza rinforzato con l’uso di un elemento che possiede solo l’utente, come lo smartphone, e una caratteristica unica, come l’impronta digitale o un altro fattore biometrico. Anche per quanto riguarda la gestione dei conti correnti la novità è di rilievo. Se fino a oggi l’intestatario di due differenti conti correnti poteva gestirli solo separatamente perchè i sistemi risultavano incompatibili tra loro, con l’avvento dell’Open Banking conti e carte potranno essere amministrati tramite un’unica piattaforma, anche se appartenenti a due istituti bancari differenti.