La direttiva europea PSD2 rivoluzionerà il mondo dei pagamenti digitali permettendo l’introduzione di terze parti che possano fare da intermediari fra l’utente finale e la sua banca, avendo accesso al conto e ai dati personali dell’utente stesso.

La PSD2, ovvero Payment Services Directive 2, è stata introdotta anche nel nostro Paese con una votazione del Consiglio dei Ministri dell’11 dicembre 2017 ed è entrata in vigore con il gennaio del 2018, ma diventa completamente operativa solo nel settembre del 2019.

Cos’è la PSD2

La direttiva europea 2015/2366, nota come PSD2, è ormai entrata completamente in vigore e promette di rivoluzionare il mondo dell’open banking e dei pagamenti digitali.

La novità principale introdotta dalla direttiva è la possibilità offerta a terze parti (TPP) di accedere ai conti bancari, su mandato dei loro clienti, ed effettuare operazioni di vario tipo. Questi nuovi attori nel panorama finanziario saranno probabilmente grandi aziende specializzate nella finanza digitale e nella cosiddetta FinTech, ma anche colossi digitali come Amazon o Google. Queste terze parti potranno fare da intermediario fra l’utente finale e le banche, con accesso più o meno libero ai conti dei loro clienti.

Ovviamente la legge prevede anche misure di sicurezza e trasparenza molto stringenti a tutela dei consumatori. Questi ultimi otterranno innegabili vantaggi, rendendo più veloci e agili i pagamenti tramite app, la sottoscrizione di abbonamenti a servizi digitali e altri pagamenti in ambiente virtuale. Le banche dovranno aprire le loro banche dati a queste aziende fornendo loro tutte le informazioni necessarie perchè possano operare, come la rendicontazione, il saldo o i movimenti dei propri clienti.

Questo avverrà però nella completa tutela del cliente stesso. Proprio a questo fine la Comunità Europea ha emanato il regolamento delegato UE/2018/389, con lo scopo di tutelare i dati personali del cliente, permettergli di operare in totale sicurezza e rendere trasparente ogni passaggio.

PSD2: i vantaggi per gli utenti

Quando le indicazioni dettate dalla PSD2 diventeranno completamente operative per gli utenti sarà più semplice effettuare pagamenti online utilizzando sia il proprio conto bancario che altre fonti meno convenzionali.

Sarà ad esempio possibile fare acquisti con un semplice click utilizzando il proprio credito telefonico. Chi ha più conti correnti o carte si credito presso banche diverse potrà consultarli e utilizzarli con strumenti di gestione unitari, grazie ad un intermediario che avrà accesso a tutti i conti. Questo dovrebbe permettere una maggiore velocità e semplicità nei pagamenti. L’aumento della concorrenza nell’offerta dovrebbe portare anche un miglioramento dei servizi e un abbattimento dei costi per l’utente finale.

Una volta che le novità saranno state implementate e sia le banche che le terze parti avranno iniziato ad operare a pieno regime sarà possibile pagare conti online con un semplice click attraverso il proprio account Facebook, ad esempio, o attraverso portali di e-commerce come Ebay e Amazon. Queste società avranno accesso al conto bancario dell’utente, ovviamente dopo sua esplicita autorizzazione, e potranno in autonomia prelevare i fondi necessari per le operazioni richieste.

Dal lato puramente tecnico queste innovazioni introducono diverse novità, come la necessità per le banche di mettere a punto sistemi compatibili per l’interscambio di dati tra loro e le terze parti eventualmente coinvolte.

La PSD2 metterà a disposizione degli utenti nuovi potentissimi strumenti, dopo di che sarà l’utente stesso a decidere se servirsene o meno. Sarà sempre possibile per chiunque operare come in precedenza e continuare ad effettuare pagamenti in modo tradizionale.

I big data e la gestione delle banche dati condivise

La PSD2 pone anche il problema della gestione dei cosiddetti “big data”, ovvero grandissime banche dati contenenti informazioni di vario genere su migliaia o milioni di persone.

Questi dati, almeno dal lato bancario, sono finora stati conservati gelosamente dalle banche stesse, ma quando queste ultime saranno chiamate a condividerli e renderli disponibili a soggetti terzi sorgeranno una serie di problemi. Questi ultimi consistono principalmente, nella gestione di queste immense banche dati, nel loro mantenimento e aggiornamento e sulla sicurezza dei dati stessi.

Per questo motivo la Comunità Europea ha già predisposto un albo a cui le parti coinvolte dovranno iscriversi prima di essere autorizzate a maneggiare i dati bancari dei propri clienti, mentre numerose aziende fintech hanno contribuito a fondare un’organizzazione non profit proprio per assistere le terze parti nella risoluzione di ogni possibile problema in questo momento di transizione e nuove pratiche.

I sistemi di autenticazione previsti dalla PSD2

Con l’entrata in vigore della PSD2 gli utenti potranno demandare determinate operazioni bancarie direttamente a coloro che forniscono i servizi da pagare, in modo che possano prelevare i soldi in totale autonomia direttamente dai conti correnti o fare da intermediari per altri pagamenti. Questo ovviamente espone i clienti stessi al rischio di frodi, operazioni non trasparenti o abusi di ogni genere. Per questo l’Unione Europea ha predisposto anche un secondo regolamento per rendere più sicura l’autenticazione dell’utente, necessaria per ogni operazione. La presenza di un intermediario fra utente e banca rende più facile la fuga di dati privati e offre una possibilità in più ai malintenzionati digitali di introdursi in una transazione.

La Strong Customer Authentication è un sistema di autenticazione a norma secondo questo regolamento e prevede il possesso di almeno due dei seguenti requisiti:

• Knowledge factor: l’utente per autenticarsi deve conoscere una password o un pin.
• Possession factor: il possesso da parte dell’utente di un particolare oggetto unico e non duplicabile, come uno smartphone o una chiavetta token realizzata appositamente.
• Inherent factor: fattori che contraddistinguono l’utente, come l’impronta digitale o altri dati biometrici.

Chiavette o carte codici già in uso oggi presso le banche per l’autenticazione dei clienti per l’home banking non saranno più sufficienti, ma andranno integrate con altri sistemi. In questo modo si rende impossibile, o per lo meno più difficile, a soggetti non autorizzati l’accesso e l’utilizzo dei dati personali e dei fondi collegati ad ogni conto bancario.