Di Mario Vacca Parma 22 settembre 2019 - Dal 14 settembre 2019 sono entrate in vigore alcune novità previste dalla direttiva europea PSD2 e gli istituti di credito dovranno adeguare le loro strutture.
Le banche sono obbligate ad autorizzare a “terze parti” l’accesso ai dati dei propri correntisti che avranno autorizzato siffatta comunicazione.
Le “terze parti” sono importanti tasselli del “sistema bancario” chiamate Pisp, Aisp e Cisp!
I Pisp (Payment Initiation Service Providers) sono società intermediarie tra il pagatore (consumatori o aziende) e la propria banca che hanno lo scopo di versare denaro ad un terzo soggetto. Vera e propria innovazione, con esse sarà possibile effettuare un pagamento su un sito di ecommerce senza inserire i dati della propria carta di credito, perché sarà il venditore ad accedere direttamente al conto (previa una prima autorizzazione del cliente) e prelevare. Per accedere al conto del cliente i Pisp devono comunque usare procedure di autenticazione mettendo a disposizione del cliente tutte le informazioni relative all’ operazione; In questo contesto si potrebbero ridurre le commissioni relative alle transazioni con carte di credito ed eliminare i pericoli della perdita della carta stessa.
Gli Aisp (Account Information Service Provider) sono servizi che "spiano" (dopo che il cliente abbia prestato il consenso) le operazioni effettuate sui conti correnti e con le carte, analizzando ed aggregando dati per fornire un quadro complessivo delle finanze in un'unica schermata arrivando a suggerire investimenti o prodotti di risparmio.
I Cisp (Card Issuer Service Providers) sono soggetti che emettono carte di pagamento. Attivi già da tempo nel Regno Unito, a differenza delle prepagate, queste sono direttamente collegate al conto corrente, anche se è stato aperto in una banca differente. Non essendo i detentori del denaro hanno canali privilegiati per accedere al conto.
La direttiva rafforza le misure a tutela dei correntisti al fine di prevenire frodi e furti di identità. La sicurezza dei clienti, secondo il testo, si basa su tre principi:
- Conoscenza: cioè una password o un codice pin che conosce solo l'utente;
- Possesso: uno strumento che possiede solo l'utente (uno smartphone o un token);
- Inerenza: cioè qualcosa che l'utente è, ad esempio un'impronta digitale o il riconoscimento facciale.
Le procedure di autenticazione delle banche devono prevedere almeno due di questi principi. Questi nuovi standard hanno portato diverse banche italiane a sostituire i sistemi di accesso al conto o di autorizzazione delle disposizioni sostituendo i vecchi token con altri di nuova generazione o creando nuove modalità quali il sistema di generazione di password sullo smartphone.
Sembrerebbe che il problema dei token attuali sia data dalla vulnerabilità del codice generato (l'Otp, one time password) che pura pochi secondi ma non esclude la possibilità che un truffatore informatico possa utilizzarlo per compiere una seconda veloce operazione, drenando soldi dal conto del cliente. Con le nuove regole, invece, il codice "restituito" al cliente è valido solo e soltanto per quella operazione.
Mentre la direttiva si preoccupa della sicurezza desta anche qualche preoccupazione in ordine alla comunicazione dei dati, infatti dal 14 settembre sarà ancora più importante prestare la massima attenzione ai consensi da fornire al proprio Istituto perché se è vero che i nuovi servizi potrebbero essere utili a molti consumatori, è altrettanto vero che si tratta di condividere informazioni preziose, da fare con la massima cautela.