Cos’è la PSD2
La PSD2 è una Direttiva Europea sui servizi di pagamento, che ha lo scopo di renderli più sicuri e competitivi.
Per servizi di pagamento si intendono sia le transazioni elettroniche, quindi i pagamenti online, che quelli effettuati mediante carta di credito.
Per comprendere l’azione della normativa, è bene ricordare che prima della sua pubblicazione i servizi di pagamento elettronici erano gestiti solo ed esclusivamente dagli istituti di credito.
La PSD2 apre le porte a soggetti terzi, quindi esterni alla banca, che offrono servizi aggiuntivi di cui gli utenti possono beneficiare.
Ecco che se abbiamo un conto corrente con gestione online (home banking), possiamo usufruire di servizi aggiuntivi che vengono offerti da questi soggetti terzi.
Può trattarsi ad esempio dell’aggregazione in uno stesso documento delle informazioni sul nostro conto corrente (saldo, lista movimenti…) oppure di azioni automatiche che vogliamo fare su un e-commerce.
Le proposte sono molte, ma ciò che conta è sapere che nessuno di questi soggetti di terze parti potrà accedere al nostro conto e tantomeno operarci senza che noi glielo permettiamo.
Scopo della PSD2 è infatti offrire più servizi agli utenti, migliorando e arricchendo le soluzioni già attive, con altre di più raffinate o semplicemente diverse.
Ora che abbiamo compreso il ruolo e lo scopo della normativa, approfondiamo chi sono i soggetti operatori di terze parti e qual è nel dettaglio il loro ruolo nel ‘nuovo mondo’ dei pagamenti elettronici.
TTP (Third Party Players – soggetti di terze parti): tipologie e caratteristiche
Come visto, la nuova normativa PSD2 contempla che anche operatori non bancari possano lavorare sui sistemi di pagamento, con lo scopo di offrire servizi utili e migliorativi, nonché di aumentare la concorrenza.
I TTP si suddividono principalmente in:
- Account Information Services Providers (AISP): si collegano ai conti correnti bancari per recuperare informazioni che si necessitano per diversi motivi. Gli AISP servono, ad esempio, per avere un quadro generale della propria situazione finanziaria, per analizzare esigenze future o analizzare le proprie abitudini di spesa. Si prevede un impatto di questi sistemi sul monitoraggio degli investimenti, sul supporto nella creazione di budget e sulla pianificazione finanziaria.
- Payment Initiation Service Providers (PISP): questi operatori permettono di effettuare pagamenti dal proprio conto a un venditore, utilizzando un software ponte. Al momento della scrittura di questo articolo è possibile utilizzare un PISP solo se l’utente destinatario utilizza lo stesso, ma si prevede che le aziende inizino a collaborare con più PISP nel futuro più prossimo.
È importante considerare che i TTP, i soggetti di terze parti, dovranno seguire le stesse regole dei fornitori di servizi di pagamento tradizionali.
Servirà quindi procedere con le fasi di autorizzazione e registrazione da parte delle autorità competenti.
Direttiva PSD2: quali servizi per aziende e cittadini?
La direttiva che norma i PSD2 è la Directive (EU) 2015/2366 e, nel concreto, stabilisce che è possibile concedere l’accesso al proprio conto corrente – in sicurezza – ai TTP – soggetti di terze parti-, per beneficiare di specifici servizi, tra cui ad esempio:
- Avere informazioni sui conti: previo consenso è possibile ottenere informazioni sui propri conti, quali il saldo o la lista movimenti, senza accedere all’area riservata;
- Disporre ordini di pagamento: previo consenso è possibile disporre bonifici Sepa dal conto, senza accedere alla propria area riservata;
- Effettuare pagamenti sugli e-commerce in modo più rapido e soprattutto sicuro.
I servizi disponibili saranno probabilmente molti e di diversa natura ma, soprattutto, le persone le aziende potranno scegliere quelli più interessanti e utili alle proprie esigenze in materia di gestione dei pagamenti e del denaro.
PSD2: cosa cambia a livello bancario?
La PSD2 è una normativa alquanto rivoluzionaria, perché se da un lato lo scopo è offrire alle persone servizi bancari meno costosi e offerte personalizzate, le banche dovranno in toto accogliere una nuova idea di digitalizzazione e di apertura a terze parti per servizi collegati a quelli che già propongono.
La normativa contiene infatti una richiesta implicita: le banche dovranno concedere ai TPP un accesso sicuro ai conti dei clienti e alle informazioni sui pagamenti.
Il processo prevede quindi che con la norma PSD2 le transazioni effettuate vengano registrate dalla banca e, successivamente, condivise anche a terze parti, tracciando uno scenario di open banking che permette a operatori di terze parti di creare – e proporre – servizi più smart, personalizzati e sicuri per aziende e cittadini.
Scopo finale?
Rendere più efficiente il mercato europeo dei pagamenti e aumentare l’asticella della sicurezza nelle movimentazioni di denaro, come vedremo nello specifico nelle prossime righe.
PSD2 e sicurezza: soglia massima di attenzione
La cybersecurity è una questione che tocca tutti, dalle aziende ai cittadini, con dati piuttosto allarmanti sul tema.
Secondo l’ultimo rapporto Clusit, Associazione Italiana per la Sicurezza Informatica, fra il 2017 e 2020 il numero di attacchi gravi analizzati dalla associazione è passato da 1.227 a 1.871, con un distacco pari a +66%.
Nel 2020 gli attacchi gravi sono cresciuti del 29%, con il cybercrime ad aggiudicarsi il triste primato (81%), seguito dall’espionage (14%, in aumento rispetto al 12% del 2019).
Il malware è la tecnologia di attacco più diffusa, 42%, a cui fa seguito un 20% di tipologia ancora sconosciuta, seguita dal phishing, con attacchi di tipo BEC – Business Email Compromise – che hanno causato perdite per milioni di euro.
In pratica, la legge europea ha deciso e sancito i requisiti di standard aperti di comunicazione comuni e sicuri in tema di identificazione, autenticazione, notifica e trasmissione di informazioni, nonché in tema di attuazione delle misure di sicurezza, tra i diversi prestatori di servizi di pagamento coinvolti.
Servirà quindi attenzione da parte dei clienti, almeno all’inizio e sarà buona norma richiedere informazioni alla propria banca, per assicurarsi che in caso di attacchi non vengano messe in atto interruzioni di pagamento o impossibilità di utilizzare le carte.
PSD2 e acquisti online: cosa cambia?
Sicurezza è la parola d’ordine anche per chi gestisce gli shop online, perché la normativa garantisce maggiore sicurezza nelle compravendite sugli e-commerce.
Fra le novità vi è la SCA, Strong Customer Authentication, una misura che prevede l’identificazione in due passaggi per chi esegue un acquisto in rete.
Il cambio chiede a chi acquista online di provare la propria identità e qui entreranno in vigore sistemi di autenticazione quali i PIN o le password.
Vi saranno inoltre le più raffinate le metodologie di riconoscimento vocale, facciale o tramite impronta digitale, che rappresentano attualmente il prossimo futuro della sicurezza, in quanto si tratta di dati univoci e non replicabili.
Chi gestisce uno shop online dovrà quindi procedere con degli adeguamenti, quali ad esempio l’implementazione di sistemi sul check-out.
I provider di sistemi nativi potemmo provvedere ad adeguarsi alla normativa con richieste automatiche, in modo da rendere l’e-commerce in regola, mentre per operazioni su siti proprietari è consigliato chiedere il supporto di esperti informatici.
Il 3D Secure 2 contro le truffe
Sempre in tema di sicurezza, la PSD2 introduce il 3DS 2.0 ovvero un ulteriore sistema di autenticazione che ha lo scopo di alzare l’asticella della sicurezza contro le truffe e i rischi informatici.
In pratica, questa evoluzione prevede che l’autenticazione della transazione venga eseguita direttamente all’interno dell’app o del modulo di pagamento dell’e-commerce, evitando i reindirizzamenti.
Il flusso di autenticazione potrà così diventare più veloce, abilitando anche al suo interno i pagamenti mediate i portafogli virtuali, come e-wallet e mobile wallet.
Fra i ‘pro’ per chi gestisce un e-commerce, potrà quindi figurare un minore abbandono del carrello e un’autenticazione rapida, automatica e sicura, che favorendo la user experience, potrebbe anche migliorare nel complesso l’esperienza di acquisto degli utenti.
Elenco dei soggetti autorizzati sul Registro Centrale Elettronico dell’Autorità bancaria europea (EBA), disponibile a questo link.
GOLD La Tesoreria è il software di nuova generazione per la gestione della tesoreria aziendale. Integrabile con l’home banking in utilizzo, GOLD permette di gestire il cash flow in modo semplice e preciso, potenziando il comparto e con esso la possibilità di effettuare previsioni strategiche a breve, e medio e lungo termine.
Clicca su questo link per chiederci informazioni sul software di gestione della tesoreria GOLD.
