Normativa PSD2

quali sono gli obiettivi e le principali novità: SCA, nuovi soggetti (AISP, PISP, ETC)

Se hai un conto corrente o un altro prodotto simile, nel corso del 2019 avrai sicuramente ricevuto diverse comunicazioni dalla tua banca relative alla normativa PSD2.

Molto probabilmente, la maggior parte di queste si riferivano al potenziamento dei sistemi di sicurezza e autenticazione dei tuoi servizi di internet e mobile banking. Ecco, questo è solo uno degli aspetti che l’Unione Europea ha voluto introdurre con l’entrata in vigore della normativa PSD2.

Ma proviamo a ripercorrerne i tratti principali, cercando di dare un senso al copioso numero di sigle che incontriamo quando leggiamo di questa normativa.

Cos'è la PSD2?

Partiamo dalle basi, PSD2 (“Payment Service Directive (EU) 2015/2366” oppure, in italiano “Direttiva sui Servizi di Pagamento”) è una normativa europea che ha l’obiettivo di rendere più sicuro e aperto il sistema dei pagamenti. Rispetto alla precedente PSD (1), la nuova direttiva mira a promuovere l’innovazione tramite l’apertura a nuovi soggetti, anche indipendenti rispetto al sistema bancario tradizionale, aumentando la concorrenza e la trasparenza di mercato.

Le terze parti - TPP

E qui iniziano le sigle. Questi nuovi soggetti, anche noti come “Terze Parti” o “Third Party Providers” o TPP sono dei nuovi operatori ai quali viene rilasciata un’esplicita autorizzazione dalle autorità competenti e che possono operare potenzialmente su tutto il mercato europeo. Questi soggetti, previo consenso esplicito del cliente (anche noto come PSU, Payment Service User), possono ottenere informazioni e disporre pagamenti sui conti correnti detenuti presso i tradizionali Prestatori di Servizi di Pagamento (quali le Banche).

Attenzione però, queste TPP non possono agire senza l’esplicito consenso e autorizzazione del cliente e proprio per questo motivo la normativa ha previsto degli appositi potenziamenti dei sistemi di autenticazione e sicurezza che approfondiremo fra poco.

Torniamo alle nostre sigle, la normativa definisce due principali tipologie di TPP:

  • AISP (Account Information Service Provider), ossia soggetti autorizzati ad accedere alle informazioni dei conti correnti (Saldo e Movimenti).
  • PISP (Payment Initiation Service Provider) autorizzati a disporre pagamenti, tipicamente Bonifici, Bonifici Istantanei e Bonifici Esteri, sui conti correnti dei clienti.

Sottolineiamo ancora il concetto, perché il legislatore non ha lasciato aree di grigio. Questi nuovi soggetti non sono in grado di operare in autonomia, senza esplicita autorizzazione dell’utente. Solo l’utente è in grado di concedere il consenso ad una TPP di accedere ai dati dei suoi conti correnti oppure autorizzare la disposizione di un pagamento. Le banche di radicamento dei conti raccolgono questi consensi e autorizzazioni per verificare il corretto comportamento delle TPP, bloccando accessi non autorizzati e non ammessi.

In un dialogo immaginario tra i tre soggetti, avviene più o meno quanto segue:

  1. TPP chiede alla Banca accesso al conto
  2. Banca chiede autorizzazione al cliente mediante Strong Customer Authentication (SCA)
  3. Banca conferma l’autorizzazione alla TPP

SCA

E arriviamo appunto all’ultimo tassello della normativa. La Strong Customer Authentication (o SCA), che rappresenta quel potenziamento dei sistemi di sicurezza che permettono all’utente di essere consapevole delle autorizzazioni che sta fornendo ad una Terza Parte.

Il processo di autenticazione forte (Strong appunto) prevede che per accedere ai dati di conto corrente o disporre pagamenti, siano necessari due o più “fattori di sicurezza” indipendenti, ad esempio:

1. Conoscenza: Ad esempio una password, un PIN, un pattern da disegnare sullo schermo.

2. Possesso: Ad esempio una carta, uno smartphone con l’App della banca già configurata, qualsiasi oggetto materiale o virtuale di cui possa essere provato il possesso.

3. Inerenza (qualcosa che caratterizza l’utente): Ad esempio l’impronta digitale, riconoscimento vocale, face-id.

Al netto di alcune specifiche regole di esenzione applicabili in poche e ben determinate situazioni, per autorizzare una terza parte ad accedere ai propri dati presso una banca, l’utente deve fornire almeno 2 dei fattori sopra indicati.

Per i pagamenti, inoltre, la normativa aggiunge un ulteriore elemento di sicurezza, definito “Dynamic Linking”, ossia una relazione diretta molto forte tra la richiesta di autorizzazione e l’operazione che si sta autorizzando. In questo modo l’utente, quando riceve la notifica, può visualizzare i dati del pagamento richiesto (beneficiario, importo) e avere la certezza che quello che autorizzerà sarà solo e soltanto quello.

Riassumendo quindi. Nuovi soggetti si affacciano sul mercato dei pagamenti, ma per farlo devono rispettare una serie di regole molto chiare. Le banche hanno dovuto adeguare i loro sistemi per permettere a questi nuovi soggetti di accedere ai dati dei conti, in virtù di un consenso esplicito del cliente, ma per farlo, sono applicati nuovi meccanismi di sicurezza a tutela del cliente finale.

Potrebbe interessarti anche:

Aggrega tutti i tuoi conti con illimity connect

Visualizza saldi e movimenti di tutti i tuoi conti, anche di altre banche, da un unico home banking. Non dovrai più saltare da un’app all’altra per avere la visione completa delle tue finanze.

Scopri di più

Sai quanto spendi complessivamente e gestisci le tue spese aggregate

Ricevi report e l’analisi intelligente di tutti i movimenti che effettui con i conti collegati con illimity connect. Imposti limiti di spesa mensili su tutti i tuoi conti, sul totale delle tue spese e per ciascuna categoria.

Scopri di più

Scegli con quale banca pagare

Con illimity connect non solo hai tutta la tua situazione finanziaria sotto controllo, ma effettui anche operazioni da tutti i tuoi conti direttamente dall’app illimity.

Scopri di più

Messaggio pubblicitario con finalità promozionale.
Condizioni contrattuali consultabili su foglio informativo disponibile su illimitybank.com/trasparenza