Sabato 14 settembre è scoccata l’ora X della rivoluzione nei pagamenti online. È entrata infatti in vigore l’ultima parte della direttiva europea dedicata ai servizi di pagamento digitali, la cosiddetta PSD2.
Considerata l’inevitabile diversità con cui ogni istituto finanziario ha ottemperato alle disposizioni di Bruxelles le nuove regole hanno però spiazzato non solo i correntisti, ma anche gli stessi addetti ai lavori. E considerata la complessità della materia la Banca d’Italia ha concesso una proroga ai ritardatari. Di conseguenza, il panorama dei conti online, soprattutto per quanto riguarda le regole di sicurezza, rischia di funzionare temporaneamente a doppia velocità.
Autenticazione forte per l’home banking
La cosiddetta Strong Customer Authentication (Autenticazione Forte del Cliente), è il nuovo meccanismo di sicurezza che prestatori di pagamento e intermediari dovranno utilizzare ogniqualvolta sia necessario accedere a un conto di pagamento online o effettuare un’operazione elettronica tramite il proprio home banking.
Ma quali sono le vere novità per gli utenti? “La necessità di un doppio fattore indipendente di autenticazione (pin più codice usa e getta) e la possibilità di compiere una sola operazione per password generata sono i principali cambiamenti destinati a incidere sulla vita quotidiana dei cittadini”, spiega all’Adnkronos Maurizio Pimpinella, presidente APSP, Associazione Prestatori di Servizi di Pagamento.
Una sola operazione per password generata
Se in precedenza era possibile compiere un numero indefinito di operazioni di pagamento con la medesima password, con la nuova normativa ogni bonifico richiede un nuovo codice usa e getta. “Tale codice è quindi collegato a una singola e unica operazione di pagamento – conferma Pimpinella – che avviene nei confronti di un solo e unico beneficiario”.
E il token sarà da buttare? “Diciamo ‘ni’ – continua il presidente APSP – . Tendenzialmente si è scelto di sostituire il vecchio token fisico con i nuovi codici generati direttamente dal proprio smartphone tramite app o inviati via sms. Tuttavia, in alcuni casi, la chiavetta che tutti conosciamo è rimasta”. Anche se va utilizzata in combinazione con altri requisiti di sicurezza e si cerca di disincentivarne l’uso con la previsione di canoni aggiuntivi.
Arriva l’open banking, attenzione ai dati
Con la PSD2 per la prima volta soggetti terzi possono essere autorizzati dai singoli utenti ad accedere al proprio conto al fine di utilizzare nuovi strumenti e servizi volti ad agevolare l’esperienza di home banking. In pratica le banche europee devono aprire le proprie API (Application Program Interface), a società fintech e altri soggetti che forniscono servizi di pagamento. Attenzione, però, al trattamento dei propri dati bancari, che verranno condivisi, seppur previo consenso, con tutte le realtà che si interfacceranno con il conto di pagamento online. “Compresi i cosiddetti Gafa, Google, Apple, Facebook, Amazon, che recentemente hanno implementato nella loro offerta anche servizi di pagamento e finanziamento”, avverte Pimpinella.
In ogni caso, per i ritardatari la Banca d’Italia ha concesso un termine supplementare, onde evitare che i singoli utenti possano subire disagi e disservizi dal passaggio alle nuove procedure.