E’ partita il 14 settembre 2019 l’attuazione della nuova Direttiva Europea sui servizi di pagamento digitale, che prevede tra le novità l’addio alle chiavette token. Già in vigore dal 13 gennaio 2018, vede solo ora gli effetti, specie per quei correntisti che hanno ricevuto negli ultimi mesi lettere dai propri istituti di credito, al fine di adeguarsi ai nuovi sistemi di autenticazione. Secondo il nuovo regolamento delegato 389/2018, ogni operazione di autenticazione e autorizzazione alle transazioni online dovrà essere effettuata tramite smartphone senza più altri supporti fisici, che finiranno per essere rottamati.
PSD2, cosa cambia per i correntisti?
Il 14 settembre 2019 è stata una data importante, quella dell’entrata in vigore della Direttiva Europea 389/2018 anche in Italia. Il nuovo regolamento delegato, chiamato PSD2 (Payment Services Directive), è destinato a cambiare radicalmente le abitudini di milioni di proprietari di conti correnti online, che affronteranno un sistema d’identificazione più sicuro, in due passaggi, garantendo maggiore protezione nei loro pagamenti.
Tra i maggiori cambiamenti, quello che influisce più sui comportamenti dei clienti sarà la tipologia di accesso e gestione alle funzionalità home banking del proprio operatore finanziario: si assiste ad un vero e proprio addio alle chiavette token, dispositivi fisici che molti istituti di credito hanno distribuito ai loro clienti, che verranno progressivamente rottamati poiché considerati già da tempo rifiuti elettronici speciali.
Dall’entrata in vigore di tale legge, lo smartphone diverrà l’unico dispositivo fisico per effettuare pagamenti e acquisti online. Il nuovo sistema di autenticazione è ora obbligatorio per tutti i pagamenti superiori ai 30 euro, che siano essi online o da cellulare. La otp (one-time password) utilizzata in precedenza, continuerà invece ad essere utilizzata per cellulari di vecchia generazione che ricevono sms ma non dispongono di connessione internet.
Si passa al mobile token, che porta ad un’ulteriore digitalizzazione dei processi di pagamento. La PSD2, a riguardo, introduce una nuova modalità di autenticazione, la SCA (Strong Customer Authentication): tale modalità e una versione rafforzata dell’autenticazione a due fattori, che ha come principio base una doppia identificazione forte per l’autorizzazione di un pagamento. I 3 fattori di autenticazione riguardano:
- Inerenza, qualcosa che rappresenta l’aspetto fisico del cliente, come impronte digitali, timbro vocale o lineamenti del viso
- Conoscenza, qualcosa che solo il cliente sa riconoscere, come codice pin, password o risposte segrete
- Possessione, qualcosa che solo il cliente possiede, come uno smartphone o smartwatch
La SCA può essere applicata in presenza di almeno 2 dei 3 fattori, così da riconoscere sia il dispositivo che la persona che lo utilizza.
‘I consumatori europei saranno più protetti contro le frodi online, e avranno miglior accesso a forme più innovative di pagamenti online e via smartphone.’ Questo afferma la Commissione UE in una nota. Nonostante le volontà dell’Esecutivo comunitario per gli Stati membri di mettere in pratica le regole in maniera rapida, le disposizioni della nuova Direttiva Europea 389/2018 saranno percepite in maniera graduale anche dagli istituti di credito, così da dare loro il tempo di adattarsi a ogni cambiamento.
PSD2, addio alle chiavette token e nuove misure con la SCA
Dal giorno di approvazione della PSD2, i correntisti online non dovranno più utilizzare le loro chiavette token, che verranno progressivamente dismesse, ma utilizzeranno la modalità SCA per effettuare i loro pagamenti. Questo poiché le transazioni diverranno più sicure e saranno autorizzate da 2 fattori indipendenti, di natura differente, la cui violazione di uno non pregiudica l’affidabilità dell’altro. La procedura viene applicata quando il proprietario di conto corrente:
- Accede al proprio conto online
- Effettua un pagamento online
- Esegue un’operazione di accredito o addebito su un canale non sicuro
Tuttavia, secondo la PSD2 esistono alcuni casi che prevedono un’esenzione dai rigidi standard di autenticazione forte, come:
- Transazioni frequenti con stesso importo e stesso beneficiario
- Transazioni assidue di importo ridotto (dai 30 ai 100 euro)
- Affidabilità dei beneficiari
Ciò significa che anche gli esercenti commerciali hanno l’obbligo di mettersi in regola con la normativa 389/2018, predisponendo i propri sistemi di pagamento online ad accettare l’autenticazione forte a 2 fattori. Al momento, tra clienti ed esercenti, solo il 17% degli italiani è a conoscenza della nuova regolamentazione europea, con il 51% di loro che è intenzionato ad adottare i suoi requisiti; sul piano europeo, invece, solo il 31% delle persone ne è a conoscenza.
In merito alla privacy e alla protezione dei dati personali, con la normativa entra infine in vigore un nuovo obbligo anche per gli istituti di credito: quando richieste, avranno l’obbligo di condividere a società terze tutte le informazioni finanziarie sui loro clienti, solo però nel caso in cui questi ultimi abbiano espresso esplicito consenso al trattamento.
A trarre ulteriore vantaggio da questa regolamentazione saranno tutte quelle piattaforme che dispongono di circuiti di pagamento proprietari, come Facebook, Google, WhatsApp o Amazon. Queste ultime, che possono profilare i clienti entrando in possesso dei loro dati finanziari settorializzando quindi le offerte commerciali a loro destinate, possono entrare in netta competizione con le banche.
Conclusioni
Con l’approvazione della Direttiva Europea 389/2018 anche in Italia saranno tanti gli elementi in evoluzione per quanto riguarda i correntisti: non solo un addio alle chiavette token ma un passaggio al mobile token, che contribuisce alla totale digitalizzazione delle transazioni online, lasciando lo smartphone come unico dispositivo da utilizzare.
A conti fatti, questo rappresenta da un lato procedure di autenticazione e autorizzazioni di pagamenti più sicure, protette da frodi o violazione dei propri strumenti finanziari, dall’altra però uno strumento economicamente costoso per gli esercenti che si attivano per soddisfare la normativa, che si ritroveranno ad affrontare, di conseguenza, costi di predisposizione e uscite periodiche oltremodo maggiori rispetto a quelle in precedenza sostenute.
Sebbene solo il 17% degli italiani abbia piena conoscenza sulla normativa PSD2, altro elemento da non sottovalutare è quello della privacy: come con la Direttiva Europea 679/2016 sul Regolamento Generale sulla Protezione Dati (GDPR), anche questo sviluppo porterà a maggiore consapevolezza e attenzione da parte dei clienti, che avranno uno sguardo sempre più cosciente sulle condizioni generali delle piattaforme da loro utilizzate.