Lo scorso 14 settembre 2019 è entrata in vigore la Direttiva Europea 389/2018, conosciuta anche come PSD2. Già parzialmente in vigore dal 13 gennaio 2018, tale normativa entra nel vivo solo in questo periodo, con un graduale sviluppo che porterà correntisti online ed esercenti commerciali ad adeguarsi alle nuove regole. Tra le differenze più importanti rispetto al passato c’è la scomparsa delle chiavette token e l’entrata in gioco del mobile token con smartphone, che rappresenta un nuovo passo verso la totale digitalizzazione dei processi di acquisto e pagamento. Ciò può però presentare criticità , come la questione della privacy dei propri dati.
Cosa cambia per i correntisti con il mobile token?
Già in vigore dal 13 gennaio 2018, il nuovo regolamento delegato europeo 389/2018 viene attuato anche in Italia dal 14 settembre 2019. Chiamato anche PSD2 (payment services directive), rappresenta per i proprietari di conto corrente online una vera e propria novità , intesa come nuovo punto di partenza, che prevede però modifiche alle condizioni contrattuali dei propri istituti di credito, mentre si possono avere talvolta alcune modifiche anche nei piani tariffari.
Sul piano pratico, la novità del più evidente per tutti i clienti è la scomparsa della chiavetta token, l’accessorio fisico che molte banche hanno fornito, che verrà progressivamente disattivata e smaltita, che verrà sostituita dal mobile token: questo rappresenta un ulteriore passo verso la completa digitalizzazione delle transazioni, con lo smartphone che diventa l’unico dispositivo elettronico da utilizzare.
Con il mobile token con smartphone, le tradizionali forme di identificazione e autorizzazione dei pagamenti vengono sostituite dalla SCA (Strong Customer Authentication), una versione rafforzata dell’autenticazione a 2 fattori che diventerà il nuovo standard di sicurezza per e-commerce e ogni altra transazione digitale. I criteri di protezione della SCA sono:
- Conoscenza, qualcosa che solo il cliente conosce, come un’informazione riservata, un pin o una password
- Inerenza, qualcosa che solo del cliente fa parte, come i lineamenti del viso, il timbro vocale o un’impronta digitale
- Possessione, qualcosa che solo il cliente possiede, come un cellulare, uno smartwatch o altri dispositivi mobili
La novità di questa procedura è che i 3 fattori di protezione sono completamente indipendenti tra loro, mentre è possibile sceglierne 2 per le proprie autenticazioni e autorizzazioni, che funzionano in modo complementare ma l’eventuale violazione di uno non pregiudica l’affidabilità dell’altro. Ciò significa che questa forma di accesso risulta estremamente sicura e deve essere applicata ogni volta che:
- Si effettua l’accesso al proprio conto online
- Si effettua un pagamento online
- Si effettua una transazione su un canale non sicuro
Tuttavia, mentre la SCA diviene il nuovo standard di sicurezza, le otp (one-time password) non vengono dismesse completamente: per quanto presentino un problema di protezione per i dispositivi online, sono ancora una valida misura di prevenzione per i cellulari di vecchia generazione, che ricevono sms ma non consentono di navigare su internet.
Correlati >>> Unicredit Mobile Token –
Esenzioni e adeguamenti
Secondo la PSD2 i nuovi rigidi standard di autenticazione forte verranno obbligatoriamente applicati a pagamenti online o da smartphone uguali o superiori ai 30 euro. Esistono tuttavia delle esenzioni, che permettono di aggirare tale procedura:
- Transazioni frequenti dall’importo ridotto (tra 30 e 100 euro)
- Transazioni frequentemente effettuate dallo stesso beneficiario
- Transazioni frequenti effettuate su canale di pagamento sicuro
Se da una parte sono i correntisti online ad adeguarsi al nuovo mobile token con smartphone per autenticarsi e autorizzare un pagamento, dall’altro sono anche i venditori digitali europei a dover aggiornare i loro processi di vendita online; qualora non lo facessero, nessun pagamento verrebbe più ricevuto poiché nessuna transazione verrebbe accettata.
Attualmente, solo il 17% degli italiani è a piena conoscenza della Direttiva Europea 389/2018, mentre il 51% è intenzionato ad adeguarvisi. Secondo un sondaggio di Mastercard in 17 paesi europei, invece, il 69% dei commercianti non ne è a conoscenza.
Big data e open banking, la questione della privacy
Con l’arrivo sul mercato europeo di nuove società che acquisiranno i big data dei correntisti, la legge PSD2 sta già avviando un vero e proprio processo di open banking, una condivisione di dati tra i diversi enti del settore bancario.
Ciò significa che, previo esplicito consenso al trattamento dei dati sensibili da parte dei correntisti, gli istituti di credito saranno obbligati a fornire i loro dati a società terze. Tali società rappresentano il settore dei big data, che offriranno anche servizi di tesoreria. A trarre ulteriore giovamento da parte del processo di open banking saranno grandi società tecnologiche come Google, Apple, Facebook o Amazon, che dispongono di sistemi interni di pagamento e che prendono sempre più l’aspetto di società finanziarie.
Come influiscono PSD2 e mobile token con smartphone sui comportamenti dei correntisti?
Con l’entrata in vigore anche in Italia del regolamento delegato 389/2018 il 14 settembre 2019, i proprietari di conto corrente online stanno già vivendo non solo un’evoluzione, ma anche un nuovo inizio: le loro transazioni si svolgono ora in modo differente, cosa che potrebbe portarli a dimenticare le abitudini avute in precedenza. A conti fatti, a modificare il loro approccio verso un acquisto o pagamento, fattori influenti sono:
- Misure di sicurezza rafforzate
- Possibilità di esenzione dalla SCA per affidabilità e frequenza
- Nuove condizioni contrattuali
- Potenziali costi maggiorati
- Possibilità di società terze di acquisire dati sensibili
Se i primi 2 punti possono incoraggiare a proseguire tali comportamenti con la garanzia di essere maggiormente protetti, gli altri 3 possono distoglierne l’intento. Con l’adeguamento alla legge, molti istituti bancari hanno effettuato modifiche alle loro condizioni contrattuali, modificando di conseguenza alcuni piani tariffari per l’utilizzo di tecnologie al passo coi tempi e all’avanguardia.
Ciò che può spaventare ancor più i clienti è però la questione della privacy e la sicurezza dei loro dati finanziari: con la normativa si attua infatti un processo di open banking, in cui le banche sono obbligate a fornire dati informazioni sui correntisti a società terze (del settore big data), previo però consenso dei clienti a tale pratica.
Anche davanti alla possibilità di profilazione del pubblico, quella sulla privacy è per i correntisti una criticità fondata. E’ proprio per questa ragione che è richiesto un occhio sempre più attento nella lettura delle condizioni di contratto, nonché nella valutazione di ogni elemento di un prodotto scelto, dedicendo se concedere o rifiutare l’accesso alle proprie informazioni.