Conti correnti online e rivoluzione Psd2, tutto più complicato con il mobile token in nome della sicurezza

Il giorno X è arrivato, oggi entra in vigore l’ultima parte della Psd2, acronimo di Payment Services Directive 2, la direttiva europea dedicata ai servizi di pagamento digitali. Una vera e propria rivoluzione per i pagamenti on line allo scopo di garantire maggior sicurezza nei movimenti di denaro. Ma vediamo  nello specifico cosa cambierà per i correntisti.

Bye bye token: e ora?

I principali cambiamenti destinati a incidere sulla vita quotidiana dei cittadini sono da una parte un nuovo sistema di autenticazione forte per accedere al proprio conto on line e dall’altra la possibilità di compiere una sola operazione per password generata. Fine ultimo è rendere i pagamenti digitali sempre più sicuri e affidabili mandando in soffitta i token. Trattasi delle chiavette internet inviate dalle banche per accedere da casa on line al proprio conto e compiere tante operazioni. Il problema è che i token  generano un codice (l’Otp, one time password) che dura pochi secondi sì ma gli hacker informatici sono in grado, nel giro di quei pochissimi secondi a entrare nel conto e drenare soldi.

Per effetto dell’entrata in vigore della Psd2 scatta l’adozione obbligatoria, da parte delle banche e degli altri prestatori di servizi di pagamento, di sistemi di autenticazione forte dei clienti, basati sull’utilizzo di almeno due fattori (es. password, impronta biometrica, certificato su smartphone, ecc..) per consentire alla clientela di effettuare in piena sicurezza l’accesso ai conti on line e l’esecuzione dei pagamenti elettronici. In sostanza all’utente verranno richiesti due elementi di autenticazione a scelta fra tre opzioni:

• un oggetto che possiede solo il cliente (come lo smartphone);
• una caratteristica che possiede solo il cliente (come l’impronta digitale o un altro fattore biometrico);
• un’informazione nota solo al cliente (come una password).

Per accedere al conto ci sarà una password generata su smartphone, un pin generato da un token o un’impronta digitale impressa sul telefonino. Dal 14 settembre per entrare e operare nella banca online, autenticarsi e autorizzare operazioni, si dovrà fare tutto attraverso lo smartphone. Le operazioni a o le transazioni a distanza in Europa non potranno più essere autorizzate solo inserendo un numero di carta di credito (nemmeno se accompagnato dal codice di verifica CVV riportato sul retro), oppure riportando il codice generato dai token.  Inoltre se prima si poteva compiere un numero indefinito di operazioni di pagamento con la medesima password ora con la nuova normativa, per  ogni bonifico è richiesto un nuovo codice usa e getta. Tale codice è collegato a una singola e unica operazione di pagamento che avviene nei confronti di un solo e unico beneficiario. Con le nuove regole il codice “restituito” al cliente è valido solo e soltanto per quella operazione.

Sul mandare in soffitta il token ogni banca si è adeguata. Tendenzialmente i vari istituti di credito hanno  scelto di sostituire il vecchio token fisico con i nuovi codici generati direttamente dal proprio smartphone tramite app o inviati via sms. In altri la chiavetta rimane ma da usarsi in combinazione con altri requisiti di sicurezza. Ad esempio Deutsche Bank consentirà ai propri clienti di scegliere tra uno virtuale, gratis, e uno fisico col tastierino, a pagamento. O ancora Intesa Sanpaolo prevede che l’invio del codice via sms sia a pagamento.

Tra i correntisti la notizia non è stata accolta con grande entusiasmo con molti commenti negativi circa la complicazione delle procedure e l’essere obbligati ad avere a portata di mano lo smartphone. “E quando lo smartphone è fuori uso vi attaccate! O vi sorbire le lunghe attese della banca telefonica! Iniziativa insensata”, uno dei tanti commenti dei lettori di FinanzaOnline.

Open banking: cosa significa

Altra importante novità concerne l’open banking. Con la PSD2,  le banche saranno obbligate a condividere con terze parti – Pisp (Payment Initiation Service Providers), Aisp (Account Information Service Provider) e Cisp (Card Issuer Service Providers) – tutte le informazioni che hanno sui propri correntisti sempre che questi ultimi li autorizzino. Tutti questi dati  verranno condivisi, seppur previo consenso, con tutte le realtà che si interfacceranno con il conto di pagamento online, Google, Apple, Facebook e Amazon compresi. Il fine ultimo di questa sorta di “liberalizzazione bancaria” è quello di rendere tutte le operazioni di pagamento online veloci e sicure.

Niente obbligo, correntista può comunque scegliere

Federconsumatori ricorca che non vi è alcun obbligo da parte del correntista, sarà una sua libera scelta se autorizzare o meno tale trattamento dei propri dati.

Nel dettaglio, si potrà autorizzare la condivisione dei propri dati bancari con:

– Pisp (Payment Initiation Service Providers), ovvero società intermediarie che hanno lo scopo di versare denaro a un terzo soggetto. Attraverso tali società si potrà ad esempio effettuare pagamenti su siti di ecommerce senza che sia necessario inserire i dati della propria carta, ma accedendo direttamente al conto. Per fare ciò, i Pisp dovranno in ogni caso adottare procedure di autenticazione ed informare adeguatamente il cliente sulle operazioni effettuate.

– Aisp (Account Information Service Provider), servizi che effettuano un monitoraggio dei nostri conti correnti e delle nostre carte, restituendoci un quadro complessivo della gestione delle nostre finanze. Inoltre tali servizi possono fornire consigli sugli investimenti o proporre strumenti finalizzati al risparmio. In merito a questa opportunità in particolare ci sentiamo di sconsigliare i cittadini dall’effettuare investimenti “frettolosi” e avventati, ma di documentarsi bene prima di sottoscrivere qualsiasi tipo di operazione finanziaria.

– Cisp (Card Issuer Service Providers), soggetti che emettono carte di pagamento collegate al conto corrente. Tali soggetti hanno un canale privilegiato per accedere al denaro del cliente.