Dal 14 settembre entrerà in vigore una novità prevista dalla direttiva europea PSD2: le banche dovranno condividere con terze parti tutte le informazioni che hanno sui propri correntisti. Un’operazione che avverrà solo se il cliente autorizzerà il proprio istituto di credito a farlo: sarà una sua libera scelta. Queste “terze parti” sono Pisp, Aisp e Cisp. Ma di cosa si tratta di preciso?
Le terze parti. I Pisp (Payment Initiation Service Providers) sono società intermediarie tra il pagatore (consumatori o aziende) e la propria banca che hanno lo scopo di versare denaro a un terzo soggetto. Grazie ai Pisp sarà possibile effettuare un pagamento su un sito di ecommerce (impossibile non pensare ad Amazon) senza inserire i dati della propria carta di credito o bancomat, perché sarà il venditore ad accedere direttamente al nostro conto (previa una nostra prima autorizzazione, che in seguito verrà ricordata) e prelevare. Per accedere al conto del cliente i Pisp devono comunque usare procedure di autenticazione e devono mettere a disposizione del cliente tutte le informazioni relative a quell’operazione.
Gli Aisp. Acronimo di Account Information Service Provider, gli Aisp sono servizi che “spiano” (sempre dietro consenso) i nostri conti correnti e le nostre carte, analizzano e aggregano questi dati per fornirci un quadro complessivo delle nostre finanze in un’unica schermata. Ciò che non possono fare è operare sul conto corrente o detenere i soldi del cliente;
I Cisp. I Card Issuer Service Providers sono soggetti che emettono carte di pagamento. Rispetto a delle prepagate (che il cliente può ricaricare di volta in volta prelevando denaro dal proprio conto corrente), queste sono direttamente collegate al conto corrente, anche se è stato aperto in una banca differente. I Cisp forniscono la carta ma non detengono il denaro del cliente, hanno però un canale privilegiato per accedervi.
Gli strumenti di sicurezza per pagare online. La direttiva rafforza le misure a tutela dei risparmiatori, per prevenire frodi e furti di identità. La sicurezza dei clienti, secondo il testo, si basa su tre principi: conoscenza, ovvero cioè una password o un codice pin che conosce solo l’utente; possesso, cioè uno strumento che possiede solo l’utente (uno smartphone o un token) e inerenza (qualcosa che l’utente è, ad esempio un’impronta digitale o il riconoscimento facciale). Le procedure di autenticazione delle banche devono rispettare almeno due di questi principi. Ad esempio: una password generata su smartphone, un pin generato da un token o un’impronta digitale impressa sul telefonino. Questi nuovi standard hanno portato diverse banche italiane a mettere in soffitta il vecchio token.
La proroga. Le nuove procedure sarebbero dovute entrare in vigore il 14 settembre, ma Banca d’Italia ha reso conto che “in considerazione della complessità degli adeguamenti” e per “ridurre fortemente i rischi di disservizi nei pagamenti online con carta”, ha ritenuto opportuno concedere una proroga per un periodo limitato agli operatori che ne facciano richiesta e a patto che spieghino, nel dettaglio, in che modo intendono procedere. Quanto alla durata della proroga, Banca d’Italia precisa che questo verrà definito dall’Eba (l’autorità bancaria europea) che nello scorso giugno aveva autorizzato le banche centrali nazionali a concedere più tempo in casi limitati.
E i token? Il problema è che producono un codice (l’Otp, one time password) che pura pochi secondi ma non esclude la possibilità che un truffatore informatico possa utilizzarlo per compiere una seconda operazione-lampo, drenando soldi dal conto del cliente. Con le nuove regole, invece, il codice “restituito” al cliente è valido solo e soltanto per quella operazione. Anche se le banche dovranno togliere di mezzo gli attuali token, non è detto che questi strumenti scompariranno del tutto: alcuni istituti di credito li sostituiranno con alcuni di nuova generazione (ad esempio Deutsche Bank consentirà ai propri clienti di scegliere tra uno virtuale, gratis, e uno fisico col tastierino, a pagamento). Ma ad oggi il problema per alcuni consumatori è che le banche, costrette dalla nuova direttiva, punteranno tutto sulle app per smartphone (come in effetti sta accadendo) discriminando chi possiede un telefono di vecchia generazione. In realtà, diverse banche, come Intesa Sanpaolo, prevedono, proprio per casi simili, l’invio del codice via sms, spesso a pagamento.
“Per la mia esperienza, non ho mai avuto notizia di utenti che siano stati truffati o abbiano subito furti di identità usando gli attuali token. – dichiara Giuseppe Mermati, referente del settore bancario per l’Unione Nazionale Consumatori – Le nuove misure di sicurezza servono piuttosto ad armonizzare le procedure di pagamento a livello europeo, ma non è vero che fino ad ora pagavamo in modo poco sicuro.”
“Dal 14 settembre sarà ancora più importante prestare la massima attenzione ai consensi che forniamo alla nostra banca. – spiega Carlo Piarulli, responsabile del settore credito per Adiconsum – Perché è vero che i nuovi servizi potrebbero essere utili a molti consumatori, ma è anche vero che si tratta di condividere informazioni preziose, e questo non può essere fatto a cuor leggero”.