La direttiva PSD2

Cos’è e a cosa serve

La Direttiva UE 2015/2366 (Payment Services Directive 2, meglio nota come PSD2)  ha l’obiettivo di realizzare un sistema dei pagamenti interno all’Unione Europea integrato, competitivo, tecnologicamente evoluto e più sicuro. Dal 14 settembre 2019 è diventato obbligatorio il rispetto degli standard tecnici che regolamentano la sicurezza delle transazioni online e l’accesso alle informazioni disponibili sul sito e che garantiscono la protezione delle credenziali e dei dati dei soggetti che utilizzano servizi di pagamento.

 

Il rafforzamento dei livelli di sicurezza

La Cassa, al pari delle altre banche, ha l’obbligo di garantire, nell’ambito dell’erogazione dei propri servizi, l’autenticazione forte dei clienti (cosiddetta Strong Customer Authentication – SCA), che può avvenire solo con l’uso combinato di almeno due di questi tre fattori:

  • Possesso (qualcosa che solo l’utente possiede, ad esempio password o PIN)
  • Conoscenza (qualcosa che solo l’utente conosce come un dispositivo generatore di One Time Password o OTP, da utilizzare una sola volta)
  • Inerenza (qualcosa che caratterizza univocamente l’utente, ad esempio l’impronta digitale)

Per ogni accesso online a dati concernenti i conti di pagamento (ad esempio visualizzazione del saldo o delle transazioni) il cliente deve essere autenticato in maniera forte; per l’autorizzazione delle transazioni di pagamento online deve essere utilizzato un codice “dinamico” associato univocamente alla specifica operazione che il cliente sta autorizzando e generato tenendo conto del beneficiario e dell’importo della transazione (cosiddetto Dynamic link). Anche grazie allo schema di autenticazione forte è assicurata la comunicazione sicura nei confronti di prestatori di servizio d’informazioni sui conti e prestatori di servizi di disposizioni di pagamento (cosiddetta Open banking)..

 

Cosa è cambiato

Ogni cliente della CSR ha ricevuto una comunicazione sulle nuove modalità di accesso e di disposizione, con le quali è garantita una maggiore sicurezza.

Per accedere al conto non è più sufficiente utilizzare il codice utente e la password ma deve anche essere inserita una One Time Password  (OTP) che garantisce i fattori di autenticazione previsti dalla Direttiva PSD2.

Dopo l’accesso, per effettuare le disposizioni deve essere utilizzato un ulteriore elemento di sicurezza che ha un collegamento dinamico con la transazione che si sta autorizzando.

Per fare tutto ciò il vecchio token non può più essere utilizzato. Il nuovo schema di autenticazione è “collegato” all’App mobile CSR per smartphone. La CSR ha scelto come predefinito lo schema di  autenticazione collegato all’App perché è più semplice, intuitivo e consente di effettuare le operazioni in modo più veloce e pratico, disponendo del solo smartphone. A differenza di altri intermediari, la CSR offre alla sua clientela anche la possibilità di optare per il sistema di autenticazione secure call, che gestisce l’autenticazione attraverso chiamate telefoniche ad un numero dedicato.

 

Open banking

La CSR è “open” per i servizi online (informazioni sui rapporti di conto e servizi di pagamento): la Direttiva PSD2 prevede infatti che nuovi operatori - cosiddetti Terze parti (Third Party Providers – TPP) - possano prestare servizi dispositivi di pagamento e servizi informativi. Il presupposto per l’accesso delle Terze parti è il consenso dei correntisti interessati. Le Terze parti sono soggetti diversi dal prestatore di servizio di pagamento dove è radicato il conto e si distinguono in due tipologie diverse a seconda del servizio offerto:

  • PISP (payment initiation service provider) – soggetti che si frappongono tra il pagatore e il suo conto corrente on line e avviano il pagamento mediante la predisposizione di un bonifico
  • AISP (account information service provider) – soggetti attraverso i quali il correntista può ottenere informativa completa su tutti i suoi conti anche intrattenuti presso più banche.