Oristano 5 ottobre 2019
Cari amici,
Di recente (a far data dal 14
settembre) la gestione dei pagamenti bancari digitali è stata rivoluzionata del tutto. La
famosa (e anche fastidiosa) chiavetta "token” è stata mandata in pensione,
sostituita da un sistema di codici che, via smartphone, garantiscono un immediato
riscontro tra banca e cliente in ogni operazione. È entrata dunque nel vivo la Direttiva
europea per i pagamenti elettronici nota come PSD2 (Payment Services
Directive 2) che disciplina i pagamenti digitali garantendo una maggiore
sicurezza e trasparenza dei movimenti.
Dal 14 settembre, dunque,
per entrare e operare nella banca online, autenticarsi e autorizzare le operazioni,
si dovrà utilizzare solo lo smartphone. Le banche già da qualche tempo hanno
iniziato a richiamare i token fisici, che ormai sono diventati “rifiuti
elettronici speciali” e come tali andranno smaltiti. Ogni istituto, comunque,
segue un proprio calendario. La Direttiva è stata emanata per cercare di far
fronte all'aumento in crescendo dei rischi e delle truffe per i consumatori; la
nuova normativa pertanto ha introdotto due nuovi sistemi di autenticazione semplici
e sicuri: 3DS 2.0 e SCA (Strong Customer Authentication,
ovvero Autenticazione forte).
Il nuovo sistema
sostitutivo del token utilizza per l’autenticazione e l'autorizzazione ad
eseguire l’operazione, almeno 2 elementi di autentica a scelta fra 3
diverse opzioni: un oggetto che possiede solo il cliente (come ad esempio lo
smartphone), una caratteristica che possiede solo il cliente (come l'impronta
digitale o un altro fattore biometrico) o un'informazione nota solo al cliente
(come una password). Addio dunque alle transazioni a distanza inserendo solo il
numero della carta di credito e codici del token. Le banche, se non verranno
rispettate queste caratteristiche potranno rifiutare le operazioni.
Altro importante motivo
che ha mandato in pensione il "Token" è la mancanza di un requisito fondamentale:
la tracciabilità del denaro. Ora, con i nuovi sistemi di PSD2 si avrà un nuovo
concetto di banca digitale. Dal 14 settembre per accedere e operare sul portale
della propria banca online, autenticarsi e autorizzare operazioni può avvenire
solo attraverso lo smartphone.
In questo modo le
transazioni non potranno più essere autorizzate solo inserendo un numero di
carta di credito (nemmeno se accompagnato dal codice di verifica CVV riportato
sul retro), oppure riportando il codice generato dai token che negli ultimi
anni le banche hanno distribuito ai clienti per aumentare la sicurezza delle
transazioni. Nemmeno con i “numeri segreti” contenuti nelle “carte-codice”
adottate da altre banche. Gli istituti bancari europei avranno l’obbligo di
rifiutare le richieste di transazione non autorizzate secondo lo standard SCA.
Come detto prima le
banche si sono organizzate per il cambiamento ognuna in modo autonomo. Ogni
banca ha predisposto delle scadenze in relazione alle proprie esigenze. Intesa
San Paolo, per esempio, ha già detto addio alla chiavetta Token dall’estate
scorsa e lo stesso è accaduto con Unicredit che ha reso disponibile una nuova
modalità di accesso e di validazione delle operazioni dispositive tramite
strumenti che generano password "usa e getta". Banca Sella sfrutta le
funzionalità biometriche dei nuovi smartphone come il Touch ID o il Face ID per
accedere al proprio conto online e stessa cosa è avvenuta con i clienti della
Banca Monte dei Paschi di Siena. Anche Banca Medionalum si è mossa aggiungendo
oltre al codice cliente e al primo codice segreto, un ulteriore codice OTP che
il correntista riceve via SMS.
Il fatto davvero nuovo è
che, ormai, è nato un “NUOVO MODELLO DI OPEN BANKING”. All’interno di questo,
una novità davvero importante è la creazione di un sistema bancario aperto,
ovvero la possibilità da parte di Terze Parti autorizzate di avere accesso ai
dati bancari degli utenti. In altre parole, i titolari di un conto online
possono effettuare pagamenti o accedere alle proprie informazioni private
attraverso servizi autorizzati non bancari. Per poter utilizzare i servizi
prestati dai nuovi player, i cosiddetti Third Party Providers (TPP), è
l'utente stesso a doverne autorizzare l'accesso.
Il segnale di
autorizzazione è trasmesso alla Banca del cliente mediante meccanismi
rinforzati di sicurezza. Infatti, l'European Banking Authority (EBA) ha
reso obbligatoria la redazione di un registro elettronico pubblico nel quale
verranno elencati tutti i TPP autorizzati ad operare servizi di pagamento in UE
in ambito Psd2. In questo modo ogni consumatore potrà verificare se il Player
Finanziario da autorizzare è presente nel registro. I clienti trarranno
importanti benefici da questa riforma: gestire le proprie finanze e avviare
pagamenti richiederà infatti un dispendio di tempo inferiore.
Cari amici, la guerra
a “guardie e ladri” esisteva, esiste ed esisterà sempre. Certo, innovazioni
di sicurezza ce ne saranno sempre di più, ma la furbizia dei ladri si rinnova sempre,
e, a un sistema di sicurezza nuovo si contraporrà sempre un ladro sempre più
tecnologico.
La guerra non finirà mai...
A domani, amici.
A domani, amici.
Mario
Nessun commento:
Posta un commento