Diverse le normative che nel 2018 avranno impatti sulle aziende e richiederanno ripensamenti sulle infrastrutture IT oltre ad un ridisegno di processi e organizzazione.
NIS e GDPR hanno riempito gli spazi di pagine e convegni sottolineando scadenze, sanzioni e concetti da applicare in azienda per la buona implementazione nel rispetto delle scadenze. Il 2018 sarà anche l’anno in cui PSD2 (Revised Payment Service Directive) cambierà le regole del gioco per le banche, questa direttiva UE rompe il monopolio che oggi le banche detengono sui servizi di pagamento, aprendo alla concorrenza di aziende interessate e di fatto lasciando ai clienti la possibilità di decidere quando e se consentire l’accesso al proprio conto a terze secondo un modello di banca aperta. Il cliente, in questo nuovo scenario, potrà decidere in completa autonomia quale piattaforma utilizzare per gestire i propri fondi ed erogare pagamenti. Di sicuro, i criteri che guideranno la scelta, saranno innovazione e customer experience. In questo contesto normativo il mercato nel settore finanziario è piuttosto in fermento mosso da una schiera di startup fortemente focalizzate sull’innovazione tecnologica che offrono servizi in numerosi ambiti, tra i quali il crowdfunding, i prestiti peer-to-peer oltre a servizi basati sulle crypto valute. Ovviamente a questa offerta proveniente dal mondo start up si vanno ad aggiungere i servizi provenienti dalle grandi multinazionali quali Amazon, Apple, Google e Facebook per esempio.
I nuovi player entrano in campo grazie a questa direttiva che obbligherà a facilitare l’accesso ai conti dei clienti alle applicazioni di terza parte, ovviamente previo il consenso dei correntisti, e quando parliamo di applicazioni stiamo parlando in modo significativo di App. Significa che le banche dovranno permettere un accesso sicuro ai conti dei loro clienti implementando delle API (Application Programming Interface). Sempre più evidente ormai che l’approccio che gli utenti hanno con le banche passa dall’utilizzo degli smartphone dove velocità, semplicità e user experience sono sfidanti.
Due nuovi soggetti nel mercato PISP e AISP
Da questa direttiva si evince che nuovi soggetti entreranno nel mercato dei servizi di pagamento, tra i quali PISP e AISP. Gli acronimi stanno per: Payment Initiatiation Service Provider (PISP) e Account Information Services Provider (AISP). Questi nuovi soggetti, se saranno autorizzati dal cliente, potranno avere accesso e operare sul conto corrente. Questo permetterà, attraverso interfacce di accesso (API) che le Banche dovranno rendere disponibili, lo sviluppo di nuovi servizi; servizi che saranno maggiormente integrati e armonizzati con gli altri attori del nuovo ecosistema. Nell’attuale scenario se un utente on-line decide di acquistare un servizio da Apple completerà la sua transazione utilizzando una carta di credito. Apple (merchant nella terminologia PSD) si servirà di un acquirer (istituzione finanziaria che gestisce pagamenti da determinate marche di carte di credito e di debito). L’aquirer contatterà, infine, il circuito della carta di credito del cliente addebitando sul suo conto corrente (FIG. 1)
Facciamo un salto in avanti e rivediamo lo scenario sopra descritto alla luce della PSD2. Il nostro cliente sta nuovamente facendo acquisti da Apple, ma, invece di inserire i propri dati di carta di credito, gli viene chiesto se si accetta l’addebito sul conto. Laddove il premesso venga concesso sarà data a Apple l’autorizzazione ad eseguire il pagamento, per nostro conto, tramite il conto corrente ( FIG. 2).
La direttiva, quindi, consente a una azienda di gestire la fase di avvio del pagamento, Payment Initiatiation Service Provider (PISP) che in questo esempio è Apple. Pertanto il PISP è un prestatore di servizi di pagamento che si pone come intermediario tra il cliente e il suo conto fornendo l’impulso al pagamento. Tecnicamente il PISP si inserisce nel processo di pagamento nelle transazioni online e non può in alcun modo accedere ai fondi depositati sul conto. Il cliente in questo scenario dà, pertanto, vita a una transazione on line connessa direttamente al proprio conto corrente addebitandolo lui stesso tramite le prestazioni offerte dal PISP. Nella PSD2 è poi previsto un’altra tipologia di servizi rappresentata dagli AISP, con questi servizi il cliente può aggregare informazioni derivanti da più conti rendendole disponibili attraverso un’unica interfaccia. Gli AISP potranno quindi collegarsi ai conti e recuperare le informazioni necessarie per offrire ai clienti, ad esempio, una visione d’insieme della loro situazione finanziaria, una puntuale analisi delle loro abitudini di spesa il tutto in modo facile e interattivo. Questi servizi saranno utili anche per fornire servizi come il monitoraggio degli investimenti o per supportare la pianificazione finanziaria. Giuridicamente gli AISP possono agire solamente dietro a uno specifico consenso del cliente, autenticarsi con il PSP comunicando con tutti i soggetti coinvolti nella transazione, accedere solamente ai conti autorizzati e coinvolti nella transazione, non possono in alcun modo fare accessi per finalità diverse da quelle previste dal servizio. Nodale è chiaramente il tema della sicurezza e l’esigenza di armonizzare per tutte le Banche criteri di Strong Customer Authentication.
PSD2 Strong Customer Authentication (SCA)
Nel contesto della PSD2 tutti I fornitori di servizi di pagamento (PISP) sono tenuti ad adottare strumenti di autenticazione forte (SCA) ogni volta che si avvia una transazione di pagamento elettronica. I costi di progettazione e implementazione dell’infrastruttura, nonché della verifica dell’efficacia delle misure SCA ricadono sugli Account Servicing Payment Service Providers (ASPSP), ovvero le banche. Mentre per quanto concerne PISP e AISP dovranno garantire che l’SCA sia correttamente applicata, ovvero faranno affidamento sulla procedura di autenticazione fornita dagli ASPSP. Nella procedura SCA, una combinazione valida degli elementi di autenticazione genererà un codice di autenticazione sul PSP del pagatore, specifico per l’importo e il beneficiario convenuto dal pagatore all’avvio della transazione. Questa procedura viene definita “dynamic linking”. Questo meccanismo di sicurezza applicato alle operazioni serve a proteggere da attacchi man in the browser e man in the middle. Sono esenti dai meccanismi di SCA i terminali per il pagamento di parcheggi o pedaggi, questo per non creare inutili disagi o code, inoltre cadono nella stessa regola i pagamenti da remoto sino a 30 Euro. Da notare che la norma introduce una deroga sulla SCA sulla basa del livello di rischio del pagamento sino a 500 euro. L’esenzione pertanto può essere applicata qualora il fornitore di servizi presenti un tasso di frode complessivo inferiore al tasso di frode complessivo indicato nella norma. Questo introduce delle semplificazioni che non possono che giovare al business e alla competizione se saranno introdotti strumenti tecnologici innovativi che garantiscano nelle transazioni on-line tassi di frode compatibili con quanto richiesto nelle diverse applicazioni. Altra considerazione è la decisione dell’EBA di utilizzare certificati eIDAS per l’autenticazione di ASPSP, AISP e PISP. Decisione sicuramente audace perché ancora non è chiaro se saranno presenti anche autorità di certificazione eIDAS in tempo per la data di attuazione dell’ottobre 2018.
Distributed Ledger e Blockchain
La Distributed Ledger Transaction (DLT) propone un nuovo paradigma che potrebbe rivoluzionare fortemente il sistema economico sulla base dei concetti di transazione e fiducia. In generale i processi bancari e finanziari richiedono processi approvativi nei quali è necessario ottenere elevati livelli di garanzia; in tale contesto DLT e Blockchain possono esser un campo di sperimentazione alternativo alle logiche tradizionali. Le tecnologie Blockchain possono gestire i processi autorizzativi tramite infrastrutture nelle quali alle chiavi pubbliche vengono associati asset con relativa chiave privata che valida la transazione. Un processo che è simile a quello della firma digitale ma senza l’obbligo di avere una Certification Authority (CA) accreditata. Basandosi su questi concetti è chiaro come questa tecnologia elimini di fatto i single point of failure e aumenti la sicurezza; tematiche che oggi minacciano i sistemi di pagamento. In questo si rendono anche le transazioni trasparenti e controllabili senza che vi sia una autorità centrale. Scenario sul quale anche la Banca Mondiale si è espressa dicendo che l’eliminazione di questi costi potrebbe portare a notevoli risparmi.
Conclusioni
Uno dei punti qualificanti di questa direttiva è quello di avere consentito l’ingresso di nuovi soggetti all’interno della catena del valore dei pagamenti elettronici, cosa che determinerà una maggiore pressione competitiva all’interno del mercato e sicuramente un reale vantaggio per il consumatore e per le banche che sapranno cogliere gli aspetti innovativi allargando il loro portafogli di servizi e rivedendo i modelli tradizionali.
