La data del 13 gennaio 2018 è ben evidenziata sul calendario di chiunque interagisca, più o meno direttamente, con il mondo bancario. Poco più di un mese ci separa dall’entrata in vigore della direttiva 2015/2366/UE anche nota come PSD2. Le maggiori innovazioni introdotte da tale normativa sono ben note: da una parte vi è l’introduzione di nuovi soggetti all’interno del mercato, dall’altra troviamo l’introduzione di nuovi strumenti di autenticazione per l’accesso ai sistemi di pagamento elettronici.
Per quanto riguarda l’innovazione che verrà introdotta in risposta ai nuovi parametri di sicurezza per l’avvio di una transazione elettronica, molte aziende hanno già iniziato ad adottare numerose soluzioni ben collaudate e che rispondono pienamente ai vincoli introdotti dalla PSD2. Inoltre, il crescente numero di sistemi di sicurezza intrinsecamente previsto nei nuovi smartphone, tablet e computer ben si coniuga con i vincoli che a breve saranno introdotti.
È infatti l’introduzione dei nuovi soggetti nel mercato, AISP (Account Information Service Provider) e PISP (Payment Initiation Service Provider), a destare maggior preoccupazione in chi è responsabile dell’adeguamento dei servizi bancari nei termini richiesti dalla nuova normativa.
Il compito principale dell’AISP è quello di “collettore di informazioni” provenienti da fonti differenti al fine di elaborare e mostrare un report dettagliato dei dati ottenuti dalle diverse fonti.
Dal punto di vista del cliente, un esempio di servizio offerto dall’AISP, potrebbe essere la presentazione di un report statistico circa l’utilizzo di tutti i suoi conti, non necessariamente ospitati dalla stessa banca.
Il PISP, invece, occupa la posizione di canale di comunicazione tra il cliente e la banca, erogando un servizio di interfacciamento necessario a dare l’input alla transazione da eseguire.
In entrambi i casi, sia quello di acquisizione delle informazioni da parte dell’AISP, che quello di avvio della transazione mediante PISP, emerge la necessità di rendere accessibili, a servizi forniti da terze parti, i dati che fino ad oggi sono stati custoditi, gestiti ed aggiornati solo ed unicamente dalla banca proprietaria.
Possiamo dunque affermare che la nuova direttiva causerà necessariamente un’evoluzione dell’attuale sistema bancario trovando un nuovo equilibrio in cui le banche perderanno il ruolo centrale ed autoritario attualmente ricoperto. Allo stesso tempo nasceranno numerosi servizi, gestiti da terze parti, a cui ogni cliente potrà affidare il ruolo di tramite o gestore delle proprie informazioni bancarie.
Questo nuovo futuro equilibrio non si differenzia dall’attuale scenario solo per la presenza di nuovi soggetti del mercato ma comporta un riassetto dell’attuale aspetto organizzativo oltre che infrastrutturale.
Se da una parte l’avvento dell’introduzione della PSD2 sembra rappresentare un serio problema di business dovuto alla perdita del legame diretto tra istituto bancario e cliente, dall’altra può rappresentare l’occasione per un nuovo design della catena di servizi coinvolti nei pagamenti.
Tale occasione consiste nella possibilità di importare nuove tecnologie e nuovi strumenti proponendo un’acquisizione di conoscenze da altri settori, non necessariamente affini a quello bancario, al fine di costituire le fondamenta del nuovo quadro di riferimento.
Lo scopo di questo articolo vuole essere quello di descrivere tali tecnologie affrontando tematiche la cui validità scientifica è indiscussa e che allo stesso tempo rappresentano temi caldi ampiamente dibattuti.
La prima proposta consiste nell’introduzione della distributed ledger technology come strumento di archiviazione delle transazioni bancarie. Progetti come BitCoin, Ripple ed Ethereum, sono solo alcuni esempi di progetti circa l’applicazione di distributed ledger in ambito economico- finanziario. Le proprietà di replicazione e preservazione dell’integrità dei dati rappresentano i due grandi vantaggi introdotti da tale sistema rispetto alle attuali implementazioni di registrazione delle transazioni bancarie.
Il secondo suggerimento nella ridefinizione del framework, supportato da numerose pubblicazioni, va di pari passo con l’adozione dello standard open banking. Lo sviluppo di open API per la fruizione di servizi erogati dalle banche ben si sposa con l’introduzione dei nuovi attori inseriti e definiti dalla PSD2 come erogatori di servizi per il cliente.
L’ultimo aspetto innovativo proposto riguarda l’utilizzo di tecniche crittografiche che stanno prendendo sempre più piede nell’ambito del cloud computing. Tali strumenti assumono fondamentale importanza nel momento in cui, come richiesto dalla PSD2, servizi gestiti da terze parti richiedono l’accesso parziale a documenti e dati di proprietà di altri attori al fine di analizzarli senza necessariamente disporre di un accesso completo.
La Blockchain Technology
La Blockchain Technology è una delle strade fortemente battute al fine di integrare nuove caratteristiche di sicurezza nel sistema di salvataggio delle transazioni.
Una Blockchain rappresenta una struttura dati composta da blocchi concatenati nel rispetto di vincoli di integrità delle informazioni contenute in essa. Ciò significa che se si intende corrompere un dato registrato in un blocco, l’intera struttura risulterebbe compromessa evidenziando il tentativo di corruzione. Per definizione, la Blockchain consiste in una serie di copie di tale struttura che viene condivisa, replicata e sincronizzata da entità distribuite geograficamente sul territorio.
Il processo di aggiornamento dei dati all’interno di questo tipo di struttura è descritto dai seguenti passaggi semplificati. Nel momento in cui viene eseguita una nuova transazione essa viene registrata in un blocco di informazioni che sarà inviato a tutti i nodi della rete per essere validato, cioè per effettuale un controllo circa la bontà delle informazioni aggiunte. Raggiunto il consenso tra i nodi della rete in merito all’integrità dei dati, tale informazione viene aggiunta da ogni nodo alla propria copia locale delle Blockchain mantenendo aggiornato ed allineato lo stato della propria copia rispetto agli altri nodi.
Tra le tematiche che vanno affrontate per poter adottare tale tecnologia è necessario far luce su chi detiene l’autorità sulla gestione dei dati e su chi può utilizzarli. Nella sua concezione iniziale la Blockchain nasce come una struttura decentralizzata che non necessita di una Certification Authority definita. Risulta quindi evidente che, come precedentemente anticipato, l’utilizzo di questa tecnologia non propone solo una riprogettazione infrastrutturale ma comporterebbe anche una revisione gestionale ed organizzativa dell’attuale mercato.
Molti sono gli studi che cercano di trovare il modo di adattare questo strumento nel contesto della PSD2, cercando di risolvere problemi come la diminuzione dei tempi di accesso ai dati, l’utilizzo di tecniche crittografiche per la salvaguardia dei dati e l’individuazione dei possessori delle chiavi di accesso alle informazioni custodite nei blocchi.
Crittografia Omomorfica
La natura di intermediatore di PISP ed AISP porta come diretta conseguenza la necessità di definire come i Third Party Providers (TPPs) possano consultare e gestire nella maniera più sicura possibile i dati custoditi dagli istituti bancari. Un utile strumento matematico, la crittografia omomorfica, lavora in tal senso permettendo uno scambio di informazioni tra client e server basato su una comunicazione sicura. Più precisamente la crittografia omomorfica può essere vista come una scatola capace di elaborare dati crittografati sconosciuti di e fornire il risultato esatto di operazioni eseguite sui dati, nonostante non si abbia una chiara visione dei dati originali. Attualmente lo studio di tale tecnologia è di forte interesse nell’ambito del Cloud Computing ma suggerisce una via concretamente percorribile per rispondere alle problematiche di accesso ai dati di una possibile richiesta effettuata ad un AISP. Attraverso l’applicazione di algoritmi basati sulla crittografia omomorfica l’AISP potrebbe essere in grado di calcolare il saldo totale di più conti bancari senza conoscere il dato non crittografato dei saldi di ciascun conto.
OpenAPI e Web Services
La prima richiesta della PSD2 alle banche è quella di poter permettere ai nuovi TPPs di accedere ai dati custoditi dagli istituti bancari al fine di erogare i propri servizi.
In realtà l’Open Banking da anni sta remando in questa direzione, proponendo l’istituzione di servizi web al fine di promuovere l’interazione tra le banche.
La più classica struttura di un servizio web prevede la realizzazione di un servizio locale residente sui server di un’istituzione al quale è possibile interfacciarsi attraverso l’utilizzo di una interfaccia rappresentata dalle open APIs. Da una parte, chi eroga il servizio mostra pubblicamente un elenco di strumenti utilizzabili, diffondendo con il grado di sicurezza desiderato l’accesso a tali prodotti. Dall’altra parte, chi usufruisce di tali servizi ottiene l’accesso, secondo quanto deciso dalla policy dell’erogatore, e le informazioni circa l’utilizzo degli strumenti messi a disposizione tramite il servizio web. Allo stesso tempo ogni dettaglio implementativo ed ogni informazione parziale necessari per l’erogazione del servizio restano invisibili al richiedente.
Conclusioni
Gli argomenti trattati nascono in concomitanza di uno studio che mira alla ricerca di percorsi percorribili e scientificamente sostenuti le cui caratteristiche suggeriscono una sorta di complementarietà con le tematiche legate all’introduzione dei TTPs previsti dalla PSD2.
Luca Faramondi, Francesco Leccese, Francesco Peverini
