psd2

PSD2, nuove regole: ecco cosa cambia

Una vecchia conoscenza

La Payment Service Directive 2 – o PSD2 -, in vigore da gennaio 2018, promette di rendere decisamente più sicure tutte le forme di pagamento online. Grazie a quella che viene definita autenticazione forte del cliente, o Strong Customer Autentication – SCA -, in vigore dal 14 settembre, gli utenti avranno a disposizione quella che viene definita two factor authentication, ossia un secondo step da eseguire per conseguire l’accesso – che sia riconoscimento facciale, impronte digitali o altro – a tutti i nostri conti o dati sensibili. Grazie alla PSD2, i consumatori potranno scegliere diverse alternative tra i sistemi di pagamento elettronici al momento esistenti, delegando alcune “figure terze” che potranno accedere ai database delle banche e ai nostri dati – previo consenso -.

Gli attori sul palco

Non solo banche, quindi, ma anche fornitori di servizi terzi – e qui entrano anche in gioco i giganti del web e le big tech -. A riguardo, la normativa prevede l’arrivo di due nuove figure: PISP – Payment Initiation Service Providers – e AISP – Account Information Service Providers -. I nuovi fornitori di servizi entreranno in contatto con i dati dell’azienda e con quelli dei clienti, cosa che da una parte aprirà sicuramente nuovi contenziosi con il Regolamento europeo per la tutela dei dati personali – GDPR – e nuove criticità per la data protection. Ma dall’altra, a detta degli esperti, favorirà lo sviluppo di numerose piattaforme big data.

I PISP

Facciamo un po’ di chiarezza riguardo queste nuove figure che verranno a breve introdotte. I Payment Initiation Service Provider si frappongono tra il pagatore e il fornitore di servizi di pagamento presso cui è radicato il conto – account servicing payment service providers, ASPSP – avviando il pagamento in favore di un terzo beneficiario, senza mai entrare in possesso dei fondi del pagatore. Il pagatore può quindi disporre un pagamento online con addebito diretto sul proprio conto corrente, senza rivolgersi alla propria banca – che è l’ASPSP -, ma attraverso un PISP al quale la banca deve garantire l’accesso al conto del pagatore. Tocca precisare che, però, le prestazioni di questi intermediari non sono subordinate ad alcun rapporto contrattuale con l’ASPSP.

Gli AISP

Gli Account Information Service Providers, invece, hanno funzione differente. Essi hanno il compito di fornire agli utenti che detengono più conti di pagamento presso diversi prestatori di servizi di pagamento, un’informativa completa e consolidata su tutti i conti, attraverso una piattaforma online. Questi intermediari possono operare – naturalmente – solo dopo previa disposizione dell’utente, e non possono in alcun modo usare, accedere o conservare dati per fini diversi da quelli previsti della prestazione del servizio. Gli AISP possono essere banche, IP o società IMEL, allargando dunque la piattaforma a singole aziende, oltre che alle classiche banche. Anche qui, le prestazioni di tali servizi non sono subordinate da contratti di alcun tipo con l’ASPSP.

Il day zero

È il 14 settembre infatti il giorno zero per l’applicazione della normativa in Italia, che andrà a impattare tutte le aziende e le organizzazioni attive nel mondo finanziario e dei sistemi di pagamento – banche ovviamente, ma anche uffici postali, fintech, telco, assicurazioni -, che dovranno confrontarsi e adeguarsi con i nuovi Regulatory Technical StandardsRTS -. A partire da questa data, quindi, tutte le transazioni online dovranno essere autenticate tramite una password temporanea monouso, un codice numerico denominato OTPOne Time Password -. I vantaggi principali saranno per il mercato ecommerce, poiché la nuova direttiva sui pagamenti fornirà ai consumatori funzionalità bancarie relative al payment più flessibili e trasparenti, più personalizzate e sicure, e allo stesso tempo i commercianti potranno ottenere maggiori informazioni sui potenziali clienti grazie all’AISP ed evitare così molti dei rischi connessi a questa attività.

Chi tiene i conti?

È indubbiamente una bella rivoluzione nel campo dei pagamenti, anche quelli di tutti i giorni. Sostanzialmente, con l’entrata in campo di attori quali i PISP potremo pagare il caffè al bar tramite questi merchant, che avranno accesso alle nostre credenziali e potranno autorizzare transazioni, previo ovviamente il consenso dell’interessato. In sostanza, con un click i clienti delle banche possono decidere a chi dare accesso alle informazioni del loro conto corrente. Un passo importante e da non sottovalutare: molti infatti sono i rischi derivati che ci si aspetta dall’entrata in vigore della norma, ma anche i vantaggi. È una normativa il cui impatto sulle banche è rilevante: non potranno infatti opporsi agli intermediari che chiederanno loro gli accessi ai sistemi, dove è contenuto lo storyboard finanziario di tutti noi. Oltretutto, un aspetto da non sottovalutare sono le commissioni: se prima infatti erano totalmente in mano alle banche, da cui traevano grandi profitti, con la PSD2 subiranno una notevole compressione, venendo ridotte proprio dal passaggio di consegna a merchant terzi.

Nuove opportunità: NIKE e la PSD2

A fronte delle novità introdotte dalla PSD2, il quadro di riferimento vede un incremento potenziale del profilo di rischio correlato ai servizi di pagamento. Questo aspetto riguarda sia le banche, che come detto devono assicurare l’accesso ai propri sistemi alle parti terze, sia queste ultime, chiamate a predisporre adeguati presidi di governo e standard di sicurezza. In entrambe i casi gli sviluppi della Payment Service Directive 2 accrescono in rischio informatico inerente ai servizi di pagamento, ponendo l’esigenza di adeguamenti funzionali a mitigarne i possibili effetti sfavorevoli.

NIKE Group è in grado di coprire l’intero ambito di attività che coinvolge gli operatori – banche e parti terze – sul piano regolamentare – ad es. principi organizzativi, analisi del rischio informatico, gestione della sicurezza informatica, esternalizzazione del sistema informativo -, in fase di prima verifica dell’applicazione delle nuove disposizioni come nei momenti successivi di controllo sull’adeguatezza dei presidi.