La PSD2 sarà per le banche una spina nel fianco o un’opportunità? Sicuramente, la nuova direttiva europea sui servizi di pagamento, entrata ufficialmente in vigore anche in Italia il 14 settembre, stimolerà le banche tradizionali a modernizzarsi dal punto di vista digitale e questo potrà renderle più competitive e al passo con i tempi (arginando la concorrenza delle Fintech oppure creando con esse delle nuove alleanze). In parallelo, la Payment Services Directive 2 imporrà agli operatori del banking anche nuove responsabilità di tutela dei dati (e indirettamente del denaro) dei clienti, oltre a una sorta di “apertura forzata” che condurrà gradualmente verso il modello dell’open banking.
La direttiva, per il momento, chiede alle banche di aprire le proprie interfacce di programmazione delle applicazioni (Application Programming Interface, Api) alle società terze autorizzate. Dunque anche alle Fintech, per le quali si dischiudono nuove possibilità di accesso a dati di pagamento, nel rispetto però della privacy e dei consensi esplicitati dagli utenti. Questi ultimi, nelle intenzioni dei legislatori, dovranno poter godere via via di una maggiore libertà di scelta, attingendo a servizi di fornitori differenti per trasferire denaro, fare acquisti online, effettuare degli investimenti o richiedere prestiti. Le cosiddette “terze parti autorizzate” (Tpp) potranno usare le Api delle banche per interconnettere le proprie applicazioni o marketplace, creando un ambiente digitale integrato e, per le persone, nuove e più agevoli user experience. Le banche potranno a loro volta adottare servizi white label o integrare applicazioni terze all’interno delle proprie piattaforme.
Uno tra i doveri introdotti dalla normativa è quello di garantire procedure di verifica antifrode più solide di quelle attuali, sia nelle operazioni di pagamento o di banking effettuate tramite computer sia in quelle che transitano dallo smartphone. In sostanza le banche devono attivarsi per adottare tecnologie di Strong Customer Authentication (Sca) nei pagamenti effettuati da utenti che accedono da remoto. La Sca così come intesa dalla direttiva non potrà più basarsi sulle “chiavette” generatrici di token, uno strumento non soltanto scomodo ma rischioso perché la procedura di verifica viene legata a un dispositivo fisico, facilmente smarribile.
Bisognerà quindi adottare metodi differenti, come l’invio di una one-time password all’interno di un Sms, procedura già da anni sfruttata da molte Webmail. Lo smarrimento dello smartphone potrebbe comunque rappresentare un rischio di login abusivi, dai quali autorizzare operazioni attingendo a una carta di credito o prepagata, ma il problema è risolvibile impostando un Pin di blocco del dispositivo. Un malintenzionato, inoltre, per riuscire nella truffa dovrebbe mettere gli occhi su una password “usa e getta” ancora non utilizzata. Dunque, per gli utenti una immediata conseguenza della PSD2 potrà essere il debutto di nuove procedure di autenticazione, non necessariamente più macchinose ma presumibilmente più sicure.