La Direttiva Europea sui Servizi di Pagamento (PSD2) regolamenta nuovi servizi utili a chi opera e acquista tramite Internet e introduce dal primo gennaio del 2021 un sistema di autenticazione ancora più sicuro per accedere al conto online o disporre un pagamento remoto con bonifico o carta: la cosiddetta autenticazione forte del cliente (“Strong Customer Authentication” – SCA). Le banche sono pronte? E cosa offrono ai propri clienti? Lo chiediamo a Rita Camporeale, responsabile dell’ufficio Sistemi di pagamento dell’Abi.

Sarà davvero una rivoluzione?

«La vera rivoluzione è che il settore dei pagamenti, anche in ragione della pandemia che ha limitato gli scambi fisici, ha visto accelerare una trasformazione già in atto. Un sempre maggior ricorso a carte e strumenti digitali più evoluti, come contactless o i pagamenti tramite smartphone, nell’acquisto di beni e servizi, tanto in presenza che a distanza, rende il settore dei pagamenti uno dei più innovativi dal punto di vista delle tecnologie applicate agli strumenti e ai servizi messi a disposizione dei cittadini, delle imprese e della Pubblica Amministrazione. E anche nell’attuale difficilissimo frangente che stiamo vivendo esso gioca un cruciale ruolo di catalizzatore, contribuendo alla digitalizzazione dell’Italia».

Di fronte a quali novità si troveranno i clienti delle banche?

«Molti hanno già acquisito una certa familiarità con la SCA per accedere al conto online e inviare bonifici online, ancor prima che per autorizzare le transazioni con carta quando acquistano sul Web. Inoltre, per facilitare gli utenti, l’EBA ha previsto una serie di casi (transazioni di basso importo; pagamenti a un beneficiario verso cui sono già stati eseguiti altri pagamenti; effettuazione di un’elaborata analisi dei rischi) in cui il doppio fattore non viene richiesto: quindi l’esperienza dei consumatori online sarà più articolata, ma non sempre più complessa».

Come si sono attrezzate le banche per la doppia identificazione richiesta dalla SCA?

«I fattori di sicurezza individuati dalla PSD2 sono tre: conoscenza. Cioè qualcosa che solo l’utente conosce, ad esempio una password o un PIN.  Possesso, ossia qualcosa che solo l’utente possiede, ad esempio uno smartphone, un telefono cellulare o una chiavetta token. Inerenza, nel senso di qualcosa che contraddistingue univocamente una persona, come l’impronta digitale o altri dati biometrici. Gli operatori si sono attrezzati, ognuno secondo le modalità ritenute maggiormente efficaci, per consentire all’utenza di effettuare un pagamento online autenticandosi in modalità ‘forte’ mediante l’utilizzo di almeno due dei suddetti tre fattori di sicurezza. Non solo. A questi presìdi si aggiunge un ulteriore requisito di sicurezza per le transazioni online: un codice unico di autenticazione, cosiddetto “dynamic linking”, specifico per l’importo dell’operazione e il beneficiario, utilizzabile per una sola transazione».

Quali tecnologie sono più diffuse?

«Secondo il rapporto “Sicurezza e frodi informatiche in banca” 2020 (prodotto da CERTFin, l’iniziativa cooperativa pubblico-privata diretta dall’Abi e dalla Banca d’Italia e da Abi Lab), nel 2019 le soluzioni per l’accesso ai conti correnti online più diffuse, nell’ambito del segmento retail, sono risultate l’OTP via SMS (impiegata dal 74% del campione analizzato; era il 45% nel 2018) seguita dall’OTP via App (63% dal 45% del 2018), dal token per la generazione del codice OTP (sceso da 75% al 42%) e dai sistemi basati su dati biometrici (42%). Diversa la distribuzione nel segmento corporate: al primo posto troviamo l’impiego dell’OTP via token (80% dei rispondenti) seguito da OTP via App e SMS (entrambe al 60% dal 22% del 2018) e poi dai sistemi biometrici (27%). Quanto alle tecnologie di autenticazione forte in fase autorizzativa e dispositiva, sono state principalmente offerte alla clientela retail soluzioni che prevedevano l’invio di OTP tramite SMS (89%) o App (74%), mentre l’OTP via token è sceso dal 60% al 32%. Residuali altre soluzioni come PIN, notifiche push, certificato digitale o secure-call. Per la clientela corporate i sistemi di autorizzazione hanno ricalcato quelli offerti per l’accesso al conto: al primo posto l’OTP via token (73%) seguita da OTP via SMS o App (entrambe le opzioni al 60%)».

Qual è l’investimento impegnato in questa operazione a livello di Sistema Paese?

«Dati specifici non sono disponibili ma dall’ultima edizione del Rapporto Annuale di Abi Lab emerge che nell’anno passato la maggior parte delle banche considerate nel Rapporto ha indicato un aumento degli investimenti per la protezione dei canali remoti utilizzati dalla clientela: i volumi di spesa previsti per la sicurezza IT rispetto al totale del budget IT sono passati dal 7% rilevato durante il 2019 al 12% stimato il 2020. Relativamente all’Internet e al Mobile Banking, le aree di lavoro principali a cui le banche si sono dedicate nel 2020 per lo sviluppo dei canali digitali sono state le interfacce di programmazione delle applicazioni aperte (“open API”, indicate dall’81% delle banche intervistate per il Mobile Banking e dal 76% per l’Internet Banking), l’estensione delle funzionalità connesse ai pagamenti e il potenziamento delle modalità per la sottoscrizione di documenti».

E sul fronte commerciale (negozi fisici e online) quali soluzioni hanno preferito scegliere?

«In un regime di piena e libera concorrenza ogni operatore commerciale ha sviluppato le soluzioni ritenute maggiormente coerenti con il proprio modello di business e alla propria tipologia di clientela. Al riguardo, occorre sottolineare che la PSD2 consente all’esercente di offrire ai clienti, tra le possibilità di pagamento online disponibili, anche i nuovi servizi di disposizione di ordini di pagamento che si avvalgono di un prestatore di servizi dispositivi».

Può spiegare meglio questo ultimo elemento?

«L’esercente può avvalersi dell’intervento di un prestatore di servizi dispositivi: si tratta di banche o altri soggetti abilitati, che gestiscono gli ordini di pagamento per gli acquisti effettuati dagli utenti sul sito Internet dell’esercente stesso. Il prestatore di servizi dispositivi può coincidere con la banca presso la quale l’esercente ha un rapporto di conto corrente, ma è anche possibile che sia un altro intermediario. In questi casi, nell’ambito di una transazione di commercio elettronico, al momento del pagamento l’acquirente presta il consenso esplicito al prestatore di servizi dispositivi per l’esecuzione del pagamento stesso. Il prestatore di servizi dispositivi si identifica presso la banca del cliente pagatore con le modalità previste dalla PSD2, accede al conto online del pagatore e dà avvio al suo pagamento, rispettando i requisiti della SCA».

La SCA è un’occasione per i fornitori di nuovi servizi informativi e dispositivi normati dalla PSD2 per acquistare quote di mercato a danno delle banche?

«Il cuore della revisione della PSD2 è proprio l’apertura dell’accesso ai dati dei clienti, controbilanciato da un aumento della sicurezza delle transazioni. L’offerta di nuove modalità di erogazione di servizi informativi e dispositivi è una conseguenza della PSD2 e alle banche è richiesto di non frapporre alcun ostacolo all’accesso ai dati dei clienti. Si tratta di offrire servizi a utenti che hanno più di un conto (servizi informativi) oppure di offrire servizi agli operatori dell’e-commerce nell’ambito delle transazioni online (servizi dispositivi). Se è vero che in una prima fase si trattava in larga misura di operatori non bancari, le banche, dopo aver completato l’adattamento normativo, hanno iniziato a offrire esse stesse questi nuovi servizi. Tutte le banche, per effetto delle novità introdotte dalla PSD2, hanno sviluppato API, cioè delle interfacce standard che permettono alle componenti software di interagire e scambiare dati, e queste API stanno sempre più diventando la modalità tecnologica per offrire nuovi servizi a valore aggiunto alla clientela, compresi agli operatori non bancari».

Il boom degli acquisti online con il Covid ha certo aiutato la transizione, ma il timore di mettere il cliente di fronte a un processo complicato, come è stato risolto?

«Come detto, l’impegno delle banche è stato costantemente quello di mettere in atto le previsioni richieste dalla normativa europea. Nell’attuale contesto pandemico si è agito per consentire ai cittadini e alle imprese di poter effettuare e/o ricevere operazioni di acquisto/vendita a distanza in ogni circostanza. L’adozione della SCA per i pagamenti online con carta ha richiesto processi di migrazione ampi, articolati e impegnativi: eventuali residue problematiche vengono superate per garantire, in ogni caso, la continuità dei pagamenti».