PISP, AISP, CISP, NON SONO FILASTROCCHE MA SIGLE CHE DOVETE IMPARARE A CONOSCERE BENE: ECCO COSA SIGNIFICANO
MA LE CHIAVETTE, I TOKEN, GENERA-CODICI NON ANDRANNO IN PENSIONE
Federico Formica per www.repubblica.it
Molti clienti lo sanno da tempo, messi in allerta da lettere e email dalle proprie banche: nel mondo dei pagamenti digitali sta per cambiare qualcosa e la data è molto vicina: il 14 settembre entrerà infatti in vigore una novità prevista dalla direttiva europea PSD2. E un altro tassello della direttiva, che sarebbe dovuta entrare in vigore sempre il 14, è stato prorogato a data da destinarsi ma solo per quegli istituti bancari che si sono fatti cogliere di sorpresa, nonostante il provvedimento Ue risalga al 2015.
Servizi bancari sempre più fluidi
Partiamo dalla novità che entrerà subito in vigore. Dal 14 settembre le banche saranno obbligate a condividere con terze parti tutte le informazioni che hanno sui propri correntisti. A patto, naturalmente, che il cliente autorizzi il proprio istituto di credito a farlo: sarà una sua libera scelta. Queste "terze parti" hanno dei nomi da filastrocca: Pisp, Aisp e Cisp ma a ogni sigla corrisponde qualcosa di preciso e, potenzialmente, di grande utilità per il consumatore. Vediamo cosa sono:
I Pisp (Payment Initiation Service Providers) sono società intermediarie tra il pagatore (consumatori o aziende) e la propria banca che hanno lo scopo di versare denaro a un terzo soggetto. Grazie ai Pisp sarà possibile effettuare un pagamento su un sito di ecommerce (impossibile non pensare ad Amazon) senza inserire i dati della propria carta di credito o bancomat, perché sarà il venditore ad accedere direttamente al nostro conto (previa una nostra prima autorizzazione, che in seguito verrà ricordata) e prelevare. Altri giganti del panorama digitale, come Google e Facebook, potranno beneficiare di questa nuova opportunità addebitando i clienti senza passare per il tramite di alcuna carta. Per accedere al conto del cliente i Pisp devono comunque usare procedure di autenticazione e devono mettere a disposizione del cliente tutte le informazioni relative a quell'operazione;
Gli Aisp (Account Information Service Provider) sono servizi che "spiano" (sempre dietro consenso) i nostri conti correnti e le nostre carte, analizzano e aggregano questi dati per fornirci un quadro complessivo delle nostre finanze in un'unica schermata. Ad esempio un report sul nostro patrimonio complessivo, le entrate e le uscite del mese. E in base a questi dati possono fornire consigli su come investire i nostri soldi o proporre strumenti "salvadanaio". Cosa non possono fare: operare sul conto corrente o detenere i soldi del cliente;
I Cisp (Card Issuer Service Providers) sono invece soggetti che emettono carte di pagamento. Solo che, a differenza delle prepagate (che il cliente può ricaricare di volta in volta prelevando denaro dal proprio conto corrente), queste sono direttamente collegate al conto corrente, anche se è stato aperto in una banca differente. I Cisp forniscono la carta ma non detengono il denaro del cliente, hanno però un canale privilegiato per accedervi.
Pagamenti più sicuri (con qualche disservizio)
E poi c'è il grande tema degli strumenti di sicurezza per pagare online. La direttiva rafforza le misure a tutela dei risparmiatori, per prevenire frodi e furti di identità. La sicurezza dei clienti, secondo il testo, si basa su tre principi:
Conoscenza: cioè una password o un codice pin che conosce solo l'utente;
Possesso: uno strumento che possiede solo l'utente (uno smartphone o un token);
Inerenza: cioè qualcosa che l'utente è, ad esempio un'impronta digitale o il riconoscimento facciale.
Le procedure di autenticazione delle banche devono prevedere almeno due di questi principi. Ad esempio: una password generata su smartphone, un pin generato da un token o un'impronta digitale impressa sul telefonino. Questi nuovi standard hanno portato diverse banche italiane a mettere in soffitta il caro vecchio token, provocando in alcuni casi qualche malumore tra i clienti (sulle nostre pagine abbiamo parlato del caso di Banca Intesa).
Queste nuove procedure sarebbero dovute entrare in vigore il 14 settembre ma Banca d'Italia ha fatto sapere lo scorso primo agosto che "in considerazione della complessità degli adeguamenti" e per "ridurre fortemente i rischi di disservizi nei pagamenti online con carta", ha deciso di concedere una proroga per un periodo limitato agli operatori che ne facciano richiesta e a patto che spieghino, nel dettaglio, in che modo intendono procedere. Quanto tempo durerà la proroga? Banca d'Italia spiega che questo verrà definito dall'Eba (l'autorità bancaria europea) che nello scorso giugno aveva autorizzato le banche centrali nazionali a concedere più tempo in casi limitati.
Addio al token? Non è detto
Il problema dei token attuali è che generano un codice (l'Otp, one time password) che pura pochi secondi ma non esclude la possibilità che un truffatore informatico possa utilizzarlo per compiere una seconda operazione-lampo, drenando soldi dal conto del cliente. Con le nuove regole, invece, il codice "restituito" al cliente è valido solo e soltanto per quella operazione.
Attenzione, però: anche se le banche dovranno togliere di mezzo gli attuali token, non è detto che questi strumenti scompariranno del tutto: alcuni istituti di credito semplicemente li sostituiranno con alcuni di nuova generazione (ad esempio Deutsche Bank consentirà ai propri clienti di scegliere tra uno virtuale, gratis, e uno fisico col tastierino, a pagamento).
Il problema che diversi consumatori lamentano è che le banche, costrette dalla nuova direttiva, punteranno tutto sulle app per smartphone (come in effetti sta accadendo) discriminando chi possiede un telefono di vecchia generazione. In realtà diverse banche - tra le quasi Intesa Sanpaolo - prevedono, proprio per casi simili, l'invio del codice via sms, spesso a pagamento.
Non mancano, comunque, le critiche a questo aspetto della direttiva: "Per la mia esperienza, non ho mai avuto notizia di utenti che siano stati truffati o abbiano subito furti di identità usando gli attuali token. Le nuove misure di sicurezza servono piuttosto ad armonizzare le procedure di pagamento a livello europeo, ma non è vero che fino ad ora pagavamo in modo poco sicuro" dice Giuseppe Mermati, referente del settore bancario per l'Unione Nazionale Consumatori.
Mentre Carlo Piarulli, responsabile del settore credito per Adiconsum, si sofferma soprattutto sulla parte della direttiva dedicata alle "terze parti": "Dal 14 settembre sarà ancora più importante prestare la massima attenzione ai consensi che forniamo alla nostra banca. Perché è vero che i nuovi servizi potrebbero essere utili a molti consumatori, ma è anche vero che si tratta di condividere informazioni preziose, e questo non può essere fatto a cuor leggero".
Piarulli, come diversi altri osservatori, vede in questa direttiva un possibile "cavallo di Troia" per le banche tradizionali. "Giganti come Google, Facebook e Amazon avranno la possibilità di instaurare un rapporto sempre più diretto con i propri clienti e, con il tempo, potranno intercettare la clientela delle banche per portarli a sé. Non è un caso che queste società abbiano chiesto la licenza da operatori bancari in alcuni Paesi Ue.
Fonte: qui
Conti correnti online e rivoluzione Psd2, tutto più complicato con il mobile token in nome della sicurezza
Il giorno X è arrivato, oggi entra in vigore l’ultima parte della Psd2, acronimo di Payment Services Directive 2, la direttiva europea dedicata ai servizi di pagamento digitali. Una vera e propria rivoluzione per i pagamenti on line allo scopo di garantire maggior sicurezza nei movimenti di denaro. Ma vediamo nello specifico cosa cambierà per i correntisti.
Bye bye token: e ora?
I principali cambiamenti destinati a incidere sulla vita quotidiana dei cittadini sono da una parte un nuovo sistema di autenticazione forte per accedere al proprio conto on line e dall’altra la possibilità di compiere una sola operazione per password generata. Fine ultimo è rendere i pagamenti digitali sempre più sicuri e affidabili mandando in soffitta i token. Trattasi delle chiavette internet inviate dalle banche per accedere da casa on line al proprio conto e compiere tante operazioni. Il problema è che i token generano un codice (l’Otp, one time password) che dura pochi secondi sì ma gli hacker informatici sono in grado, nel giro di quei pochissimi secondi a entrare nel conto e drenare soldi.
Per effetto dell’entrata in vigore della Psd2 scatta l’adozione obbligatoria, da parte delle banche e degli altri prestatori di servizi di pagamento, di sistemi di autenticazione forte dei clienti, basati sull’utilizzo di almeno due fattori (es. password, impronta biometrica, certificato su smartphone, ecc..) per consentire alla clientela di effettuare in piena sicurezza l’accesso ai conti on line e l’esecuzione dei pagamenti elettronici. In sostanza all’utente verranno richiesti due elementi di autenticazione a scelta fra tre opzioni:
- un oggetto che possiede solo il cliente (come lo smartphone);
- una caratteristica che possiede solo il cliente (come l’impronta digitale o un altro fattore biometrico);
- un’informazione nota solo al cliente (come una password).
Per accedere al conto ci sarà una password generata su smartphone, un pin generato da un token o un’impronta digitale impressa sul telefonino. Dal 14 settembre per entrare e operare nella banca online, autenticarsi e autorizzare operazioni, si dovrà fare tutto attraverso lo smartphone. Le operazioni a o le transazioni a distanza in Europa non potranno più essere autorizzate solo inserendo un numero di carta di credito (nemmeno se accompagnato dal codice di verifica CVV riportato sul retro), oppure riportando il codice generato dai token. Inoltre se prima si poteva compiere un numero indefinito di operazioni di pagamento con la medesima password ora con la nuova normativa, per ogni bonifico è richiesto un nuovo codice usa e getta. Tale codice è collegato a una singola e unica operazione di pagamento che avviene nei confronti di un solo e unico beneficiario. Con le nuove regole il codice “restituito” al cliente è valido solo e soltanto per quella operazione.
Sul mandare in soffitta il token ogni banca si è adeguata. Tendenzialmente i vari istituti di credito hanno scelto di sostituire il vecchio token fisico con i nuovi codici generati direttamente dal proprio smartphone tramite app o inviati via sms. In altri la chiavetta rimane ma da usarsi in combinazione con altri requisiti di sicurezza. Ad esempio Deutsche Bank consentirà ai propri clienti di scegliere tra uno virtuale, gratis, e uno fisico col tastierino, a pagamento. O ancora Intesa Sanpaolo prevede che l’invio del codice via sms sia a pagamento.
Tra i correntisti la notizia non è stata accolta con grande entusiasmo con molti commenti negativi circa la complicazione delle procedure e l’essere obbligati ad avere a portata di mano lo smartphone. “E quando lo smartphone è fuori uso vi attaccate! O vi sorbire le lunghe attese della banca telefonica! Iniziativa insensata”, uno dei tanti commenti dei lettori di FinanzaOnline.
Open banking: cosa significa
Altra importante novità concerne l’open banking. Con la PSD2, le banche saranno obbligate a condividere con terze parti – Pisp (Payment Initiation Service Providers), Aisp (Account Information Service Provider) e Cisp (Card Issuer Service Providers) – tutte le informazioni che hanno sui propri correntisti sempre che questi ultimi li autorizzino. Tutti questi dati verranno condivisi, seppur previo consenso, con tutte le realtà che si interfacceranno con il conto di pagamento online, Google, Apple, Facebook e Amazon compresi. Il fine ultimo di questa sorta di “liberalizzazione bancaria” è quello di rendere tutte le operazioni di pagamento online veloci e sicure.
Niente obbligo, correntista può comunque scegliere
Federconsumatori ricorca che non vi è alcun obbligo da parte del correntista, sarà una sua libera scelta se autorizzare o meno tale trattamento dei propri dati.
Nel dettaglio, si potrà autorizzare la condivisione dei propri dati bancari con:
– Pisp (Payment Initiation Service Providers), ovvero società intermediarie che hanno lo scopo di versare denaro a un terzo soggetto. Attraverso tali società si potrà ad esempio effettuare pagamenti su siti di ecommerce senza che sia necessario inserire i dati della propria carta, ma accedendo direttamente al conto. Per fare ciò, i Pisp dovranno in ogni caso adottare procedure di autenticazione ed informare adeguatamente il cliente sulle operazioni effettuate.
– Aisp (Account Information Service Provider), servizi che effettuano un monitoraggio dei nostri conti correnti e delle nostre carte, restituendoci un quadro complessivo della gestione delle nostre finanze. Inoltre tali servizi possono fornire consigli sugli investimenti o proporre strumenti finalizzati al risparmio. In merito a questa opportunità in particolare ci sentiamo di sconsigliare i cittadini dall’effettuare investimenti “frettolosi” e avventati, ma di documentarsi bene prima di sottoscrivere qualsiasi tipo di operazione finanziaria.
– Cisp (Card Issuer Service Providers), soggetti che emettono carte di pagamento collegate al conto corrente. Tali soggetti hanno un canale privilegiato per accedere al denaro del cliente.
14 Settembre 2019
Fonte: qui
Nessun commento:
Posta un commento