Per le banche online e gli istituti di credito che offrono servizi di eweb e mobile banking, sono entrate in vigore il 14 settembre le nuove regole europee per una maggior sicurezza e trasparenza delle transazioni in Europa (direttiva PSD2).
L’obiettivo è proteggere i consumatori contro le frodi online e dare accesso a forme più innovative di pagamenti online e via smartphone. Tra le novità più evidenti c’è l’addio alle chiavette (token) per l’autenticazione del titolare del conto online e l’autorizzazione delle operazioni e dei pagamenti digitali.
=> Open Banking: nuovi scenari con la PSD2
PSD2: novità e finalità
In generale, la Direttiva europea per i pagamenti elettronici nota come PSD2 (Payment Services Directive 2) prevede che i pagamenti digitali vengano autorizzati con almeno 2 elementi di autenticazione a scelta fra 3 diverse opzioni, nel rispetto dei tre pilastri della sicurezza (possesso, conoscenza, inerenza):
- oggetto che possiede solo il cliente (quasi sempre lo smartphone);
- caratteristica univoca del cliente (ad esempio impronta digitale o altro fattore biometrico riconosciuto dal lettore dello smartphone);
- informazione nota solo al cliente (tipicamente una password).
=> Fintech: le cinque fasi dell'evoluzione
Dal token all’app
Le nuove norme sono state recepite in maniera graduale dagli operatori, come suggerito dall’Autorità bancaria europea, per dar modo e tempo di adeguarsi ai cambiamenti.
In pratica, però, con la data ultima del 14 settembre, per entrare digitalmente nel proprio conto, ad esempio per effettuare pagamenti o inviare bonifici, non si può più generare ed inserire il codice generato dalla chiavetta data in dotazione dal proprio istituto bancario. In alcuni casi, a seconda della propria banca di appartenenza, basta confermare la notifica che si riceve sul telefonino, in altri serve l’apposita app.
In generale il nuovo sistema di codici si basa sull’utilizzo dello smartphone per garantire un immediato riscontro tra banca e cliente in ogni operazione. Il cosiddetto mobile token genera in modo automatico, mediante app, una password valida per un solo utilizzo.