La nuova direttiva PSD2
Con il 14 settembre è entrata in atto la Payment Service Directive 2 (PSD2).
Con questa direttiva dovrebbe affermarsi una nuova cultura di sicurezza, e nuove abitudini nel rapporto con i pagamenti digitali, servirà infatti a diffondere i principi di trasparenza e tracciabilità che stanno alla base della legalità.
I segni del passaggio alla nuova gestione sono più vicini e visibili al consumatore finale: si punta alla user experience, all’autenticazione forte, ma si parla di più anche di sicurezza e privacy.
In questo modo si apre il mercato a tutte le possibilità del settore finanza, che si possono riassumere in: Open banking, Fintech, Data monetization
Cosa vuol dire User Experience…
e ne avevamo veramente bisogno?
La conquista del cliente, del suo tempo e della sua fiducia, passa anche dalla capacità di comprendere la sua attitudine all’uso dello strumento, per guidarlo attraverso i meandri di quelle che sono operazioni delicate e complesse come quelle finanziarie, rispettando la necessità di sicurezza della transazione (e del soldo).
Si parla quindi di “customer journey digitale”, ma molte volte lo si interpreta come puro aspetto ludico/estetico e meno sul piano funzionale. Si parla di accessibilità, facilità e sicurezza, ma si vedono anche “grandi enfasi” per quello che si riduce a qualche bella schermata (graficamente parlando), lenta e inefficiente, non quel bel viaggio che ci si aspetta.
Strong Authentication…
Bella, ma ancora molto complessa (da usare) e semplice (da superare)
La Strong Customer Authentication rappresenta uno dei principali fattori di sicurezza, e un grosso problema per la user experience: un sistema inefficiente o inadeguato di richiesta di duplice autenticazione (la famosa “autenticazione con token”) può far diminuire pesantemente la gradevolezza della soluzione verso gli utenti.
Con la PSD2 si deve attivare la possibilità di regolare l’accesso ai conti di pagamento tramite un’interfaccia fornita da un Third Party Provider (TPP), ovvero da parte di imprese diverse dalle banche presso cui abbiamo il conto.
Abbiamo quindi uno scenario che si sviluppa su tre livelli o piani di azione:
- Payment Initiation, disporre un pagamento, su esplicita richiesta dell’utente, a un conto
- Account Information, si possono mettere a disposizione dati relativi ai diversi servizi che un utente ha attivi
- Funds Checking, rappresenta il servizio che fornisce informazioni, fornito da terzi interrogando la banca, sulla disponibilità di fondi
Ma a questo punto entra in gioco la sicurezza
Si tratta di tre livelli che richiedono di aumentare la sicurezza.
L’Autenticazione Forte identifica in maniera unica il cliente e la tipologia di operazione che deve effettuare per ridurre i rischi di frode e proteggere l’esecuzione di operazioni di pagamento.
Oltre a influire sulla user experience, perché all’improvviso ci troviamo a dover fare i conti con chiavette, app o altri sistemi di “doppia autenticazione” che si sono inventati, il problema diventa la loro sicurezza.
Mentre un dispositivo fisico (la chiavetta) può essere rubato, una app può essere “hackerata” o trasmettere i codici, o essere installata su un dispositivo non sicuro che ne compromette l’integrità, fornendo informazioni ai malintenzionati. Persino FaceId può essere ingannato.
Quindi se non esistono sistemi “completamente sicuri”, facciamo almeno che siano “completamente utilizzabili”, non che diventi un’impresa anche solo accedere al proprio conto corrente perché improvvisamente non funziona la APP o il codice è stato disabilitato perché non riconosceva il dispositivo da cui arriva la password…
Se di passi avanti si parla, i primi a doverlo fare in questo momento sono gli Istituti che devono studiare meccanismi che agevolino la famosa User Experience di cui si parla.
Strong Authentication contro le frodi
È comunque certo che grazie alla strong authentication il livello di sicurezza applicato alle transazioni non è più solo deciso dai fornitori di servizi di pagamento. Facendo una corretta analisi dei rischi è possibile limitarne l’uso alle transazioni meno sicure, riducendo il rischio di perdita di denaro e possibilità di farsi rifondere in caso di frode.
La direttiva PSD2 infatti consente di adattare le misure di sicurezza in base al rischio finanziario.
Soprattutto per il mondo e-commerce sarà quindi sempre più fondamentale fornire dati completi e precisi per la valutazione del rischio di frode.
Il mondo aziendale deve quindi prendere atto che la conversione digitale dei processi è ormai irrimediabilmente in atto, e la mancanza di conoscenze può portare ad inefficienze o “cattivi viaggi” che si ripagano monetariamente con minori guadagni o maggiori costi.