PSD2: 5 punti in 5 minuti – Guida essenziale alla scoperta della Direttiva europea sui pagamenti digitali

Scorrete la homepage di Instagram e vi soffermate su una foto della vostra fashion blogger preferita che indossa un paio di scarpe che volete assolutamente comprare. Sotto alla foto è presente un pulsante e-commerce. Inserite le vostre credenziali personali e toccate il sensore delle impronte digitali dello smartphone. In pochi secondi parte il pagamento (es. bonifico già precompilato con tutti i dati) con conferma immediata dell’esito e spedizione della merce nel giro di qualche ora.

La nuova direttiva sui servizi di pagamento (PSD2) ha come obiettivo quello di creare un mercato unico europeo per i pagamenti tenendo in considerazione la complessità l’evoluzione tecnologica e la diffusione dei pagamenti digitali, uniformando un quadro regolamentare europeo ad oggi frammentato. La Direttiva deve essere applicata da tutti gli Stati membri da gennaio 2018 e sostituisce la PSD1 adottata nel 2007.

 

1)      Tre tipologie di operazioni di pagamento impattate da PSD2

a)      Operazioni “two legs” ovvero tutti i pagamenti in valuta di un paese EU dove pagatore e beneficiario risiedono nello Spazio Economico Europeo (SEE), tipologia già presente nella PSD 1.

b)      Operazioni di pagamento con principio “two legs” ma disposte in divisa diversa da quelle dello SEE.

c)       Operazioni di pagamento in cui uno solo tra PSP dell’ordinante e PSP del beneficiario è insediato in EU (“one leg transactions”) e disposte in qualsiasi divisa.

Nei servizi di pagamento sono stati inclusi quelli e-commerce che operano tramite un software che fa da ponte tra il sito web del commerciante e la piattaforma di online banking del pagatore utilizzando come tipologia di pagamento il bonifico via internet.

 

2)      Introduzione dei Third Party Providers (TPP)

Nuovi servizi:

–          PISP (Payment Initiation Service Providers): conferma che il pagamento è stato inizializzato (payment initiation), pertanto il beneficiario è incentivato a erogare i beni e i servizi oggetto della transazione migliorando il delay nei tempi.

–          AISP (Account Information Service Providers): fornisce un servizio informativo online sull’account di pagamento a uno o più Payment Service Providers.

–          CISP (Card Issuer Service Provider): controlla la disponibilità di fondi.

I nuovi operatori stanno cambiando radicalmente i servizi bancari, fungendo da intermediari per i clienti. Apple, Google, Amazon, Facebook ma anche le nuove fintech come Sofort (2 mln di transazioni al mese e 35 mila merchant) acquisiscono sempre più quote di mercato accendendo alle preferenze dei consumatori sempre più interconnessi. La PSD2 cerca di incentivare l’innovazione regolamentando i servizi prestati da questi operatori, garantendo massima trasparenza e sicurezza per l’utente finale (si pensi alle app che aggregano i saldi di conti correnti di diverse banche o che inviano denaro online). Se prima era solo il cliente che poteva richiedere l’inizializzazione di pagamento, ora anche il merchant può attivare il processo direttamente dall’interfaccia utilizzata per l’acquisto (es. sito web o app) collegata al conto corrente dell’utente.

Il rischio più grande delle Banche è quello della disintermediazione del rapporto con il cliente che ad oggi si rapporta solamente con l’interfaccia del proprio istituto per disporre un pagamento. Con la PSD2 il processo di acquisto potrà essere gestito end to end dal retailer. Il più grosso impatto è sulle iniziative marketing , sugli investimenti in tecnologia, etc. Si stima un impatto sulle revenue del comparto Incassi e Pagamenti degli operatori già presenti sul mercato (es. Banche) tra il -5% e il -9% (fonte: PwC) se questi non adotteranno delle misure volte alla ottimizzazione del business model (utilizzo dei big data, segmentazione della clientela, princing, flessibilità applicazioni, innovazioni di processo) e un posizionamento strategico (collaborazioni con TPP e fintech, ampliamento catalogo prodotti).

 

3)      Il registro elettronico EBA

L’EBA mantiene un registro elettronico centrale nell’Unione Europea contenente le informazioni notificate dalle autorità nazionali competenti che sono responsabili dell’aggiornamento. Il registro è accessibile pubblicamente, in maniera gratuita e con funzionalità di ricerca intuitive. Non essendo aggiornato in tempo reale, soffre di due gap: il tempo che decorre dalla registrazione di un nuovo TPP alla prima transazione eseguita e il tempo che decorre da quando una autorità nazionale realizza che un provider ha agito in maniera fraudolenta a quando questo provider perde la licenza.

 

4)      Strong Customer Authentication and Secure Communication (SCA)

Uno degli obiettivi primari della PSD2 è garantire la sicurezza degli utenti. Per questo viene introdotto nello specifico un processo di autenticazione “forte” basato su almeno due dei tre principi:

KNOWLEDGE: qualcosa che è conosciuto solamente dall’utente (PIN o Password)

POSSESSION: qualcosa che è posseduto esclusivamente dall’utente (carta, token, etc)

INHERENCE: qualcosa che identifica esclusivamente l’utilizzatore (impronta digitale, voce, etc)

Ci sono diversi strumenti i quali rispecchiano uno o più principi della SCA. Ad esempio, la password o il CVC della carta di pagamento rispettano la Knowledge ma non la Possession e l’Inherence. Altri sono ancora in fase di valutazione da parte degli esperti (Firma elettronica, Cripto-Key, smsTAN, etc).

Un possibile scenario futuro potrebbe essere quello di utilizzare la tecnologia blockchain per creare direttamente sul proprio dispositivo (principio di Possession) delle chiavi univoche che confermino il pagamento rispettando la SCA.

L’autenticazione strong è richiesta quando si accede all’account online, si inizializza un processo di pagamento o viene intrapresa qualsiasi azione in cui vi è un rischio di frode. Nel caso di pagamenti via internet e via mobile è necessario che sia specificato un importo preciso e un beneficiario.

 

5)      Colloquio semplificato tra le parti per una facile integrazione dei sistemi

I nuovi player, se autorizzati, potranno operare direttamente sui conti correnti degli utenti. La PSD2 cerca di stabilire i criteri per la massima trasparenza e semplicità di comunicazione tra le parti, stilando degli standard tecnici. Le interfacce tra gli operatori sul mercato dovranno quindi essere facilmente integrabili e le API (Application Programming Interfaces) si configurano come migliore strumento tecnologico per “aprire le porte” tra i vari sistemi, soprattutto tra le Banche e i TPP, poiché garantiscono scalabilità, sicurezza e performance affidabili.

 

di Gianluca Lattuada

04/04/17

Riproduzione riservata

Fonti:

–          “Payment Services Directive 2”, PPI AG – Deutsche Bank , Sept 2016

–          “Direttiva (UE) 2015/2366 del Parlamento Europeo e del Consiglio del 25 novembre 205 relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/236/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE” ABI, Jul 2016

–          “Pillola di PSD 2 n…”, PwC, www.pwc.com/it/psd2

#psd2 #pagamentidigitali #banca #fintech #innovazione #blockchain #strongauthentication

Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...