PSD2 è l’acronimo di Payment Services Directive 2 che costituisce l’aggiornamento della direttiva europea per la regolamentazione dei pagamenti (Direttiva UE 2015/2366 del Parlamento europeo e del Consiglio del 25 novembre 2015 relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE). Entrata in forza il 16 gennaio 2016, la normativa si applica dal 13 gennaio 2018, ma è dal 14 settembre 2019 che dispiega tutti i suoi effetti operativi.

L’obiettivo della direttiva è quello di consolidare un mercato unico digitale europeo offrendo ai cittadini più protezione, trasparenza e sicurezza nei pagamenti e incentivando i benefici riconnessi all’innovazione e all’ampliamento della concorrenza nel settore bancario.

La PSD2 istituisce l’Open Banking: in sintesi, obbliga le banche a cedere il monopolio sui dati dei correntisti che, per converso, divengono pienamente intitolati a disporne l’utilizzo da parte di terzi operatori. Gli istituti di credito devono, infatti, consentire la condivisione delle informazioni sui clienti a terzi operatori implementando apposite interfaccia informatiche (API). Dietro espressa autorizzazione del cliente, le terze parti potranno così accedere ai conti e ai dati ed effettuare determinate operazioni.

I soggetti terzi sono distinguibili secondo le seguenti tipologie:

  • AISP (Account Information Service Provider), ossia i fornitori di servizi che possono essere autorizzati ad accedere ai dati sui conti dei clienti per analizzarne i comportamenti e che possono fare anche da aggregatori dei dati (nel caso un medesimo soggetto abbia più conti sparsi in diversi istituti di credito);
  • PISP (Payment Initiation Service Provider), ossia operatori regolamentati che possono essere autorizzati dal cliente a prelevare denaro da un proprio conto per avviare un processo di pagamento. Tali operatori potranno anche non essere di estrazione finanziaria, e questo potrà avere effetti destrutturanti sul ruolo tradizionale della banca nei pagamenti: colossi come Google, Facebook, Apple o Amanzon non tarderanno ad utilizzare questa leva;
  • CISP (Card Issuing Service Provider), ossia fornitori di servizi basati su carta di pagamento. Questi possono verificare la disponibilità dell’importo per la transazione richiesta ma non possono sapere il saldo del conto del cliente.

L’European Banking Authority (EBA) impone la redazione di un registro elettronico pubblico nel quale saranno individuati tutti i terzi abilitati ad operare servizi introdotti dalla PSD2. In tal modo, il cliente bancario potra’ verificare se il soggetto che desidera autorizzare e’ presente nel registro e, dunque, riconosiuto e regolamentato.

Una volta guadagnato l’accesso ai dati, le terze parti dovranno – ovviamente – trattarli in scrupolosa osservanza del GDPR e delle ulteriori normative in materia di protezione dei dati personali (tutte regole recentemente innovate sempre per favorire l’omologazione di standard e strumenti di tutela a favore di cittadini europei nel mercato digitale).

Considerato che la nuova “apertura” dei conti online a player terzi avviene in un contesto in cui persistono piaghe quali le frodi informatiche e crescenti minacce di cybersecurity, la direttiva impone doverosamente un rafforzamento degli standard minimi di sicurezza. La parte del leone spetta alla Strong Customer Authentication (SCA).  La PSD2 prevede l’utilizzo della Strong Customer Authentication che implica una maggiore sicurezza in termini di autenticazione di un’operazione. Questa, infatti, può avvenire solo ricorrendo alla combinazione di almeno due strumenti (ispirati ad altrettanti prinicipi) tra i seguenti tre:

  • Knowledge (conoscenza) – un elemento conosciuto dal solo utente come una password o un PIN;
  • Possession (possesso) – uno strumento in possesso esclusivo dell’utente come uno smartphone od un token;
  • Inherence (inerenza) – un fattore contraddistingue l’unicità dell’utente come, ad esempio, la sua impronta digitale o un altro riconoscimento biometrico.

Dunque, addio alle transazioni online effettuate inserendo solo il numero della carta di credito e i codici generati da un token.