La gestione bancaria con app bancarie su Android che siano conformi alle normative PSD2 È ormai una prassi consolidata per aziende e utenti. Pagamenti online, mobile banking, aggregatori finanziari… tutto si basa su questa direttiva europea che ha completamente rivoluzionato il settore in termini di sicurezza, concorrenza e innovazione nei metodi di pagamento.
Se hai notato che la tua banca ora ti chiede doppia verifica per accedere o pagareIl fatto che esistano app che si connettono con più entità contemporaneamente, o che le carte coordinate siano ormai quasi inutilizzate, viene “biasimato” dalla PSD2 e dalla spinta verso la cosiddetta banca apertaAnalizziamo con calma di cosa si tratta, come funziona e cosa significa per aziende, banche, società fintech e clienti.
Cos'è la PSD2 e perché se ne parla così tanto?
PSD2 è il Seconda direttiva sui servizi di pagamento dell'Unione europea (Direttiva sui servizi di pagamento 2) disciplina le modalità di fornitura e supervisione dei servizi di pagamento all'interno dello Spazio economico europeo. È nata come revisione della prima PSD del 2007, che già mirava a promuovere un mercato unico dei pagamenti nell'UEMa si era rivelata inadeguata di fronte al boom dell'e-commerce, del banking online e del fintech.
Con questa revisione, la Commissione europea si propone di tre obiettivi principaliPer rafforzare la sicurezza delle transazioni, proteggere meglio i consumatori e aumentare la concorrenza e l'innovazione nel settore finanziario. Tutto ciò ponendo le basi per quello che è noto come open bankingdove i dati bancari non sono più vincolati a ciascuna banca e possono essere condivisi con terze parti in modo controllato e sicuro.
La direttiva ha iniziato ad essere attuata gradualmente. dal 13 gennaio 2018Tuttavia, la tappa fondamentale è stata l'entrata in vigore degli obblighi relativi all'autenticazione forte e all'accesso da parte di terzi. il 14 settembre 2019Per non "interrompere" il commercio elettronico, l'Autorità bancaria europea ha stabilito un ulteriore periodo di transizione, prorogato al più tardi fino al 31 dicembre 2020.
Principali novità introdotte da PSD2
Il cambiamento più eclatante è l'obbligo per le banche aprire la propria infrastruttura di pagamento a società terze autorizzati, noti come TPP (Third Party Payment Service Providers). Ciò include nuovi tipi di servizi regolamentati e la ridefinizione della sicurezza nei pagamenti online attraverso il autenticazione forte del cliente (SCA).
Servizi di avvio dei pagamenti (PIS)
I servizi di avvio dei pagamenti, o PIS, consentono a una terza parte avviare un pagamento direttamente dal conto bancario del cliente. L'app o la piattaforma TPP compila automaticamente i dettagli del trasferimento (importo, IBAN, descrizione) e notifica al commerciante che la transazione è stata avviata con successo.
Grazie a PSD2, un utente può Paga tramite l'app della tua banca con uno qualsiasi dei tuoi conti.Anche se appartengono ad altre entità, purché abbiano dato il loro consenso e sussista l'integrazione tecnica appropriata. Ciò semplifica i pagamenti online e riduce gli intermediari, aumentando al contempo il controllo del cliente su come e da dove paga.
Servizi di informazione sugli account (AIS)
I servizi di informazione sugli account (AIS) si concentrano su raccogliere e memorizzare dati da più conti bancari dallo stesso cliente in un unico ambiente. Pertanto, la persona o l'azienda ottiene un Panoramica globale della tua situazione finanziaria e può analizzare facilmente entrate, uscite, risparmi e necessità di finanziamento.
Queste soluzioni di aggregazione finanziaria sono alla base di molte app per gestione bancaria avanzata e strumenti per le imprese che automatizzano la riconciliazione, la rendicontazione e l'analisi della tesoreria. Prima della PSD2, i TPP che offrivano questi tipi di servizi incontravano barriere legali e tecniche Ciò ha impedito loro di estendere il proprio modello a livello europeo.
Apertura a terze parti e fine dello "screen scraping"
Con la PSD2, le banche sono tenute a consentire l'accesso standardizzato e sicuro ai conti di questi fornitori. In pratica, ciò si traduce nell'utilizzo di API di open bankingSebbene la direttiva non menzioni esplicitamente il termine API, il consenso nel settore è che rappresentino il mezzo tecnico più ragionevole per conformarsi allo standard.
Regolamentando l'accesso, l'obiettivo è anche quello di limitare le tecniche non sicure come raschiatura dello schermoQueste truffe prevedevano un'app che impersonava l'utente, ne acquisiva lo schermo e riutilizzava le sue credenziali. In base alle nuove normative, i TPP devono essere registrato, autorizzato e vigilato autorizzate dalle autorità competenti, operano tramite interfacce sicure e hanno sempre il consenso esplicito del cliente.
Autenticazione forte del cliente (SCA): il nuovo standard di sicurezza
L'altro componente principale della PSD2 è l'autenticazione forte del cliente (SCA). Questo requisito mira a garantire che I pagamenti online e l'accesso all'account saranno molto più sicurisia sul web che nelle app per dispositivi mobili o in altri canali elettronici.
La SCA richiede che, con poche eccezioni, almeno due di questi tre fattori per autorizzare operazioni e accessi:
- Qualcosa che sai: una password, un PIN, una sequenza, una chiave di firma.
- Qualcosa che possiedi: un telefono cellulare, un token fisico, una tessera magnetica, un codice monouso.
- Qualcosa che sei: dati biometrici come impronte digitali, riconoscimento facciale o iride.
Questi fattori devono essere indipendenti l'uno dall'altroIn questo modo, se un account viene compromesso, gli altri non saranno a rischio. Ad esempio, anche se qualcuno ruba la password, non sarà in grado di utilizzare il sistema se non ha accesso al dispositivo mobile o non riesce a trasmettere le [informazioni/dati/password]. controllo biometrico.
In pratica, ciò significa che Inserire semplicemente il numero della carta, la data di scadenza e il codice CVV non è più sufficiente. Per completare un acquisto online, il pagamento richiede solitamente un passaggio aggiuntivo, come l'inserimento di un codice ricevuto via SMS, l'approvazione di una notifica nell'app della banca o la convalida tramite impronta digitale o riconoscimento facciale.
Pagamenti online con carta passo dopo passo
Per un utente, il processo di pagamento con carta in un negozio di e-commerce conforme alla PSD2 si presenta generalmente in questo modo:
- Il cliente entra nel Dati della carta (numero, titolare, data di scadenza e CVV) alla cassa del negozio, assicurandosi che siano scritti correttamente.
- Il commercio invia il richiesta di pagamento alla banca emittente in modo che possa elaborarlo.
- La banca attiva il flusso di autenticazione forteIn genere, viene inviato un SMS con un codice monouso o una notifica all'app della banca, che il cliente deve autenticare tramite PIN, impronta digitale o altro metodo. Una volta verificata l'identità, la transazione viene autorizzata.
È un processo che di solito richiede tempo pochi secondi o minutiSe la procedura di autenticazione non viene completata correttamente, la transazione potrebbe essere rifiutata dalla banca emittente, talvolta senza che il consumatore ne comprenda il motivo.
Consigli per pagare senza problemi
Per ridurre al minimo gli incidenti, è fondamentale che l'utente abbia Tieni il cellulare a portata di mano durante il pagamento. E, preferibilmente, installa l'app della tua banca con le notifiche abilitate. Molte banche stanno passando dagli SMS tradizionali a sistemi come... conferma tramite appdove il cliente riceve una notifica e si autentica tramite dati biometrici o un proprio codice.
In caso di guasti, si raccomanda di verificare che il il numero di telefono è correttamente associato all'account, assicurandosi che i dati della carta siano inseriti correttamente e che il codice ricevuto sia inserito senza errori, rispettando lettere maiuscole, minuscole e numeri. Se il problema persiste, il canale appropriato per risolverlo è il servizio clienti della bancache può indicare il metodo di autenticazione corrente e come configurarlo.
Come è cambiato l'accesso ai servizi bancari online
La SCA non influisce solo sui pagamenti; ha anche trasformato il modo in cui... accesso ai servizi bancari online e alle app per dispositivi mobiliIn passato, nome utente e password erano solitamente sufficienti. Ora, è prassi comune richiedere un nome utente, una password o un'altra forma di autenticazione, almeno al primo accesso o periodicamente. secondo fattore di autenticazione.
In molte banche, lo schema usuale è quello di combinare le solite credenziali (nome utente, codice fiscale, password, impronta digitale o riconoscimento facciale) con un codice temporaneo ricevuto tramite SMS o con l'approvazione di una notifica nell'app. Alcune entità stanno sfruttando questo cambiamento per eliminare in modo permanente il carta delle coordinate e sostituirlo con chiavi dinamiche.
Inoltre, la normativa consente alle banche di applicare l'autenticazione forte del cliente (SCA) solo in determinati casi, per semplificare le cose agli utenti. Ad esempio, molti istituti hanno scelto di richiedere l'accesso all'estratto conto completo. autenticazione avanzata ogni 90 giorniin modo che durante tale periodo sia possibile accedere con un singolo fattore senza dover ripetere l'intero processo.
Questo approccio ha portato ad alcune entità, come ING o Targobank, un'app mobile è praticamente obbligatoria per funzionare normalmente. In questi casi, quando si accede dal computer, viene inviata una notifica allo smartphone per verificare l'identità e autorizzare sia l'accesso che le operazioni sensibili.
Open banking: come banche, app e aziende si connettono
PSD2 è anche il principale motore di open bankingIn base a questo concetto, l'utente può autorizzare terze parti (TPP) ad accedere ai propri account per effettuare pagamenti per suo conto (PISP) o per consultare e aggiungere informazioni finanziarie (AISP), sempre nel rispetto di un solido quadro di sicurezza e privacy.
In termini tecnici, ciò si basa su API bancarie standardizzateche consentono a un negozio online, a un software gestionale o a un'app finanziaria di connettersi con una o più banche per eseguire pagamenti o scaricare transazioni senza utilizzare le credenziali del cliente o ricorrere a pratiche non sicure.
Per le imprese e i siti di e-commerce, questo si traduce in nuovi attori come PISP (Provider di servizi di avvio pagamento), che agiscono come intermediari tra il commerciante e la banca del cliente, e il AISP (Fornitori di servizi di informazione sugli account)che si concentrano sul raggruppamento di informazioni su prodotti e servizi finanziari in un'unica piattaforma.
Gestione automatizzata dei servizi bancari per le aziende
Sulla base di ciò, emergono soluzioni di integrazione bancaria avanzate, come ad esempio API certificate PSD2 che consentono a un software ERP o gestionale di connettersi direttamente con le banche. Strumenti come IQ Banking Core sono un esempio di piattaforma che Automatizza l'importazione delle transazioni e l'emissione dei pagamenti. senza dover accedere manualmente a ciascun conto bancario online.
Questi tipi di soluzioni, integrate con sistemi come Business Central e riconosciute dai produttori di tecnologia, semplificano il lavoro delle aziende Gestisci la tua tesoreria da un unico ambienteRidurre gli errori, velocizzare le riconciliazioni e garantire che i flussi siano conformi alle normative europee in materia di pagamenti.
Impatto sulla sicurezza, sulla responsabilità e sulla lotta alle frodi
Uno degli obiettivi chiave della PSD2 è Ridurre drasticamente le frodi nei pagamenti online e nell'accesso ai prodotti finanziari. SCA, l'uso di API sicure e la regolamentazione dei TPP fanno parte di un quadro più ampio che si collega anche ad altri quadri come eIDASAML e KYC.
In questo contesto, l'autenticazione forte diventa inseparabile dall' processi di verifica dell'identitàLa classica procedura KYC (Know Your Customer) viene rafforzata con il concetto di SCA (Strong Customer Authentication) per garantire che l'operatore sia effettivamente chi dichiara di essere, sia all'inizio di un rapporto (apertura di un conto, registrazione a un servizio) sia al momento di effettuare pagamenti sensibili.
Biometria facciale e verifica avanzata
Nell'ambito dei metodi SCA, il biometria facciale Sta acquisendo importanza come fattore intrinseco. I sistemi avanzati di riconoscimento facciale possono generare un modelli biometrici unici associata all'identità dell'utente e verifica in tempo reale che ci sia una persona reale dietro la telecamera, prevenendo frodi tramite foto, video o deepfake.
Le soluzioni di identificazione video come VideoID si combinano in tempo reale decine di controlli tramite intelligenza artificiale e apprendimento automaticoDal rilevamento della profondità ai gesti dinamici, questi processi garantiscono che il cliente sia chi dichiara di essere. Soddisfano i requisiti PSD2 ed eIDAS per la SCA, a differenza dei metodi basati esclusivamente su selfie statici o immagini caricate. Non offrono lo stesso livello di sicurezza.
Modifiche in materia di responsabilità per frode
La PSD2 adegua anche la distribuzione delle responsabilità quando un pagamento non autorizzatoOra, l'utente è responsabile solo fino a un massimo di 50 euro, rispetto ai 150 euro previsti dalla normativa precedente, a meno che non vi sia stata colpa grave o frode da parte sua.
Ciò costringe banche, PSP e commercianti a rafforzare i controlli di autenticazione e prevenzione delle frodiPerché la maggior parte del rischio economico derivante da transazioni fraudolente ricade su di loro. Non basta semplicemente spuntare una casella di conformità; è necessario dimostrare di aver implementato misure di sicurezza adeguate.
PSD2 per negozi online e fornitori di servizi di pagamento
Per le aziende di e-commerce, PSD2 significa adattarsi a un ambiente in cui molte transazioni sono soggette a SCA e in cui le banche emittenti Possono rifiutare le transazioni che non sono conformi allo standard.Tuttavia, la direttiva include anche esenzioni (per importi bassi, transazioni ricorrenti, pagamenti a basso rischio, ecc.) che possono essere applicati tramite i fornitori di servizi di pagamento.
Le aziende che avevano già metodi di autenticazione robusti I sistemi di sicurezza come il 3D Secure hanno richiesto meno modifiche strutturali, sebbene sia stato necessario aggiornarli a versioni più recenti e avanzate. Chi non disponeva di questi sistemi ha dovuto coordinarsi con il proprio fornitore di gateway di pagamento. migrazione verso soluzioni conformi alla PSD2.
3D Secure 2.0 e conformità automatica
Uno degli strumenti chiave per conformarsi alla PSD2 nei pagamenti con carta è 3D sicuro 2.0Questo protocollo aggiunge un ulteriore livello di verifica tra il titolare della carta, la banca emittente e l'esercente. I fornitori di servizi di pagamento (PSP) come Adyen e MONEI integrano questo sistema e gestiscono l'intero processo. transazioni di percorso che rientrano nell'ambito di applicazione della PSD2 verso 3D Secure quando appropriato.
Tra i vantaggi di 3D Secure 2.0, spiccano i seguenti: riduzione del rischio di frode, maggiore protezione contro i chargeback e la possibilità di espandere il business internazionale con un elevato livello di sicurezza. Inoltre, il protocollo è stato progettato per migliorare l'esperienza dell'utente Rispetto alle versioni precedenti, consente flussi "senza attrito" quando il rischio dell'operazione è basso.
In molti casi, è sufficiente utilizzare un gateway di pagamento moderno che supporti Autenticazione e autorizzazione conformi alla PSD2La transazione copre già una buona parte degli obblighi, senza la necessità di sviluppare una propria logica SCA.
Quali operazioni sono incluse ed escluse dall'ambito di applicazione della PSD2?
La PSD2 si applica a una vasta gamma di Pagamenti elettronici nello Spazio economico europeoTuttavia, esistono scenari che esulano dal suo ambito di applicazione o che beneficiano di esenzioni. Ad esempio, le transazioni avviate da Telefono o posta elettronica oppure alcuni pagamenti con carte prepagate anonime potrebbero non richiedere l'autenticazione forte del cliente (SCA).
Inoltre, la direttiva estende la ambito geograficoSe una delle parti coinvolte nella transazione (la banca o il cliente) si trova nell'UE, le normative si applicano a entrambe le parti. Ciò influisce sia sul metodo di autenticazione sia su aspetti quali... divieto di addebiti aggiuntivi in alcuni metodi di pagamento in paesi come la Spagna.
Rapporti con altre normative: eIDAS, AML e KYC
La PSD2 non esiste in isolamento. Fa parte di un ecosistema normativo che comprende eIDAS (servizi di identità e fiducia)le regole di prevenzione del riciclaggio di denaro (AML) e i processi di Conosci il tuo cliente (KYC)Insieme, queste normative mirano a garantire che l'economia digitale si sviluppi su processi sicuri, tracciabili e affidabili.
Fornitori specializzati, come Signicat e altre società RegTech, offrono soluzioni "conformi" che combinano identità digitale, firma elettronica, SCA, KYC e AML in modo che banche, fintech e organizzazioni possano operare in tutta l'UE con garanzie legali e un'esperienza utente senza interruzioni. Molte di queste soluzioni includono guide pratiche, come Tutorial per l'installazione dei certificati digitaliche facilitano l'implementazione.
Per le società finanziarie, ciò rappresenta sia una sfida che un'opportunità: chi automatizzare bene questi processi Potrai espandere la tua attività, ridurre frodi e attriti e conquistare la fiducia dei clienti in diversi mercati.
In definitiva, PSD2 e l'open banking hanno plasmato un ecosistema in cui app bancarie, negozi online, fintech e grandi piattaforme Collaborano su infrastrutture sicure e regolamentate, offrendo all'utente maggiori opzioni e un maggiore controllo.
Comprendere il funzionamento dell'autenticazione forte, dei servizi PIS/AIS, delle API bancarie e della nuova divisione delle responsabilità non è più una prerogativa esclusiva di tecnici o avvocati: è fondamentale per qualsiasi azienda che desideri offrire pagamenti digitali affidabili e per qualsiasi utente che voglia navigare con sicurezza nell'online banking odierno. Condividi le informazioni in modo che più utenti conoscano l'argomento.