È entrata in vigore lo scorso 14 settembre la Direttiva Europea 2015/2366 per i pagamenti elettronici, meglio nota con l’acronimo PSD2 (Payment Services Directive 2), che prevede nuove regole per l’accesso e l’utilizzo dei servizi di internet banking.
L’obiettivo finale della Commissione Europea è di garantire una maggior sicurezza e trasparenza delle transazioni nel vecchio continente, ma anche di fornire un accesso sicuro a forme più innovative di pagamenti online e via smartphone proteggendo gli utenti dalle sempre più diffuse frodi online.
Addio ai token fisici
Si tratta di novità importanti che vedono tra i principali protagonisti proprio i nostri smartphone, le cui funzionalità vengono ora utilizzate al posto delle vecchie chiavette distribuite dagli istituti bancari per l’autenticazione del titolare del conto online e per l’autorizzazione delle operazioni e dei pagamenti digitali. I cosiddetti token fisici. In sostanza, dal 14 settembre chi non possiede uno smartphone non potrà utilizzare i servizi bancari online (entrare nel conto, effettuare bonifici, pagamenti e così via).
PSD2: sicurezza via smartphone
Secondo quanto disposto dalla direttiva, infatti, d’ora in poi i pagamenti digitali dovranno essere autorizzati autenticando l’utente con almeno due elementi di riconoscimento. Le opzioni tra le quali le banche possono scegliere sono tre in totale.
- Utilizzare un oggetto che possiede solo il cliente. In questo caso quasi tutte le banche hanno individuato lo strumento che tutti noi possediamo privatamente: lo smartphone.
- Ricorrere a una caratteristica univoca del cliente. Si tratta solitamente di un fattore biometrico e anche qui entrano in gioco i nostri smartphone, o meglio, le loro funzionalità di scansione ad esempio delle impronte digitali e/o di riconoscimento facciale.
- ottenere un’informazione nota solo al cliente, come un PIN o una password.
Questa procedura di Strong Customer Authentication (SCA) rispetta i tre pilastri della sicurezza: possesso, conoscenza, inerenza.
Potendo scegliere tra due di queste tre opzioni, la procedura può cambiare a seconda dell’istituto bancario di appartenenza. Per fare un esempio pratico, alcune banche ora chiedono, per entrare nel proprio conto bancario online, l’inserimento del codice univoco (valido solo una volta) che si riceverà sul proprio smartphone come notifica push, o un token mobile generato dall’apposita applicazione, installata sempre sul proprio device smart. In altri casi quello che viene generato è un QR code che deve essere scansionato sempre mediante smartphone, utilizzando la fotocamera come scanner. Alcune banche richiedono una combinazione di questi fattori. Lo stesso vale per l’autorizzazione a operare sul conto ovvero per le cosiddette operazioni dispositive.
Tutto questo sia nel caso in cui si acceda al conto da PC, sia nel caso in cui l’accesso avvenga mediante app. In quest’ultimo caso, nella maggioranza dei casi, è lo stesso smartphone a gestire l’autenticazione, leggendo in automatico l’OTP (One Time Password) o il token virtuale generato dall’applicazione della banca, senza bisogno che l’utente lo digiti manualmente.
Conto bancario senza smartphone
Insomma è chiaro che la nuova Payment Services Directive 2 presupponga il possesso di uno smartphone. E chi non ce l’ha? Le alternative sono tre:
- recarsi in filiale per ogni operazione, anche quella semplice dell’estratto conto;
- richiedere l’attivazione del servizio OTP via SMS che però è quasi sempre a pagamento;
- acquistare uno smartphone.