Il CTCU: alcuni consigli per i consumatori
La banca vi ha inviato una comunicazione di modifica delle condizioni d'uso del vostro bancomat o carta di credito o della funzione di accesso all'home-banking? Oppure, la nuova app della vostra banca vi richiede l'autorizzazione alla vostra cd. geo-localizzazione, anche quando siete in vacanza? Oppure ancora, qualche grossa piattaforma di vendite online vi chiede di poter accedere alle informazioni riguardanti il vostro conto corrente? Queste sono solo alcune delle novità con le quali ci si troverà confrontati dal 14 settembre prossimo, a seguito della piena operatività della cd. direttiva PSD2, che fra l'altro ha l'obiettivo di rendere più efficace il mercato interno dei servizi i pagamento, rendendolo al contempo anche più sicuro.
Libero accesso ai cd Operatori Terzi
La prima novità riguarda appunto il cd. open banking: dal 14 settembre le banche dovranno obbligatoriamente condividere con soggetti terzi, se espressamente autorizzati dal cliente, le informazioni del conto o dei conti correnti da questi posseduti. I clienti potranno permettere a questi soggetti anche di gestire operazioni di pagamento, ferma restando la facoltà dei clienti di revocare in ogni momento l'autorizzazione ai soggetti terzi, precedentemente concessa.
Sicurezza: l'autenticazione forte
Sul versante sicurezza, per quel che riguarda invece la cd. “autenticazione forte” delle operazioni di accesso ai conti oppure pagamento online (con collegamento tramite PC/internet o smartphone, ecc.) la Banca d'Italia ha concesso alle banche un'ulteriore proroga (il cui termine non stato ancora fissato), per completare gli adeguamenti tecnici necessari a predisporre la sicurezza delle operazioni online. Alcune banche sono già pronte, altre (pare) non ancora.
Come andrà verificata l'identità?
Lato sicurezza, l'identità degli utenti dovrà essere accertata attraverso l'utilizzo di almeno due su tre dei seguenti strumenti di autenticazione, classificati come:
- qualcosa che solo l'utente conosce, ad esempio un PIN o una password;
- qualcosa che solo l'utente ha, ad esempio un dispositivo smartphone o un diverso token;
- qualcosa che solo l'utente è, ad esempio l'impronta digitale oppure altro riconoscimento biometrico (occhio, viso ecc..).
Cosa cambia per i consumatori
Le transazioni a distanza (almeno in Europa) non potranno quindi più essere autorizzate solo inserendo il numero della propria carta di credito, nemmeno se accompagnato dal codice di verifica CVV riportato sul retro della carta. Alla pari, per accedere al proprio conto tramite homebanking, non sarà sufficiente il codice generato dai token fisici che negli ultimi anni le banche avevano distribuito ai propri clienti per aumentare la sicurezza delle transazioni, come non lo saranno più i “numeri segreti” contenuti nelle “carte-codice” adottate da altre banche. Per tutti gli accessi ed i pagamenti (con poche eccezioni, quale ad es. il pagamento contactless con carta nei punti vendita per importi fino a 50 euro) varrà la regola dell'autenticazione forte.
Operazioni di addebito sospette sul conto
Le operazioni sospette potranno essere contestate, sia quelle di natura legittima ma soggette ad anomalie, che quelle ritenute illegittime (per i dettagli rimandiamo al nostro precedente comunicato stampa).
Tirando le somme
“Riassumendo, la PSD2 dovrebbe portare più sicurezza per i clienti bancari, in quanto l'autenticazione forte mira ad evitare accessi criminali a conti e carte di pagamento. Il tutto porta con se procedure di accesso più complicate. I consumatori dovranno poi stare ancora più attenti alle firme che appongono, in quanto con le apposite autorizzazioni gli operatori terzi sono legittimati ad accedere ed operare su conti e carte” riassume il Direttore del Centro Tutela Consumatori Utenti, Walther Andreaus.
PSD2 – Un brevissimo glossario
Instant payment | pagamento istantaneo bonifico espresso su canali dedicati, diversi da quelli tradizionali |
Mobile payment | pagamento mobile Pagamento che viene effettuato da smartphone, smartwatch, ecc. |
Open banking | a differenza del tradizionale rapporto “chiuso” (banca – cliente) la PSD2 creerà dei rapporti “aperti” (banca – cliente – operatore terzo – servizio online di confronto prezzi - ...) |
OTP - one time password | password valida per una volta sola, per lo più numerica, che in questo contesto viene normalmente generata al momento ed ha una valenza molto breve (es. 60 secondi) |
SCA – strong customer autenthication | autenticazione forte dei clienti l'autenticazione deve avvenire per 2 fattori; il mero inserimento di username e password non è più sufficiente |
Lista TAN: lista con numeri di autenticazione delle transazioni | procedura usata da alcune banche fino ad oggi: la banca consegnava un elenco di numeri, e ad ogni operazione (= transazione) il cliente doveva inserire uno dei numeri non ancora usati. La procedura non è più conforme alle norme della PSD2, e le TAN devono essere generate in altro modo (ad es. photoTAN o QR-TAN) |
Token | ausilio fisico per l'identificazione ed autenticazione |
TPP - Third Party Providers | operatore terzo, che può accedere alle carte o ai conti se munito di opportuna autorizzazione del cliente |