Le principali finalità della Direttiva europea 2015/2366 sui servizi di pagamento nel mercato interno, PSD2 – Payment Services Directive 2, sono: contrastare le frodi e accrescere la fiducia dei consumatori nei pagamenti digitali modernizzando il quadro normativo che regola i servizi digitali innovativi.
La PSD2 si rivolge a tutti i fornitori di servizi di pagamento: banche, assicurazioni e c.d. Terze parti (Third Party Providers -TPP) ovvero prestatori di servizi di pagamento diversi da quelli presso i quali sono radicati i conti degli utenti.
Addio al Token
Con la PSD2, sia l’autenticazione che l’accesso al conto corrente devono avvenire obbligatoriamente con la combinazione di almeno due strumenti: token mobile, password, impronta digitale o dati biometrici. Le attuali chiavette non possono supportare questo sistema di doppi codici di sicurezza voluto dall’Europa e sono destinati ad andare in pensione.
Quali sono i servizi bancari interessati?
Tutte le operazioni effettuate tramite:
- canali remoti (es. bonifici, ricariche telefoniche)
- carte di credito, di debito e prepagate
- POS
A che punto sono le banche?
- Intesa Sanpaolo ha già mandato in pensione la chiavetta O’Key
- UniCredit ha risolto la questione tramite l’uso di Mobile Token e/o UniCredit Pass
- Banca Sella e Banca Monte dei Paschi puntano sui fattori biometrici dei nuovi smartphone come il Touch ID o il Face ID per accedere al proprio conto online.
- Credit Agricole invia gli otp con sms o con chiamata su cellulare certificato.
Per gli istituti di credito ritardatari la Banca d’Italia ha già concesso un termine supplementare, per evitare disagi ai clienti per il passaggio alle nuove procedure. Nel frattempo sarà possibile continuare a effettuare bonifici e operazioni secondo le precedenti modalità. Il nostro consiglio e di leggere le informazioni in merito presso il sito della tua banca o chiedere informazioni direttamente in filiale.
Quali sono le nuove misure di sicurezza introdotte?
Per i pagamenti online e mobile superiori ai 30 euro sarà richiesta l’Autenticazione forte del cliente (Strong Customer Authentication – SCA) basata su almeno due fattori appartenenti alle seguenti categorie:
- Conoscenza: un’informazione nota solo al cliente, ad esempio la password, un codice, un numero identificativo personale.
- Possesso: un oggetto che possiede solo il cliente, ad esempio lo smartphone.
- Inerenza: una caratteristica che possiede solo il cliente, ad esempio l’impronta digitale o un altro fattore biometrico.
I fattori devono essere reciprocamente indipendenti, cioè la violazione di uno non compromette l’altro. Inoltre almeno uno degli elementi dovrebbe essere non riutilizzabile e non replicabile e non trafugabile via Internet. Insomma, è necessario un codice usa e getta per ogni operazione.
Cosa accade in caso di pagamenti non autorizzati?
Il cliente ha la possibilità di disconoscere operazioni non autorizzate entro 13 mesidall’addebito delle stesse sul conto corrente. Il rimborso dell’importo disconosciuto dovrà essere effettuato entro la giornata lavorativa successiva a quella in cui è stata fatta la richiesta. La Banca non è tenuta al rimborso solo nel caso in cui vi sia un motivato sospetto di frode da parte del cliente.
Lascia un commento