Conto corrente online, dal 14 settembre addio alle chiavette token

Sabato 14 settembre scatta la rivoluzione per i pagamenti online con il pensionamento delle chiavette token. Al loro posto un sistema di codici tramite smartphone

Dal 14 settembre parte la rivoluzione dei pagamenti digitali e tra le novità c’è l’addio alle chiavette token per le operazioni di home banking. Un sistema di codici, veicolati tramite smartphone, garantirà un riscontro immediato tra la banca e il cliente in ogni operazione. A dettare le nuove linee, l’ultima parte della direttiva europea dedicata ai servizi di pagamento digitali, la Psd2 (Payment Services Directive) che entra in vigore domani.

Da domani, dunque, per entrare e operare nella banca online, autenticarsi e autorizzare operazioni, si dovrà fare tutto attraverso lo smartphone. Le banche hanno iniziato mesi fa a richiamare i token fisici, che sono considerati rifiuti elettronici speciali e come tali vanno smaltiti.

Ma quali sono le vere novità per gli utenti? “La necessità di un doppio fattore indipendente di autenticazione (pin più codice usa e getta) e la possibilità di compiere una sola operazione per password generata sono i principali cambiamenti destinati a incidere sulla vita quotidiana dei cittadini”, spiega Maurizio Pimpinella, presidente dell’APSP, Associazione Prestatori di Servizi di Pagamento.

AUTENTICAZIONE FORTE PER L’HOME BANKING – “E’ questo il cuore della cosiddetta ‘Strong Customer Authentication’ o ‘Autenticazione Forte del Cliente’, il nuovo meccanismo di sicurezza che prestatori di pagamento e intermediari dovranno utilizzare ogniqualvolta sia necessario accedere a un conto di pagamento online o effettuare un’operazione elettronica tramite il proprio home banking”, prosegue Pimpinella.

“Questa procedura impone alle banche di verificare l’identità dell’utente e l’autenticità delle operazioni di pagamento attraverso l’utilizzo di due o più fattori tra loro indipendenti che facciano riferimento alle categorie della ‘conoscenza’ (qualcosa che solo l’utente conosce, ad esempio il pin), del ‘possesso’ (qualcosa che solo l’utente possiede, ad esempio l’OTP, one time password, generata dal proprio cellulare) e dell’’inerenza’ (qualcosa che solo l’utente è, ad esempio l’impronta digitale). In sostanza all’utente viene richiesto un doppio fattore di autenticazione per accedere al proprio conto ed effettuare i pagamenti”.

UNA SOLA OPERAZIONE PER PASSWORD GENERATA – Non solo. “Altra novità riguarda l’utilizzo delle password”, puntualizza il numero uno dell’APSP. “In precedenza era possibile compiere un numero indefinito di operazioni di pagamento con la medesima password. Con la nuova normativa, invece, ogni bonifico richiede un nuovo codice usa e getta. Tale codice è quindi collegato a una singola e unica operazione di pagamento che avviene nei confronti di un solo e unico beneficiario”.

TOKEN ADDIO? ‘NI’ – E il token? Sarà davvero da buttare? “Diciamo ‘ni’. Ciascun intermediario ha potuto decidere con una certa discrezionalità il modo in cui conformarsi alle nuove regole, pur sempre nel rispetto dei tre pilastri della sicurezza (possesso, conoscenza, inerenza)”, spiega ancora Pimpinella. “Tendenzialmente si è scelto di sostituire il vecchio token fisico con i nuovi codici generati direttamente dal proprio smartphone tramite app o inviati via sms. Tuttavia, in alcuni casi, la chiavetta che tutti conosciamo è rimasta: essa va però utilizzata in combinazione con altri requisiti di sicurezza. In genere, comunque, si cerca di disincentivarne l’uso con la previsione di canoni aggiuntivi”.

C’E’ ANCORA TEMPO PER ADEGUARSI – “Per i ritardatari la Banca d’Italia ha già concesso un termine supplementare, ancora da definire, onde evitare che i singoli utenti/consumatori possano subire disagi e disservizi dal passaggio alle nuove procedure”, conferma Pimpinella. “Chi usufruirà della proroga permetterà ai propri clienti di continuare a effettuare bonifici e operazioni secondo le precedenti modalità”. Non è ancora possibile, tuttavia, fornire un elenco esaustivo degli intermediari che hanno deciso di approfittare del tempo extra. “A questi verrà richiesto di presentare un piano di migrazione dettagliato dove dovranno illustrare, passo dopo passo, le azioni necessarie per procedere all’adeguamento”.

ARRIVA L’OPEN BANKING, ATTENZIONE AI DATI – Infine l’open banking. “Con la PSD2, per la prima volta, soggetti terzi possono essere autorizzati dai singoli utenti ad accedere al proprio conto al fine di offrire nuovi strumenti e servizi volti ad agevolare l’esperienza di home banking. In pratica le banche europee devono aprire le proprie API, Application Program Interface, a società fintech e ad altri soggetti che forniscono servizi di pagamento. Attenzione, però, al trattamento dei propri dati bancari – avvisa il presidente dell’APSP – che, difatti, verranno condivisi, seppur previo consenso, con tutte le realtà che si interfacceranno con il conto di pagamento online. Compresi i cosiddetti Gafa – Google, Apple, Facebook, Amazon – che recentemente hanno implementato nella loro offerta anche servizi di pagamento e finanziamento”.

In collaborazione con Adnkronos 

© Italiaonline S.p.A. 2019Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963

Conto corrente online, dal 14 settembre addio alle chiavette toke...