Sicurezza delle banche online e DSP2: cosa c'è da sapere
La DSP2 rafforza la sicurezza dei pagamenti online grazie all'autenticazione forte. Scopri cosa cambia questa direttiva per i tuoi conti bancari.
La diffusione dei servizi bancari online ha trasformato il nostro modo di gestire il denaro. Ma questa comodità è accompagnata da nuovi rischi legati a frodi e furti di dati. Per rafforzare la protezione dei consumatori, l'Unione Europea ha introdotto la seconda direttiva sui servizi di pagamento, meglio conosciuta come DSP2. Questo articolo spiega cosa comporta questa normativa e come influisce sulla sicurezza delle tue operazioni bancarie quotidiane.
Cos'è la DSP2?
La DSP2 (Direttiva sui servizi di pagamento 2, o PSD2 in inglese) è una direttiva europea adottata nel 2015 ed entrata progressivamente in vigore a partire dal 2018. Sostituisce la prima direttiva sui servizi di pagamento e persegue diversi obiettivi principali: rafforzare la sicurezza dei pagamenti elettronici, promuovere l'innovazione e la concorrenza e migliorare la protezione dei consumatori.
Questa direttiva si applica a tutti i prestatori di servizi di pagamento che operano nello Spazio Economico Europeo. Regolamenta in particolare i pagamenti con carta, i bonifici e i nuovi attori del settore finanziario, come gli aggregatori di conti e i servizi di iniziazione di pagamento.
I grandi principi introdotti dalla DSP2
La DSP2 si basa su due pilastri principali. Il primo riguarda l'autenticazione forte del cliente, volta a migliorare la sicurezza delle transazioni. Il secondo riguarda l'apertura del sistema bancario, chiamata « open banking », che consente a prestatori terzi di accedere, con il consenso del cliente, a determinati dati bancari tramite interfacce dedicate.
L'autenticazione forte del cliente (SCA)
Uno dei contributi più visibili della DSP2 per gli utenti è l'autenticazione forte del cliente, spesso indicata con l'acronimo SCA (Strong Customer Authentication). Questo meccanismo mira a ridurre le frodi durante i pagamenti online e l'accesso ai conti.
Il principio dei tre fattori
L'autenticazione forte richiede la combinazione di almeno due elementi indipendenti appartenenti a tre categorie distinte:
- La conoscenza: qualcosa che solo l'utente conosce, come una password o un codice confidenziale.
- Il possesso: qualcosa che solo l'utente detiene, come un telefono cellulare o un dispositivo di sicurezza.
- L'inerenza: qualcosa che caratterizza l'utente, come un'impronta digitale o il riconoscimento facciale.
L'indipendenza di questi fattori è essenziale: la compromissione di uno non deve compromettere l'affidabilità degli altri. Per questo motivo, la semplice immissione di una password non è più sufficiente per convalidare molte operazioni.
In concreto, cosa cambia per te?
Nella pratica, probabilmente hai già notato questi cambiamenti. Durante un acquisto online, la tua banca potrebbe chiederti di confermare la transazione tramite la sua applicazione mobile, con una notifica da convalidare, inserendo un codice ricevuto via messaggio o tramite la tua impronta digitale. Il codice unico inviato via SMS, utilizzato da solo, viene progressivamente integrato o sostituito da metodi ritenuti più robusti.
L'obiettivo è assicurarsi che la persona che effettua l'operazione sia effettivamente il titolare legittimo del conto. Questo passaggio aggiuntivo può sembrare scomodo, ma contribuisce a limitare l'uso fraudolento di dati bancari rubati.
I casi di esenzione
La normativa prevede alcune esenzioni all'autenticazione forte, al fine di non appesantire inutilmente l'esperienza utente. Tra le situazioni interessate figurano in particolare i pagamenti di importo ridotto, i pagamenti ricorrenti di importo identico verso lo stesso beneficiario, o ancora i bonifici verso un beneficiario che hai precedentemente registrato come affidabile. Queste esenzioni sono disciplinate da criteri precisi e la loro applicazione dipende dall'analisi del rischio effettuata dal prestatore di servizi di pagamento.
L'open banking e la condivisione dei dati
La DSP2 ha anche aperto il mercato bancario a nuovi attori regolamentati. Con il tuo consenso esplicito, prestatori terzi possono accedere a determinate informazioni dei tuoi conti.
I prestatori di servizi di informazione sui conti
Questi prestatori, a volte chiamati aggregatori, ti permettono di visualizzare tutti i tuoi conti detenuti in diverse banche all'interno di un'unica interfaccia. Ciò facilita il monitoraggio del tuo budget e la gestione delle tue finanze personali.
I prestatori di servizi di iniziazione di pagamento
Altri prestatori possono avviare un pagamento direttamente dal tuo conto bancario, su tua richiesta, senza passare per una carta. Questo servizio è utilizzato in particolare da alcuni commercianti online.
In tutti i casi, l'accesso ai tuoi dati rimane soggetto al tuo consenso. I prestatori terzi devono essere autorizzati dalle autorità competenti e rispettare requisiti rigorosi in materia di sicurezza e protezione dei dati. Generalmente puoi revocare il tuo consenso in qualsiasi momento.
Quali protezioni per i consumatori?
La DSP2 ha rafforzato diversi diritti degli utenti dei servizi di pagamento. In caso di operazione di pagamento non autorizzata, la normativa disciplina le condizioni di rimborso. Quando si verifica una frode e l'autenticazione forte non è stata applicata pur dovendo esserlo, la responsabilità del pagatore può essere ridotta, a condizione che non abbia agito in modo fraudolento o gravemente negligente.
È tuttavia importante comprendere che la responsabilità dell'utente rimane impegnata se ha dimostrato grave negligenza, ad esem
Articoli correlati
Gestisci le tue finanze con Finance.HDdev
Monitora il tuo budget, sincronizza i tuoi conti bancari e raggiungi i tuoi obiettivi finanziari.