4 Giugno 2021

Open banking: i nuovi metodi di autenticazione per i pagamenti digitali

Open banking: la rivoluzione del sistema bancario

L’Open Banking è il modello finanziario introdotto dalla PSD2 con l’obiettivo di rendere i pagamenti online più semplici e sicuri grazie alle nuove misure di autenticazione che evitano il rischio di frodi.

Che cos’è l’Open banking?

La PSD2, acronimo di Payment Service Directive 2, è la direttiva europea sui servizi di pagamento entrata in vigore il 13 gennaio 2018 con molteplici obiettivi: rendere più sicuri i pagamenti digitali, semplificare i processi di transazione digitale e creare un modello Open Banking tramite la condivisione di dati con terze parti.

Che cos’è l’Open Banking? Open Banking significa letteralmente “sistema bancario dai dati aperti” ed è un modello collaborativo tra più player di mercato (banche e aziende fintech) che condividono dati bancari dei clienti (ad esempio: saldo disponibile, dettagli di spesa, entrate e uscite) mediante piattaforme tecnologiche aperte allo scopo di proporre agli utenti nuovi servizi e prodotti innovativi con l’obiettivo di migliorare l’esperienza del cliente.

In altre parole, il concetto di Open Banking fa riferimento a un nuovo modo di “fare banca” che prevede un ecosistema finanziario più aperto e collaborativo in cui gli istituti bancari condividono le informazioni finanziarie dei lori clienti, previo consenso degli stessi, con soggetti terzi (Third Party Provider-TPP) tramite open API (Application Programming Interface) che consentono lo scambio di dati e informazioni tra banche e altri fornitori di servizi.

Come vengono condivise le API? In modo completamente sicuro ed esclusivamente a condizioni approvate dal cliente stesso. Infatti, vengono condivisi con le società terze solo i dati autorizzati dal cliente in accordo con la normativa GDPR.

Cerchi una soluzione di pagamento semplice, innovativa e conveniente? Scopri ora tutte le nostre tariffe e scegli tra quella più adatta al tuo business


Third Party Provider e Open Banking: chi sono le terze parti?

Open Banking, grazie alla condivisione delle API da parte delle Banche con società di terze parti, prevede l’ingresso di nuovi attori nel mercato finanziario:

  • AISP o Account Information Service Provider
    Gli AISP sono i fornitori di servizi che hanno accesso alle informazioni bancarie dei clienti e sono in grado di analizzare il comportamento di spesa degli utenti, raggruppare le informazioni relative alle spese periodiche e aggregare i dati bancari provenienti da diversi istituti finanziari in un’unica piattaforma.
  • PISP o Payment Initiation Service Provider
    I PISP sono i fornitori di servizi che hanno accesso alle informazioni bancarie dei clienti e sono in grado di prelevare denaro dal conto e inviare un pagamento, previo consenso dell’utente. In altre parole, si tratta di servizi in grado di fare da tramite tra un cliente che deve effettuare un pagamento e il suo conto bancario.
  • CISP o Card Issuer Service Provider
    I CISP sono i fornitori di servizi di pagamento basati su carte di debito associate a un conto corrente accessibile online e collegato a un istituto di credito diverso da quello che ha emesso la carta. Questi servizi sono in grado di verificare se la disponibilità di denaro sulla carta del cliente risulta sufficiente per ultimare la transazione con successo. Il CISP può ricevere dall’istituto bancario una risposta affermativa o negativa: non è in grado di verificare l’effettiva disponibilità della carta del cliente, bensì esclusivamente se la disponibilità residua è sufficiente per completare la transazione in questione.

La normativa europea PSD2, attraverso l’Open Banking, mira a rendere il mondo finanziario più democratico, concorrenziale e innovativo allo scopo di rafforzare la protezione dei consumatori mediante nuovi strumenti di autenticazione, semplificare la gestione delle finanze e i processi di transazione digitali e contribuire alla diffusione dei pagamenti digitali.

Sicurezza e Open Banking: Strong Customer Authentication e 3D Secure 2

L’Open Banking rappresenta una vera e propria rivoluzione del settore finanziario e implica che banche e società di terze parti rafforzino gli standard minimi di sicurezza per i pagamenti digitali.

Per rendere più sicuro l’online banking, la Payment Service Directive 2 introduce nuovi sistemi di autenticazione per i pagamenti online in Europa: il protocollo 3D Secure 2 e la Strong Customer Authentication (SCA).

Il 3D Secure 2 è un protocollo basato su XML e inserisce un livello di protezione intermedio tra la richiesta di pagamento e l’effettivo addebito sulla carta. Come funziona? Il sistema 3D Secure 2.0 consente agli esercenti di inviare in modo sicuro alla banca dell’acquirente oltre 100 dati informativi per ogni transazione. Una volta ricevute le informazioni, la banca del titolare della carta può valutare il livello di rischio della transazione e procedere in due diversi modi:

  1. Approvare la transazione: se i dati sono sufficienti per qualificare l’acquirente come il legittimo proprietario e titolare della carta di credito;
  2. Richiedere ulteriori dati al cliente per convalidare la transazione se le informazioni fornite sono ritenute insufficienti. In questo caso, il sistema 3D Secure 2.0 prevede un’ulteriore verifica secondo le modalità definite dalla banca del cliente: invio di un codice all’utente tramite e-mail o SMS o autenticazione biometrica attraverso i nuovi SDK mobili in grado di attivare l’App della banca sul dispositivo del cliente e richiedere una verifica mediante impronta digitale, riconoscimento facciale o semplice password.

Il 3DS 2.0 migliora la User Experience, rende l’autenticazione più dinamica e sicura e permette di utilizzare nuovi metodi di autenticazione basati sull’utilizzo della Strong Customer Authentication al fine di ridurre il numero di frodi.

Che cos’è la Strong Customer Authentication? La SCA, conosciuta anche come autenticazione a due fattori o autenticazione forte del cliente, consiste nella verifica di due diversi parametri di sicurezza per convalidare l’identità dell’utente prima che svolga il pagamento online:

  1. Qualcosa che il titolare conosce (ad esempio: un pin o una password);
  2. Qualcosa che il titolare possiede (ad esempio: uno smartphone o un token);
  3. Una caratteristica fisica univoca e specifica del titolare (ad esempio: l’impronta digitale).

SCA e Open Banking: quando non si usa l’autenticazione a due fattori?

L’autenticazione SCA si applica nei casi di Cardholder Initiated Transactions (CIT), ovvero pagamenti online iniziati dal cliente (ad esempio: acquisti effettuati su un sito e-Commerce) mentre non è prevista per le seguenti transazioni:

  • Merchant Initiated Transactions (MIT): transazioni inizializzate dall’esercente senza la partecipazione attiva del titolare, in virtù di un accordo/contratto con quest’ultimo che ne regola i termini di addebito. (ad esempio: servizi in abbonamento, dopo una prima approvazione da parte del cliente);
  • TO: transazioni effettuate in remoto dall’esercente (o da sistemi automatici) mediante inserimento manuale dei dati della carta su terminale virtuale. Si rammenta che le contestazioni per frode di queste transazioni sono in capo all’Acquirer/Esercente.

Un altro caso in cui è possibile effettuare transazioni senza la SCA è la richiesta di esenzione che si può applicare nei casi di:

  • Transazioni di importo inferiore a 30 euro: considerando però un limite di 100 € o 5 transazioni cumulate dalla stessa carta nelle 24 ore;
  • Transazioni a basso rischio: viene effettuata un’analisi del rischio di ogni singola transazione (Transaction Risk Analysis) detta TRA in base alla quale si può richiedere alla banca emittente di non fare la SCA. Le transazioni su cui si può richiedere questo tipo di esenzione sono soggette ad un limite di importo che varia a seconda del livello di frodi complessivo dell’Acquirer e può arrivare fino ad un massimo di 500 euro;
  • Transazioni a beneficiari affidabili: il titolare della carta può indicare uno specifico esercente alla propria banca emittente affinché sia inserito in una lista di beneficiari attendibili, in questo caso viene richiesta la SCA solo per la prima transazione effettuata presso l’esercente, chiamata appunto transazione di autenticazione, mentre gli acquisti successivi saranno esentati dalla SCA.

Vuoi proteggere i tuoi pagamenti online e quelli dei tuoi clienti?
Che tu sia un privato, un’e-commerce, una start up o un’impresa, con i sistemi di pagamento di Axepta puoi trovare la soluzione di pagamento online migliore per te.

Condividi questo articolo!