Open Banking: restituire agli utenti quel che è degli utenti

Il 31 dicembre 2020 scade la proroga concessa dalla European Banking Authority (EBA) per l’implementazione della Payment Service Directive 2 (PSD2). La nuova direttiva europea per i pagamenti online, conosciuta anche come Open Banking, impone a banche e istituti di credito di aprire le proprie API ad altri attori Fintech approvati, con tutta una serie di regolamentazioni per le problematiche di sicurezza annesse (SCA).

Perché Open Banking?

Nonostante il mondo Fintech sia in continua evoluzione, lo stesso non possiamo dire delle banche, la cui visione non si è molto spostata dagli anni ’50, eccetto qualche lifting. Questo è dovuto al possesso di fatto dei dati finanziari degli utenti da parte delle banche stesse, che dietro il paravento della privacy hanno escluso qualsiasi altro attore dalla possibilità di creare servizi tagliati sul profilo dell’utente stesso.
In altre parole, i dati degli utenti sono blindati nelle banche, e questa chiusura ha sostanzialmente creato uno sbilanciamento eccessivo a favore delle banche, a scapito soprattutto degli utenti.

Proprio nel tentativo di aprire a un regime di concorrenza e ribilanciare i rapporti, l’Unione Europea emise la direttiva 2007/64/CE, nota anche come Payments Service Directive (PSD).

Proprio nel tentativo di aprire a un regime di concorrenza e ribilanciare i rapporti, l’Unione Europea emise la direttiva 2007/64/CE, nota anche come Payments Service Directive (PSD).
Da allora, con l’evoluzione delle tecnologie digitali e l’ingresso di nuovi operatori dal mondo Fintech, si andò avvertendo l’urgenza di una revisione. Il primo a capire l’importanza della creazione di uno standard Open Banking fu il Regno Unito, il cui Ministero del Tesoro nel 2015 annunciò il proprio commitment nel rilascio di un open standard per API nel sistema bancario britannico.
Lo scopo dichiarato era di aiutare gli utenti ad avere più controllo sui propri dati e per facilitare le FinTechs ad accedere a tali dati per la creazione di servizi innovativi.

Nell’estate dello stesso anno veniva creato l’Open Banking Working Group (OBWG), con la missione di portare avanti il progetto.
La risposta Europea non si fece attendere, e in novembre la direttiva 2015/2366/EU, conosciuta come PSD2 fu varata dal Parlamento Europeo.

Aprirsi al mondo: ovvero l’uso dei dati al legittimo proprietario

Come accennato, la PSD2 parte dal presupposto che il cliente è proprietario dei dati finanziari che lo riguardano, e impone alle banche l’apertura delle proprie API a terze parti autorizzate dal cliente stesso. Ma cosa vuol dire “aprire le API”?

Una API (Application Program Interface) in generale è una interfaccia che consente l’interazione con un programma, passando determinati parametri e ricevendone la risposta. Nel caso delle banche stiamo appunto parlando di aprire l’accesso alle varie operazioni e dati (bonifici, estratti conto, dati anagrafici, transazioni…).

Sotto: Un ipotetico cliente della Banca 1, che necessita di un prestito potrebbe valutare un’offerta migliore da parte della Banca 2, senza esserne nemmeno cliente. Gli sviluppatori dell’applicazione potrebbero con facilità confrontare i servizi offerti dalle varie banche, e proporre il migliore all’utente, sulla base della sua storia bancaria.

Un ipotetico cliente della Banca 1, che necessita di un prestito potrebbe valutare un'offerta migliore da parte della Banca 2, senza esserne nemmeno cliente. Gli sviluppatori dell'applicazione potrebbero con facilità confrontare i servizi offerti dalle varie banche, e proporre il migliore all'utente, sulla base della sua storia bancaria.
Fonte: J. Graubins

I provider interessati dovranno essere regolarmente iscritti al relativo albo, e registrarsi sulla piattaforma delle API della banca. Questo risulta relativamente semplice in UK, dove la FCA ha stabilito un protocollo unificato per le API di tutte le banche. In Europa lo scenario è più variegato, visto che PSD2 non specifica alcun protocollo, e di fatto le maggiori banche hanno ciascuna definito la propria interfaccia, mentre le piccole stanno optando per la via del consorzio.

Attori

La PSD2 dunque obbliga le banche ad aprire ai provider terze parti (TPPs), ma chi sono questi provider?

La normativa identifica due nuovi tipi di provider: Payment Initiation Service Providers (PISPs) e Account Information Service Providers (AISPs). A banche e istituti di credito viene data la denominazione di Account Servicing Payment Service Providers (ASPSPs), per porre enfasi sulla differenza tra attori che gestiscono gli account dei clienti e gli attori che si limitano a gestire l’accesso a questi tramite API.

Payment Initiation Service Providers (PISPs)

L’area d’azione principale del PISP riguarda sicuramente i pagamenti online, area dove anche dalla Commissione Europea vede le meggiori opportunità di innovazione.

Modello Classico
Modello con PISP

Nella figura sopra possiamo notare le differenze introdotte nel flusso con l’inserimento del PISP come figura centrale (destra), rispetto al modello classico (sinistra). Il PISP dovrà connettersi all’utente (fisico o giuridico), per avere i dettagli anagrafici e del conto, alla banca dell’utente per iniziare il pagamento (che viene poi finalizzato tramite flusso interbancario), e al creditore per i dettagli del conto su cui far accreditare, e per tenere aggiornate le parti sull’andamento dell’operazione. Eventualmente il PISP potrebbe avere inoltre necessità di collegarsi alla banca del creditore per iniziare eventuali rimborsi.

Uno dei vantaggi di questo modello è che il PISP può trasferire liquidità in tempi più rapidi tra conti, istantaneamente con SEPA Instant Credit Transfer (SCT Inst), o al massimo in un giorno lavorativo con SEPA Credit Transfer Classic (SCT), e a costi minori, visto che i trasferimenti sono in genere più economici dei pagamenti online tramite carta.

Account Information Service Provider (AISP)

Il ruolo dell’AISP è sostanzialmente quello dell’aggregatore: non è autorizzato a effettuare operazioni dispositive, ma può connettersi a diverse banche, fornendo eventualmente servizi di visualizzazione aggregata, analytics, analisi di investimenti, bilanci, reporting.

Account Servicing Payment Service Provider (ASPSP)

L’ASPSP è l’ente che detiene fisicamente il conto dell’utente. Non necessariamente si tratta di una banca, il cui scope è molto più ampio della semplice gestione dei conti correnti, che invece è il focus dell’ASPSP (in sintesi una banca è anche un ASPSP, mentre non necessariamente quest’ultimo è una banca).

Le banche attuali saranno gli attori più impattati dalla PSD2, e PricewaterhouseCoopers (PwC) ha individuato una lista degli ambiti che graveranno maggiormente:

I principali impatti sulle banche secondo PwC

Card Issuing Service Provider (CISP)

Il CISP completa il circolo degli attori identificati da PSD2, e il suo scope è rilasciare carte di debito collegate a uno o più conti, gestiti dagli ASPSP di cui sopra. Il CISP non gestisce i conti collegati alla carta, ma (come i servizi interrogati dai POS attuali) è in grado di verificare se nei conti collegati ci sono fondi sufficienti a coprire la transazione richiesta.

Sicurezza

Tutte le aperture introdotte da PSD2 richiedono anche una sicurezza adeguata, e occorre tener conto del GDPR e di come far convergere due regolamentazioni che sembrano contrastanti. PSD2 infatti cerca di aprire l’accesso ai dati personali, mentre il GDPR ha lo scopo di proteggerli.

La gestione della privacy in PSD2 è un problema articolato, che esula dallo scopo di questo articolo, ma vale la pena soffermarsi sul paradigma di autenticazione previsto dall’iniziativa, ovvero la Strong Customer Authentication (SCA), entrato in vigore in tutta l’eurozona nel settembre scorso. La SCA richiede che l’autenticazione si basi su almeno due dei seguenti fattori:

  • Inerenza: qualcosa che l’utente è, come un’impronta digitale, o il riconoscimento facciale
  • Conoscenza: qualcosa che solo l’utente sa, come una password o un PIN
  • Possesso: qualcosa che solo l’utente possiede, come un telefono o un token hardware

Il presupposto alla base è che l’uso congiunto di due di questi sistemi dovrebbe garantire una sicura autenticazione dell’utente, mandando in pensione i vecchi codici stampati di secondo livello.


Approfondimenti

DIRETTIVA 2007/64/CE DEL PARLAMENTO EUROPEO E DEL CONSIGLIO – PSD

DIRETTIVA 2015/2366/CE DEL PARLAMENTO EUROPEO E DEL CONSIGLIO – PSD2

Open banking, che cos’è e come trasformerà banche e aziende del fintech | Economyup

The Open Banking Standard | Payments Forum

What is Open Banking and PSD2? WIRED explains | WIRED UK

PSD2 and GDPR – Friends of foes? | Deloitte

Open Banking, tutte le sigle da conoscere per capire come cambiano le banche | Economyup

Revolut lancia l’open banking: ora i conti di banche diverse si consultano su un’unica app | Economyup

Management Summary: Artificial Intelligence in the era of Open Banking

What does it mean for analytics and AI?

Reimagining Regulation for the Age of AI: New Zealand Pilot Project

To change how you use money, Open Banking must break banks

A user-friendly Strong Customer Authentication solution that exploits Blockchain technology

Companies

Informazioni sull'autore

Rispondi

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

%d blogger hanno fatto clic su Mi Piace per questo: