Fabrick Insights

content open banking

- Scenario

La sicurezza nell’Open banking, nuovi metodi di autenticazione

E’ un aspetto non sempre approfondito con la necessaria attenzione la sicurezza nell’open banking perché si guarda al lato rivoluzionario di questo fenomeno e molto meno a quello altrettanto disruptive ma forse meno appassionante, in  apparenza, della security. Chi però opera nel settore fintech e vuole conoscere tutte le opportunità nate grazie all’introduzione della PSD2 non può ignorare tutto ciò che la sicurezza nell’open banking prevede. 

L’Open Banking e le nuove regole

Prima di approfondire ciò che è avvenuto dal punto di vista della sicurezza, è bene ribadire cosa si nasconde dietro al termine open banking e quali nuovi player entrano in gioco con questa novità. Per open banking si intende un nuovo modello finanziario più aperto e basato sui dati, che favorisce la competizione a beneficio dell’utente finale. L’obiettivo con cui è stato introdotto attraverso la PSD2 è stato quello di rendere i pagamenti on line più semplici ma anche, come vedremo, più sicuri.

Questo fenomeno non riguarda però solo le banche, ha un carattere inclusivo e permette ad attori prima esclusi di partecipare al mercato dei servizi finanziari in modo innovativo e aperto. Questo perché la nuova normativa obbliga le banche a condividere sia i dati dei loro clienti, previo loro consenso, sia le API e questo permette alle terze parti di entrare in competizione con le banche sotto alcuni punti di vista. Ma chi sono le terze parti?

Le terze parti nell’open banking

Ne esistono di tre tipologie:

  • Gli AISP forniscono servizi che hanno accesso alle informazioni bancarie dei clienti, possono analizzarne il comportamento di spesa, raggruppare informazioni sulle spese periodiche e aggregare i dati bancari provenienti di istituti finanziari diversi in un’unica piattaforma.
  • I PISP forniscono servizi per l’accesso alle informazioni bancarie dei clienti e possono anche prelevare denaro dal conto e inviare un pagamento.
  • E poi ci sono i CISP che forniscono servizi di pagamento basati su carte di debito associate a un conto corrente accessibile online e collegato a un istituto di credito diverso da quello che ha emesso la carta.

Le novità per la sicurezza nell’open banking

Ora che abbiamo introdotto i nuovi protagonisti dello scenario finanziario, affianco ai player tradizionali, possiamo scoprire le novità relative alla sicurezza nell’open banking che li obbligano a rafforzare gli standard minimi relativi ai pagamenti digitali.

E’ la stessa PSD2 a introdurre molto esplicitamente dei nuovi sistemi di autenticazione per queste operazioni che ormai sono entrate nella quotidianità anche se non sempre ce ne si è accorti, da utenti. Si tratta del protocollo 3D Secure 2 e dela Strong Customer Authentication (SCA).

Sicurezza nell’open banking: protocollo 3D Secure 2

Basato su XML questo protocollo aumenta il livello di sicurezza inserendo tra la richiesta di pagamento e l’addebito vero e proprio sulla carta uno step intermedio. Con il sistema 3D Secure 2.0 gli esercenti inviano in tutta sicurezza oltre 100 dati informativi per ogni transazione alla banca dell’acquirente che può valutare il livello di rischio della transazione e approvarla oppure, se i dati non sono sufficienti per farlo, chiedere approfondimenti. Se così accade il sistema 3D Secure 2.0 effettua ulteriori verifiche che possono avvenire tramite SMS ma anche con autenticazione biometrica, ad esempio. Tutto ciò non appesantisce per nulla l’esperienza dell’utente finale grazie proprio a questo protocollo che assicura dinamicità e sicurezza e permette di utilizzare nuovi metodi di autenticazione basati sull’utilizzo della Strong Customer Authentication

Sicurezza nell’open banking: Strong Customer Authentication

Le nuove procedure di sicurezza nell’open banking prevedono questo nuovo modo di autenticarsi che, prima di effettuare il pagamento, verifica l’identità del cliente tramite due diversi parametri di sicurezza. Ecco perché è “strong”.  Questi parametri possono essere:

  • Qualcosa che il titolare conosce (pin o password);
  • Qualcosa che il titolare possiede (smartphone o token);
  • Caratteristica fisica univoca e specifica del titolare (per ora l’impronta digitale ma un domani anche la voce? O la faccia?);

Approfondendo le nuove regole di sicurezza nell’open banking si scopre che questo tipo di verifica non è sempre necessaria ma solo in alcune situazioni, nel pagamenti iniziati dal cliente (CIT Cardholder Initiated Transactions) come ad esempio quelli dei siti e-Commerce.

Molte sono però le situazioni in cui la sicurezza nell’open banking non prevede la SCA a partire da quando vengono effettuate le MIT (Merchant Initiated Transactions) ovvero le transazioni inizializzate dall’esercente senza la partecipazione attiva del titolare, oppure le transazioni effettuate in remoto dall’esercente inserendo manualmente i dati della carta su terminale virtuale.

Oltre a queste due tipologie di transazioni libere dalla SCA, ci sono altre eccezioni previste e che riguardano gli importi inferiori a 30 euro, quelle a basso rischio oppure dirette a beneficiari affidabili indicati dallo stesso cliente e per cui la SCA viene richiesta solo per la prima transazione.

Read related