I pagamenti online saranno un po’ diversi

Dal 14 settembre sarà in vigore una misura prevista dalla nuova direttiva europea sulla sicurezza e la trasparenza dei pagamenti bancari che cambierà il modo con cui spendiamo soldi online, e più in generale il rapporto fra le banche e i propri clienti. Le novità più importanti della legge sono due: la possibilità di autorizzare “terze parti” – cioè aziende private – a effettuare operazioni per conto proprio, e l’obbligo di rafforzare le misure con cui la banca identifica i propri utenti. Una delle prime conseguenze di quest’ultima misura costringerà le banche italiane ad abbandonare i cosiddetti token, cioè i piccoli dispositivi che forniscono un codice di sicurezza associato al proprio conto, ormai obsoleti.

Per effetto dell’autorizzazione di “terze parti”, molte procedure che oggi riguardano i pagamenti online saranno semplificate. Repubblica spiega che «sarà possibile effettuare un pagamento su un sito di ecommerce (impossibile non pensare ad Amazon) senza inserire i dati della propria carta di credito o bancomat, perché sarà il venditore ad accedere direttamente al nostro conto, previa una nostra prima autorizzazione».

Benedetta Arese Lucini, ex capo di Uber Italia e fondatrice di una start up che si occupa di pagamenti elettronici, ha scritto in un articolo ospitato dalla Stampa che la direttiva europea comporterà anche «una sempre più ampia profilazione degli utenti basandosi sull’analisi dei comportamenti di spesa». Come accade spesso per questo tipo di innovazione, gli utenti avranno alcuni vantaggi immediati – dato che le “terze parti” potranno anche offrire servizi sempre più aderenti alle esigenze dei clienti – a discapito della completa riservatezza dei propri dati di cui godono oggi.

Un’altra importante novità riguarda l’autenticazione ai servizi di homebanking, con cui i clienti delle banche possono controllare il proprio estratto conto oppure inviare bonifici. Da oggi le procedure di autenticazione dovranno prevedere almeno due dei tre principi previsti dalla legge: una password conosciuta solo dall’utente; un dispositivo posseduto esclusivamente dall’utente; oppure un dato riconducibile esclusivamente a una persona, come ad esempio un’impronta digitale.

Da tempo molte banche permettono l’accesso allo homebanking tramite una password e un numero generato da un token. La vecchia generazione di token, però, non si potrà più utilizzare: i codici che generavano permettevano infatti di compiere più di una operazione, quindi in teoria anche da parte di più persone, violando il principio di possesso esclusivo del dispositivo previsto dalla nuova legge.

Molte banche si sono già adeguate, e hanno sostituito il vecchio token con un processo di autenticazione sull’app della banca – che vale per una sola operazione – oppure con un SMS inviato al numero del cliente. Tutte le altre dovranno farlo per legge, entro oggi. Non significa che i token spariranno del tutto: Deutsche Bank, ad esempio, li sostituirà con dispositivi di nuova generazione che creano numeri unici per ogni operazione.