Per le transazioni digitali da settembre arriva l’autenticazione biometrica introdotta dalla Direttiva PSD2. La direttiva UE/2015/2366 sui servizi di pagamento nel mercato interno (Revised Directive on Payment Services, PSD2), che sostituisce la precedente direttiva UE/2007/64, è entrata in vigore nei paesi membri nel gennaio 2018 e prevede norme per la gestione della sicurezza dei prestatori di servizi di pagamento che introducono l’obbligo di adozione di misure di attenuazione del rischio:
- nella gestione interna
- nell’interazione con la clientela (ad esempio per l’autenticazione “forte”)
- nell’interazione con altri prestatori di servizi di pagamento (ad esempio la comunicazione sicura con i nuovi operatori FinTech abilitati ad accedere ai conti bancari).
La PSD2, che sarà obbligatoriamente operativa dal 14 settembre 2019, è dunque la nuova normativa europea riguardante i pagamenti online che risponde al bisogno di regolamentare le transazioni digitali, sempre più oggetto di uno sviluppo rapido ed inesorabile.
Secondo l’Osservatorio Mobile Payment del Politecnico di Milano, le transazioni digitali hanno registrato negli ultimi anni una crescita pari a circa il 50%
La direttiva introduce anche un importante obbligo di notifica degli incidenti gravi (art. 95), da individuare seguendo le linee guida dell’Autorità Bancaria Europea (European Banking Authority, EBA) per perseguire gli obiettivi di
- prevenire eventi che per loro natura possono produrre effetti a catena sul sistema finanziario
- migliorare la capacità di reazione a livello sistemico a fronte di tali eventi
L’EBA aveva già introdotto nel 2017 alcune importanti innovazioni, pubblicando degli standard di riferimento (regulatory technical standards) relativi alla sicurezza informatica per i prestatori di servizi di pagamento (banche, poste, istituti di moneta elettronica e altri istituti di pagamento).
Le nuova sfida dell’Europa, in nome della libera concorrenza, innovazione e sicurezza dei pagamenti, spinge il sistema bancario a trasformarsi e riorganizzarsi strategicamente, sviluppando significativi livelli di innovazione tecnologica, preordinati ad una progressiva riduzione dei costi fissi che ne garantiranno la sopravvivenza nell’era del mercato digitale e della finanza tecnologica, sempre più in espansione a livello globale.
Diventa fondamentale dunque che, anche le banche italiane, investano in tecnologie “digitali”, sviluppando un nuovo business model che ponga l’innovazione al servizio della prevenzione delle frodi finanziarie, soprattutto nei nuovi pagamenti digitali, nonché della protezione del dominio cibernetico, tenuto conto che i modelli di open banking saranno sempre più basati sulla condivisione di dati bancari tra i diversi operatori (non bancari) del nuovo ecosistema finanziario.
La PSD2, nella logica dell’open banking, consente oggi ai clienti delle banche, sia Privati che Corporate, di gestire le proprie finanze servendosi di provider di soggetti non bancari.
I nuovi attori del sistema finanziario sono dunque:
– Gli AISP (Account Information Service Provider) che presteranno servizi con accesso alle informazioni sul conto dei clienti delle banche e saranno conseguentemente in grado di analizzare il comportamento di spesa di un utente (profiling) e di aggregare in piattaforma comune le informazioni destrutturate con sistemi di AI
– I PISP (fornitori di servizi che per conto dell’utente gestiranno un’operazione dispositiva)
Questi nuovi soggetti possono adesso accedere con livelli di sicurezza ai dati bancari, attraverso application programming interface (API) aperte, proponendo innovativi prodotti e servizi sempre più concentrati sull’utente.
Ciò si tradurrà, a tendere, in un progressivo (ed inesorabile) aumento della velocità delle transazioni finanziarie, sempre più digitali, che, di contro, esporranno gli utenti a profilazione continua, attraverso nuovi strumenti che ne analizzeranno il comportamento di spesa, ancorché in nome di una maggiore flessibilità di gestione.
E non solo!
Va ricordato, infatti, che da settembre l’autenticazione biometrica affiancherà l’attuale security asset di autenticazione digitale (attraverso i metodi tradizionali di accesso basati su ID utente e password), diventando obbligatoriamente uno dei tre elementi di autenticazione forte del cliente, tanto per le transazioni nei sistemi di open banking tanto, a tendere, per quelle e-commerce.
L’art. 4, paragrafo 1, n.14) del GDPR definisce i dati biometrici come quei “dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.
La raccolta del dato biometrico avviene attraverso processi tecnologici che possono necessitare anche di strumenti informatici di riconoscimento.
La componente hardware è responsabile del riconoscimento biometrico mentre il software consente l’uso del dato biometrico come strumento di riconoscimento attraverso l’impiego di algoritmi matematici che permettono di attribuire univocamente il dato raccolto ad una determinata persona.
E tuttavia, la sicurezza della transazione digitale, attraverso l’autenticazione biometrica, è divenuta vulnerabile a causa dell’evoluzione tecnologica che ha indebolito anche sistemi di autenticazione più sofisticati quali “fingerprint”, “facial recognition” o “voice recogniton”.
Ed infatti, occorre evidenziare che l’autenticazione biometrica costituisce in taluni casi una informazione “pubblica” o comunque disponibile e, in taluni altri replicabile.
Sarà dunque importante orientarsi verso parametri di autenticazione biometrica più difficilmente replicabili.
Da qui, la costante ricerca della certezza biometrica “irripetibile” che assicuri sempre più l’univocità incorruttibile del riconoscimento, con la salvaguardia dell’accessibilità della cosiddetta user o customer experience.
Dovrà trattarsi dunque di una sorta di “impronta” univoca di una serie di elementi del mondo analogico che saranno digitalizzati, consentendo così la riconoscibilità univoca del solo soggetto che è in grado di ripeterli, anche per validare una transazione.
A tal proposito è utile ricordare che la PSD2 tende a garantire la cosiddetta “Frictionless Experience” ed invita gli operatori dei servizi di pagamento a dotarsi di sistemi e servizi di accesso che richiedano l’autenticazione di sicurezza biometrica solo quando necessaria (cosiddetta biometria mediata o risk-based).
In tale scenario, il focus della ricerca dell’univocità ed irripetibilità biometrica si sposta sempre più sulla conoscenza del dato comportamentale (cosiddetta biometria comportamentale) che, oltre alle caratteristiche fisiche va anche ad analizzare le caratteristiche univoche legate ad atteggiamenti, movimenti ed espressioni.
Ed è per questo che diventa fondamentale adottare un framework di governance chiaro e preciso che, in conformità a quanto richiesto dalla Direttiva, contemperi da un lato il rapporto tra device, sistemi di pagamento e transazioni digitali e, dall’altro, la qualità del dato (anche biometrico comportamentale), le tecnologie di AI e machine learning (per la qualità del dato e la sua attribuzione univoca al cliente), la User/Customer Experience ed i nuovi livelli di sicurezza.
