PSD2 e sicurezza: le banche dovrebbero preoccuparsi?

VASCO MannesConsiderato il valore delle attività e dei dati che gestiscono o condividono, è facile comprendere perché, con l’avvento della PSD2, le banche possano essersi sentite esposte dal punto di vista della sicurezza. Eppure, dovrebbe essere rassicurante sapere che la pressione per garantire che le transazioni siano sicure è destinata a spingere la nascita di regolamentazioni in aree che fino ad ora ne sono state prive. Ritengo pertanto che le banche possono trarre conforto dal sapere che la PSD2 sarà un driver positivo per il cambiamento, rafforzando la sicurezza piuttosto che comprometterla.

In foto Frederik Mennes, Senior Manager Market & Security Strategy - VASCO Data Security

La sicurezza tra banche e Fintech

Ma tutto ciò è abbastanza per rassicurare le banche? Aprendo le proprie API ai cosiddetti Third Party Payment Service Providers (TPP), di solito società fintech, i dati finanziari attualmente posseduti da una banca saranno ora a disposizione di queste ultime. Ciò significa che i “perimetri di sicurezza” delle banche si estenderanno oltre la loro stessa organizzazione, fino a comprendere quella di una fintech.
La preoccupazione, quindi, è che se una fintech è esposta a un problema di sicurezza, questo può avere un effetto anche sulla banca. Per risolvere questo problema, è consigliabile che le banche adottino una serie di misure di sicurezza tecniche e organizzative per contrastare potenziali minacce contro le loro API, ad esempio ricorrendo all’analisi del rischio delle transazioni per rilevare transazioni fraudolente e incidenti presso i TPP.
Un altro aspetto positivo da considerare è che solo il settore dei servizi finanziari è così fortemente regolamentato da poter consentire a chiunque di offrire i cosiddetti Account Information Services (AIS), che forniscono ai clienti una panoramica dei loro conti presso diverse banche, o i Payment Information Services (PIS), che permettono ai clienti di effettuare transazioni da diversi conti bancari. In regime di PSD2, le fintech appena entrate nel mercato dovranno soddisfare rigidi requisiti di sicurezza prima di offrire in modo proattivo i loro servizi; questo processo di convalida dovrebbe precludere l’attività di operatori irresponsabili, garantendo tranquillità alle banche e ai clienti.

Vincono tutti con la PSD2?

Le banche, in aggiunta alle implicazioni sulla sicurezza che devono affrontare, potrebbero anche ritenere che la PSD2 sia un’iniziativa progettata per favorire le fintech. In effetti, si potrebbe sostenere che hanno buone ragioni per sentirsi danneggiate. In primo luogo, devono condividere molti dei loro dati con una terza parte. In secondo luogo, a causa del modo in cui i clienti interagiranno con le applicazioni fintech, le banche potrebbero sollevare il timore di essere messe in secondo piano e perdere quindi due valori essenziali, ossia il contatto e il rapporto di fiducia con i clienti, che hanno impiegato anni a costruire.
C'è ovviamente anche un lato positivo e, inoltre, una solida argomentazione per affermare che la PSD2 porterà maggior beneficio alle banche che alle società fintech. Se le banche agiscono come un AIS o come un PIS, possono avere una visione dei conti bancari di altre banche, o addirittura sviluppare proprie app che eseguano transazioni per diversi conti bancari. Pertanto, il suggerimento è che le banche utilizzino la PSD2 a proprio vantaggio e agiscano in qualità di AIS o PIS; le altre banche non possono rifiutare l’accesso ai propri dati, poiché questa è l’idea alla base della PSD2.

Le banche sono ancora in vantaggio

Naturalmente le banche non lasceranno il pieno controllo degli Account Information Services o dei Payment Information Services alle società fintech, in quanto esistono una serie di robusti meccanismi per proteggere la propria posizione. Per cominciare, la banca decide quale metodo di autenticazione è necessario per accedere a un’applicazione fintech. Se, ad esempio, si utilizza l’autenticazione a due fattori combinata con una password monouso per accedere al proprio conto bancario, lo stesso sarà necessario anche per l’applicazione fintech. Ciò significa che le banche hanno molta voce in capitolo e molto potere sugli aspetti della sicurezza.
L’equilibrio di potere oscilla a favore delle banche anche per quanto riguarda la soddisfazione del cliente, dato che le società fintech possono richiedere i dati finanziari alla banca solo un massimo di quattro volte al giorno. Ciò significa che non possono mostrare ai clienti dati accurati in tempo reale, poiché ci sarà sempre un ritardo. Dal punto di vista del cliente, questo rende l’app meno interessante rispetto a un’eventuale soluzione interna della banca.
In definitiva, credo che la PSD2 presenterà alcune sfide iniziali, proprio come avviene con qualsiasi altra iniziativa. Ma sono anche sicuro che i rischi per la sicurezza siano meno grandi dell’opportunità che la PSD2 offre a banche, TPP e anche ai clienti.

La Nostra Newsletter

Ogni giovedì, nella tua casella di posta elettronica, riceverai le ultime notizie dal mondo bancario e ICT.

Seguici

twitter
linkedin
youtube
RSS
Bannerone Ab

Questo sito utilizza cookies per garantire le proprie funzionalità ed agevolare la navigazione agli utenti, secondo la Cookies Policy.
Cliccando "Acconsenti" l'utente accetta detto utilizzo.