Cosa chiedere alla propria banca? … di aprirsi

Pubblicato il 17 Giu 2016

Roberto Garavaglia

Innovative Payments and blockchain Strategic Advisor

Roberto Garavaglia

Roberto Garavaglia, Responsabile Editoriale PagamentiDigitali.it

La nuova direttiva europea PSD2, di cui ho a lungo e in profondità trattato su PagamentiDigitali.it, affronta il tema dell’estensione del level playing field dei pagamenti digitali, proponendo nuovi servizi basati sull’accesso ai conti (cc.dd . “XS2A” dall’inglese Access-to-Account) e promuovendo l’abilitazione dei nuovi player TPP – Third Party Payment Services Provider, in grado di esercirne l’operatività, rispetto ai quali le banche saranno obbligate a … “farsi accedere”.

Le disposizioni si concentrano, al contempo, su questioni quali la sicurezza delle transazioni e la protezione delle credenziali e dei dati degli utenti, con il coinvolgimento di EBA (European Banking Authority) chiamata a definire gli standard tecnici del canale di comunicazione tramite cui sarà possibile accedere ai conti.

Per le banche e, in generale, per tutti i prestatori di servizi di pagamento che forniscono e amministrano un conto di pagamento per un cliente (pagatore o beneficiario), potrebbe dunque rivelarsi opportuno, sotto il profilo strategico, aprire l’accesso ai conti tramite la pubblicazione di API (Application Programming Interface), implementando le regole previste da EBA in materia di sicurezza, identificazione e autenticazione.

In Europa, l’enorme attenzione per le API bancarie ha già permesso la costituzione di gruppi di lavoro che stanno definendo, a più livelli e con modalità operative non dissimili (anche se, almeno per il momento, non altrettanto unificate) standard di Open Banking, per liberare il potenziale del sistema bancario “aperto”, volendo favorire la concorrenza, migliorare l’efficienza e stimolare l’innovazione.

La problematica della sicurezza, come approcciata dall’EBA su esplicita richiesta del legislatore comunitario, deve qui intendersi declinata sotto il profilo: dell’identificazione e dell’autenticazione (il soggetto che accede alle informazioni, anche tramite terzi, deve essere identificato e autenticato), dell’autorizzazione (consenso esplicito dato dal cliente in merito all’uso dei propri dati in gestione alla banca – opt-in) , della protezione delle credenziali di accesso ai conti (uso e gestione delle credenziali sia da parte della banca sia da parte dei TPP) e della sicurezza de canale di accesso stesso.

Le opportunità abilitate dalla PSD2 e dispiegate tramite l’accorta progettazione di interfacce che accedono ai dati dei clienti (o, più correttamente, per i clienti), non devono distogliere l’attenzione su cosa, in primis, può essere considerato l’oggetto acceduto.

Il patrimonio informativo delle banche o, meglio sarebbe dire, “dato in gestione alle banche” (posto che la proprietà del dato è sempre del cliente e non del suo gestore) presenta una propria straordinaria ricchezza e varietà. In un recente documento di discussione[1] posto in consultazione pubblica dall’Autorità Bancaria Europea (EBA) a maggio 2016, è possibile raggruppare in funzione della natura finanziaria e non finanziaria, ben 14 tipologie di dato (v. Fig.1)

Le banche, inoltre, posseggono un asset straordinario: il trust.
È opinione di chi scrive, che portare a valore il rapporto di fiducia che consumatori e imprese hanno verso gli istituti bancari permetta di progettare nuovi servizi innovativi, che vanno anche oltre il mero pagamento. Il punto è: quanto le banche si rendono conto che il loro patrimonio relazionale costruito sulla fiducia è l’unico elemento che le pone in vantaggio competitivo rispetto ai nuovi entranti e che può esprimere ulteriori potenzialità per lo sviluppo di nuovi servizi? Credo che una risposta a tale quesito, se correttamente compreso, possa rappresentare il pivot delle future azioni che le banche dovranno compiere, ridisegnando – o ridisegnandosi – nuove filiere di offerta.

Convinto del fatto che, prima o poi, un siffatto quesito possa trovare giusto responso (qualcuno, anzi, ne ha già dato una propria interessante interpretazione …), voglio soffermarmi in questo articolo su uno degli aspetti solo in apparenza più lontani dal settore dei pagamenti, quello dell’identità digitale.

In verità chi mi legge su PagamentiDigitali (e non solo[2]) conosce perfettamente il mio pensiero al riguardo: il disaccoppiamento tra pagamento e autenticazione impatta, positivamente, il processo di vendita; in particolare il processo di vendita a distanza (il c.d. “Remote Selling”) può essere efficacemente migliorato nel proprio percorso di digitalizzazione.

Consentire ai consumatori o alle imprese di confermare la propria identità, attraverso il proprio conto corrente bancario, al fine di completare gli acquisti online o di sottoscrivere servizi digitali, in modo sicuro ed affidabile, porta un considerevole beneficio, permettendo di far evolvere una user exeperience frammentata (con gestione di documenti cartacei) verso un concetto di maggiore integrazione della stessa in un processo più digitalizzato.

Alcuni esempi.

Immaginiamo che un Marketplace, nella fase di registrazione di un nuovo merchant, possa chiedere di autenticarsi tramite la propria banca; in tal modo potrebbe avere la conferma che il conto corrente di tesoreria, indicato durante l’onboarding, sia effettivamente corretto, ed ottenere alcune informazioni finanziarie pertinenti il nuovo venditore.

Sull’altro fronte, quello del cliente acquirente, ove il Marketplace chiedesse di collegarsi mediante autenticazione della propria banca, potrebbe aver conferma della sua identità e, grazie al consenso previamente dato dal correntista, potrebbe redimere alcuni dati fra quelli elencati nel documento dell’EBA più sopra citato (con riferimento alla Fig.1 i seguenti dati potrebbero essere molto interessanti: #1, #2, #5, #7, #10). Tale opportunità gli consentirebbe di: poter meglio profilare il proprio cliente, recuperare i dati di spedizione della merce, procedere all’addebito sullo strumento di pagamento di default in modo sincrono al check out.

Un altro use case vede nel percorso di digitalizzazione dell’iter contrattuale, l’opportunità data, per esempio, ad una utility di vendere online i propri servizi, con la contestuale accettazione delle clausole, mediante l’acquisizione del consenso esperibile tramite un processo di autenticazione con la banca. In fase di conferma, il cliente può, infatti, essere reindirizzato verso il sito della propria banca e, allorché autenticatosi, può dichiarare il suo accordo relativo al contratto dell’utility che sta per accettare.

In un ulteriore contesto di vendita a distanza dove, per la natura del bene o servizio proposto, è necessario accertarsi che il cliente sia maggiorenne , oppure in tutti quei casi in cui l’accesso ad un servizio online debba poter essere garantito solo ad utenti in possesso di taluni titoli (accademici,  per esempio), il ricorso ad un servizio di verifica dell’identità , realizzato tramite l’accesso ad API di Open Banking ,  può consentire di ottenere garanzia dell’effettiva conformità ai suddetti requisiti. In questo caso, la banca può esporre gli attributi che il proprio cliente ha espressamente pre-autorizzato, in modo che il generico Service Provider richiedente ne abbia contezza al momento in cui la stessa si renda necessaria.

Infine, è utile annoverare tra i possibili impieghi dei servizi di Open Banking, un interessante apporto ad un (più) efficace conseguimento di alcuni degli obiettivi dell’Agenda Digitale. Lo scenario di convergenza che si prospetta, è quello che vede lo SPID (il Sistema Pubblico d’identità Digitale) avvantaggiarsi sul fronte di una maggiore semplificazione del rilascio delle identità.

Gli Identity Provider potrebbero, in partnership con le banche, rilasciare online le credenziali di livello 1 e 2, ai soggetti che “passano” tramite la propria banca (banca partner). Le banche, infatti, in quanto già obbligate ai fini del rispetto delle regole antiriciclaggio, devono avere provveduto ad identificare e verificare il proprio cliente, in fase di apertura di qualsiasi rapporto d’affari. Avendo esperito tali attività, sono in grado di offrire al Gestore di Identità Digitale, informazioni qualificate che possono istruire meglio il processo di rilascio delle credenziali SPID.

In uno scenario di tale tipo, il cittadino che volesse ottenere un’identità SPID potrebbe verificare che l’IdP  (Identity  Provider) abilitato dallAgID , al quale è intenzionato rivolgersi, abbia in essere una relazione di partenariato con la propria banca e, laddove così fosse, potrebbe proseguire l’iter in una delle seguenti due modalità (funzione del diverso livello d’integrazione IdP -Banca): collegamento al suo home banking e individuazione di una specifica sezione da cui può avviare la richiesta dell’identità verso l’IdP, oppure, collegamento al sito web dell’Identity Provider scelto e successiva autenticazione presso la propria banca, finalizzata a velocizzare il rilascio delle credenziali in absentia.

Come si è visto in questa breve disamina delle opportunità che il sistema bancario può giocarsi sul terreno dell’Open Banking, le prospettive di sviluppo vanno ben oltre il mero concetto di pagamento o di servizio finanziario.

La verifica dell’Identità, così come la conferma o provvista di certi attributi, laddove esplicitamente autorizzate dal correntista, permettono alle banche di cogliere un’opportunità strategica che può consentire loro di competere con i nuovi entranti e GAFA[3].

La PSD2 obbligherà i prestatori di servizi di pagamento che forniscono e amministrano un conto di pagamento per un cliente, ad aprire i propri online assets – anche – verso terzi. Nell’attesa che EBA definisca con chiarezza e nel dettaglio i requisiti di sicurezza per l’esercizio e la fruizione dei servizi XS2A, l’auspicio è che le banche possano muoversi giocando d’anticipo, investendo su progetti di sviluppo API ed adottando opportune tecnologie di accesso, che permettano di essere conformi alla normativa, conseguendo così entrambi gli obiettivi di compliance e strategia.

Parafrasando, ancora una volta, Jack Welch, si potrebbe dire: “Open the doors, banks, before you have to”.

NOTE

[1] Google, Amazon, Facebook, Apple

[2] Si veda anche “Mobile Payment e Agenda Digitale Un’opportunità per l’innovazione … non solo nei pagamenti” – R. Garavaglia – Rapporto dell’Osservatorio NFC & Mobile Payment – Febbraio 2013

[3] EBA Discussion Paper on innovative uses of consumer data by financial institutions – EBA/DP/2016/01 –  4 maggio 2016

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 3