Il significato dell’opinione dell’EBA sugli ostacoli delle API PSD2
L'EBA ha condiviso le sue riflessioni sugli ostacoli che si presentano ai fornitori terzi autorizzati (third-party providers o TPP) nell’utilizzare le API PSD2. Con questa pubblicazione, l'EBA spera di chiarire alcuni dei punti di confusione più sostanziali e di creare delle fondamenta che permettano all’open banking di prosperare in tutta Europa. Questo è il riassunto di Tink delle implicazioni più significative.
L'EBA ha documentato il suo parere sul RTS per le API PSD2.
L'obiettivo è quello di ridurre significativamente gli ostacoli per coloro che fanno leva sulla tecnologia di open banking.
Una delle implicazioni è che l'autenticazione per i TPP deve essere scorrevole tanto quanto l'applicazione bancaria dell'utente.
Anche l'immissione manuale dei dettagli IBAN è vista come una barriera e non è più consentita.
L'EBA sta pareggiando le condizioni tra le app bancarie e i servizi dei TPP.
Il parere dell'Autorità bancaria europea (EBA) sugli ostacoli fa seguito a ripetute richieste di chiarimenti da parte di Tink e di altre fintech, ma anche delle banche e delle autorità finanziarie nazionali. Il documento si concentra su come le banche dovrebbero progettare le loro interfacce dedicate (PSD2 API), per consentire ai fornitori terzi autorizzati (TPP) di accedere alle informazioni sui conti correnti e di iniziare i pagamenti.
Gli standard tecnici di regolamentazione (regulatory technical standards o RTS) per l’autenticazione forte del cliente (strong customer authentication o SCA) e gli standard aperti comuni e sicuri per la comunicazione (common and secure open standards of communication o CSC) specificano che le banche che costruiscono le API PSD2 devono farlo senza creare ostacoli per i TPP.
Ad oggi, nella valutazione della conformità delle API PSD2, le autorità finanziarie di tutta Europa sono state in gran parte lasciate alla loro interpretazione su ciò che è o non è un ostacolo.
Le banche in tutta Europa hanno costruito le API PSD2 con limitate indicazioni sulle caratteristiche che devono essere supportate. Di conseguenza, l'aspetto delle API in tutta Europa è molto diverso, con funzionalità (o la mancanza di esse) che sono state considerate un ostacolo in un paese, ma non in un altro.
Ecco alcuni dei punti più significativi sollevati dall'EBA - e cosa significano.
1. L’autenticazione deve essere scorrevole
Il flusso di strong customer authentication - durante il quale gli utenti si autenticano verso le loro banche e consentono ai TPP autorizzati di recuperare informazioni sul conto o di avviare un pagamento - deve essere semplice e veloce, tanto quanto l'interfaccia dell'applicazione di mobile banking della banca stessa.
Ciò significa che le API PSD2 non dovrebbero reindirizzare un utente ad un processo di autenticazione di livello inferiore o più macchinoso. È abbastanza comune che le API PSD2 effettuino l'autenticazione esclusivamente attraverso il reindirizzamento web, il che significa che gli utenti mobili dovrebbero completare il flusso SCA su un browser internet per accedere ai servizi offerti dai TPP autorizzati. Questo è considerato un ostacolo quando l'utente normalmente si può autenticare direttamente all'interno dell'applicazione mobile della propria banca già installata sul telefono.
L'EBA spera che questo chiarimento contribuisca a migliorare l'esperienza quando i TPP utilizzano le API PSD2.
2. I POS devono essere supportati
L'EBA ha chiarito che le banche che offrono ai clienti la possibilità di effettuare pagamenti istantanei presso i terminali di pagamento (POS), o in qualsiasi altro luogo, dovrebbero progettare API PSD2 che permettano ai TPP autorizzati di fare lo stesso. L’Autorità bancaria europea aggiunge anche che le banche non devono sviluppare nuovi metodi di autenticazione per questa esigenza, ma devono supportare tutti quelli esistenti.
In termini pratici, ciò significa che i TPP possono offrire soluzioni POS, ad esempio utilizzando NFC o codici QR, sia affidandosi al metodo di autenticazione POS specifico di una banca, se ne ha uno, sia utilizzando un'altra autenticazione esistente per avviare il pagamento.
3. La selezione del conto non dovrebbe richiedere input manuale
Per i servizi PIS (iniziazione di pagamento) tramite TPP autorizzati, l'utente deve identificare e selezionare il conto di pagamento per trasferire il denaro. Attualmente, ci sono molte API PSD2 che richiedono all'utente di inserire manualmente i dettagli del numero di conto bancario internazionale (IBAN) per consentire al TPP di avviare un pagamento.
L'EBA ha ora affermato che questo è un ostacolo che non dovrebbe essere consentito.
Le banche dovrebbero invece progettare API PSD2 che permettano a un TPP autorizzati di raccogliere i dati IBAN e il conto di pagamento disponibile di un utente accedendo alle informazioni del conto, oppure offrire un flusso di autenticazione (reindirizzamento o decoupled) che permetta all'utente di selezionare da quale conto il TPP autorizzati può avviare un pagamento.
4. Un unico flusso di SCA è più che sufficiente
L'EBA ha chiarito che in quasi tutti gli scenari, un solo flusso di SCA è sufficiente affinché l'utente possa autenticarsi verso la propria banca quando utilizza i servizi di TPP autorizzati.
Molte banche hanno invece progettato API PSD2 tramite le quali l'utente deve autenticarsi più di una volta per consentire a un TPP autorizzato di recuperare informazioni per le quali l'utente ha già dato un consenso esplicito. Alcune banche sostengono che applicando flussi di autenticazione multipli nelle API PSD2, stanno applicando un protocollo di autenticazione ancora più forte.
L'EBA ha chiarito che questo crea un attrito inutile nel percorso dell'utente, soprattutto se si paragona alla procedura di autenticazione che la stessa banca offre online o su un telefono cellulare.
Questo ha molto senso, poiché la forza di una SCA sta nel fatto che questa richiede due credenziali indipendenti, non nell'inserire più volte le stesse credenziali.
5. Il consenso viene dato al TPP autorizzato
La PSD2 stabilisce che è il TPP autorizzato ad avere l’obbligo di assicurarsi di aver ottenuto il consenso esplicito dell'utente per i suoi servizi. Sebbene questi TPP autorizzati siano aziende regolamentate e sotto la supervisione delle autorità finanziarie, molte banche hanno progettato API PSD2 che funzionano solo quando l'utente ha dato il consenso preventivo alla banca per abilitare tali servizi, o quando la banca richiede all'utente di confermare o controllare il consenso che è già stato fornito al TPP autorizzato.
Il duplice controllo del consenso è visto come un ostacolo significativo per un'esperienza dell’utente senza problemi non solo dall'EBA, ma anche dalla Commissione Europea.
Guardando avanti
Sebbene il parere dell'EBA sugli ostacoli affronti anche una serie di altri argomenti, i cinque presentati in questo articolo dovrebbero contribuire a chiarire alcuni dei fraintendimenti e ad armonizzare l'attuale panorama delle API PSD2. È stimolante vedere i progressi nel panorama dell’open banking da quando la RTS è entrata in vigore il 14 settembre 2019.
Siamo entusiasti di scoprire quali nuove opportunità, innovazioni e grandi esperienze per i clienti saranno rese possibili nella prossima generazione di servizi finanziari.
More in Open banking
New streamlined authentication journey makes open banking payments even faster
Secure open banking payments are now even faster with streamlined authentication – optimise your payment journey and increase returning customers with Tink’s Pay by Bank-powered tools.
La guida di Tink per chi sta per scegliere la piattaforma di open banking
Molte aziende offrono piattaforme di open banking ma capire cosa questo esattamente significhi non è facile. Tink ha stilato una lista che vi aiuterà a riconoscere i criteri di cui tenere conto per valutare la giusta piattaforma in modo da offrire il miglior servizio possibile ai vostri clienti.
Investimenti e ritorni dell’Open Banking in Italia
In questo webinar, scopriamo insieme a Francesco Zola, Business Development Manager per il mercato italiano, i risultati del nostro studio sugli investimenti e i ritorni sull’open banking. Vediamo poi come i nostri clienti stanno utilizzando questi servizi per diventare le banche del domani e migliorare l’esperienza dei loro clienti.
Inizia a utilizzare Tink
Contatta il nostro team per saperne di più su ciò che possiamo aiutarti a creare o crea un account per iniziare subito.
