Token, Sca e Psd2, le nuove regole dell’home banking.
E’ arrivato il grande giorno. Il 14 settembre, quindi l’altro ieri, avete usato per l’ultima volta il token, ovvero quella livemente areodinamica chiavetta che le banche danno in dotazione a chi vuole operare sul proprio conto corrente tramite home banking.
Beati voi che avete di che operare! 😀
Ma, a parte gli scherzi, il passaggio ai nuovi sistemi di autenticazione non sembra essere né facile, né agevole.
Andiamo con ordine. Sono due gli acronimi protagonisti di questo new deal: Sca (Strong customer authentication) e Psd2 (Payment services directive, in parole povere, la nuova direttiva europea sulle banche). Vi risparmio il contenuto legislativo e passo direttamente al lato pratico. Il combinato disposto di questi due nuovi elementi introduce il principio secondo il quale il correntista potrà accedere al proprio conto e effettuare le operazioni utilizzando la combinazione di almeno due dei tre sistemi previsti, ovvero:
1- la password e il pin
2- l’OTP (sequenze numeriche casuali inviate via sms o via app, le stesse che generava il token)
3- l’impronta digitale e il riconoscimento facciale
Questa autenticazione forte si basa sull’interazione di conoscenza (la password e il pin li conosce soltanto l’utente), possesso (l’utente possiede l’otp generato dal proprio cellulare) e inerenza (ciò che solo l’utente può essere, il dato fornito dall’impronta digitale).
Una nuova filosofia un po’ complessa che aggiunge a tutto ciò il fatto che, contrariamente a prima, ogni OTP generato sarà valido per un’unica operazione. Per due operazioni saranno necessari due OTP e così via.
La prima conclusione ovvia è che il cellulare, l’smartphone, diventa uno strumento indispensabile per l’home banking.
La sostituzione del token col cellulare è dovuta al ragionamento secondo il quale il cliente può perdere la chiavetta a non rendersene subito conto, dando così adito alla possibilità che un terzo operi sul conto al posto suo. Se perde il cellulare, invece, se ne accorge subito, perché va nel panico nel giro di pochi minuti.
Fa un po’ sorridere, ma chi potrebbe contraddire questa tesi?
Resta fermo il principio in base al quale in caso di violazione, furto, attacco hacker o quant’altro, la banca resta responsabile, fino a prova contraria, del danno subito dal cliente. Ha l’onere, dunque, di dimostrare di aver fatto tutto quanto possibile per evitare il fattaccio.
A mio modesto parere, il rodaggio sarà più lungo di quello che è stato previsto. Sono curioso peraltro di vedere se un così improvviso e massiccio aumento degli sms sarà retto da chi di dovere e, più in generale, se ci saranno, e in che misura, dei disservizi. Per non parlare poi dello sforzo che dovranno fare gli utenti per adeguarsi ai nuovi metodi (ho già ricevuto qualche chiamata dai miei clienti).
Resta poi il dubbio su come verranno gestiti i nostri dati bancari dagli offerenti terzi di servizi di pagamento, che ora, previo consenso dell’utente, potranno accedere ai nostri conti. Sto parlando, ad esempio, di Google, Facebook, Amazon…
Mah!
Vedremo.
Hai bisogno di assistenza informatica su questo argomento? Contattami. Trovi mail, numero telefonico, Facebook e WhatsApp in fondo a questa pagina 🙂