Da diversi mesi ormai le banche e il settore finanziario stanno conducendo una piccola guerra sui termini della direttiva europea sui servizi di pagamento Dsp2 (Directive de Services de Paiement), che entrerà in vigore nel gennaio 2018. I primi dovranno condividere alcuni dati dei loro clienti con terzi e i secondi vorranno continuare a utilizzare lo scrapping, una tecnica che consente l’accesso ai dati dei clienti di una banca utilizzando i suoi codici di accesso. Ma anche altri attori si sentono preoccupati da questo nuovo regolamento. I clienti Gafa (Google, Apple, Facebook, Amazon) saranno in grado di iniziare a pagare collegandosi, come le fintech, alle Api delle banche e accedendo ai dati di pagamento dei loro client, ma Gafa e Batx (Baidu, Alibaba, Tencent, Xiaomi) non vogliono sviluppare servizi di pagamento perché non fanno soldi. D’altro canto, è un buon modo per raccogliere maggiori informazioni sui clienti delle banche.
Psd2, la raccolta dei dati
Facebook ha appena annunciato il lancio del suo servizio di pagamento in Messenger nel Regno Unito e in Francia. Facebook Payments International è stata autorizzata come fornitore di servizi di pagamento ed emittente di moneta elettronica dalla Banca centrale d’Irlanda nell’ottobre 2016. Grazie al sistema europeo dei passaporti, questa approvazione è automaticamente valida negli altri 27 paesi dell’Unione europea. Dieci anni fa il social network ha cercato di creare la propria moneta digitale, ma il progetto non ha avuto successo. All’epoca le barriere all’ingesso ai pagamenti erano elevate e i consumatori non erano ancora disposti a fidarsi di Facebook.
Anche le piattaforme E-merchant, AirBnB e Deliveroo sono interessate dal Dsp2 perché l’opinione degli analisti è che per sopravvivere in futuro e creare valore in qualsiasi settore, bisognerà alimentare la fornitura dei dati e per fare questo sarà necessario includere il servizio finanziario, un po’ come ha fatto Uber includendo il suo servizio di pagamento nell’applicazione. Domani i consumatori disporranno di una moltitudine di mezzi di pagamento. Questa incursione in questo tipo di servizi dovrebbe aprire la strada ad altri servizi finanziari più redditizi come il credito e l’assicurazione.
La raccolta dei dati di pagamento non è l’unico interesse degli attori non bancari nella Psd2. La direttiva europea solleva anche questioni relative alla protezione dei dati dei consumatori. Per questo motivo l’alleanza Fido (Fast identity online) è stata coinvolta nel dibattito sul Dsp2. Creato nel 2013, questo consorzio di 250 membri internazionali sta lavorando a metodi di autenticazione online interoperabili e più sicuri. I suoi membri includono Google, Microsoft, Intel e altri giganti della tecnologia e operatori bancari.
Dsp2, Fido contro il phishing
Il 31 agosto di quest’anno Fido ha scritto alla Commissione Europea una lettera in cui descrive i rischi associati allo scrapping. Condividere il tuo Google Id con terze parti aumenta il rischio di pirateria informatica. È per evitare fenomeni di phishing che l’alleanza Fido è entrata nella nicchia. Una terza parte che recupera dati da un account Google può quindi avere accesso ad altri dati. Chi dice che il provider non utilizzerà dati diversi da quelli che sta recuperando?
Il Dsp2 vieta lo scrapping, ma il testo finale prevede che fintech (soprattutto gli aggregatori) la utilizzi come “soluzione di backup”. Il problema è che in molti non la considerano la risposta migliore.
Come la maggior parte delle banche, anche Fido promuove l’apertura a terzi dei sistemi informativi delle banche attraverso le Api, e ha presentato una proposta per soddisfare entrambe le parti. Non intende abolire lo scrapping come soluzione di riserva, ma prevedere un’esenzione temporanea per gli usi esistenti, come gli aggregatori. Se le banche non sono pronte, l’idea è di raccomandare alle autorità di regolamentazione di continuare a consentire la condivisione di identificatori e password per un periodo limitato da 6 a 12 mesi. Questo dovrebbe essere un tempo sufficiente perché le banche siano pronte e fintech possa connettersi alle loro Api.
