La spinta del mercato verso l’Open Banking, l’Open Finance e i pagamenti digitali ha accelerato la definizione di specifiche normative atte a garantire tanto i clienti, quanto le aziende, su aspetti fondamentali, quali, ad esempio, la protezione dei dati e la sicurezza delle operazioni digitali. In particolare, le normative FiDA – Financial Data Access e PSD3 – Payment Services Directive regolamentano il mercato unico dei dati finanziari e ribadiscono la centralità del cliente nelle decisioni che riguardano l’accesso ai propri dati. Nello specifico:
- FiDA è il quadro normativo di riferimento per lo sharing dei dati finanziari, a prescindere dall’uso che ne venga fatto, come, ad esempio, i pagamenti elettronici, transazioni finanziarie o la stipula di contratti assicurativi.
- PSD3 è la direttiva che regolamenta i servizi di pagamento. È una estensione della precedente PSD2, ma suddivide la parte normativa da quella operativa, regolamentata, quest’ultima, dal PSR - Payment Services Regulation. PSD3 e PSR sono da considerarsi, quindi, come un tutt’uno ai fini della compliance da parte delle aziende.
Pur nella loro specificità, le due normative rispondono all’obiettivo comune di proteggere i consumatori, favorendo, al tempo stesso, l’innovazione nei servizi finanziari. Vi sono, infatti, una serie di implicazioni tecnologiche di cui le aziende devono tenere conto, per garantire la conformità normativa e cogliere le opportunità offerte da un mercato che è in forte evoluzione.
FiDA e PSD3: quali sono le implicazioni tecnologiche
In un ecosistema “open”, è necessario che i diversi attori del settore possano intervenire in un processo in modalità standard, secondo regole stabilite a priori, garantendo, al tempo stesso, l’adeguato livello di sicurezza. A livello pratico, ciò si traduce nell’implementazione di specifiche tecnologie e adozione di best practice:
- Sviluppo di API – Application Programmable Interface in modalità standard. Le modalità di accesso alle informazioni e di richiamo (esecuzione) di servizi di terze parti deve avvenire secondo regole prestabilite, in modo che i dati e le operazioni effettuate possano essere facilmente soggette a controllo. Gli scambi di dati devono poter avvenire in tempo reale.
- Automazione dei flussi di lavoro. Per rendere ottimale la condivisione dei dati tra i vari interlocutori, è opportuno implementare piattaforme di Workload Automation, che assicurano la corretta esecuzione dei processi di back-end e la coerenza dei flussi di dati. A tale riguardo la è necessario salvaguardare la sicurezza dei dati, nelle sue classiche dimensioni di Confidentiality, Integrity, Availability, per poter preservare aziende e clienti da possibili frodi (furto o manomissione di dati riservati) e per garantire la disponibilità dei flussi dati.
- Gestione del consenso degli utenti. I meccanismi autorizzativi devono essere implementati per garantire la trasparenza e la revocabilità. Ciò significa, ad esempio, mettere a disposizione degli utenti una interfaccia tramite la quale verificare chi sono i soggetti autorizzati all’uso di quale tipologia di dati; accanto a questo devono essere implementati processi e interfacce con i sistemi per attualizzare le richieste dei clienti.
Il controllo dei soggetti autorizzati allo sharing delle informazioni è particolarmente importante nell’Open Banking. Tali soggetti, denominati TPP - Third Party Provider, trasferiscono, previo consenso dell’utente, le informazioni tra gli attori della transazione. Nello shopping online ciò capita, ad esempio, se il pagamento è eseguito tramite app di terze parti.
FiDA e PSD3: come garantire gli accessi sicuri
Come per il TPP, FiDA e PSD3 pongono molta attenzione all’identificazione dei soggetti e le procedure di accesso alle informazioni. La normativa richiede che vengano definite le politiche e implementate le tecnologie per la gestione dell’identità e il controllo degli accessi nei confronti dei dati riservati. Ciò può avvenire attraverso:
- IAM – Identity Access Management. È un sistema costituito da processi, policy e software a supporto dei medesimi che ha lo scopo di gestire il ciclo di vita delle utenze, cioè di assegnare, amministrare e revocare o disattivare le identità digitali degli utenti, siano essi dipendenti dell’organizzazione, clienti, partner o altri soggetti che accedono ai sistemi aziendali. L’utente, una volta identificato, potrà accedere solo alle risorse definite dal suo ruolo o profilo.
- SCA – Strong Customer Authentication. È la cosiddetta “autenticazione forte”: l’utente viene riconosciuto in base a due o più elementi che lo identificano, come, ad esempio, la password e il token temporaneo.
Infine, è importante sottolineare che la compliance alle normative FiDA e PSD3/PSR ha delle ricadute significative non solo tecnologiche, ma anche organizzative ed economiche. È necessario che le aziende si dotino di strutture e tecnologie che gestiscano in modo coerente l’insieme di policy, dati ed eventi, al fine di garantire il presidio ottimale della sicurezza. Ciò si traduce, nel concreto, in una serie di azioni e progetti di trasformazione, tra le quali la costituzione, o l’adozione, di un servizio SOC – Security Operation Center, la struttura che rende operative le policy di sicurezza. Tramite piattaforme dedicate, quali il SIEM - Security Information and Event Management, il SOC controlla la corretta applicazione delle regole di security, rileva le minacce informatiche e innesca le contromisure opportune.
