Un accordo tra istituzioni e banche che passi da SPID, il sistema pubblico di identità digitale studiato per l’accesso online dei cittadini ai servizi della pubblica amministrazione, con la certezza che chi sta richiedendo il servizio sia effettivamente chi dice di essere. E’ un progetto che sta portando avanti il Team per la Trasformazione Digitale guidato dall’ex Amazon Italia Diego Piacentini, il Commissario straordinario del governo per l’attuazione dell’Agenda digitale, e che potrebbe avere conseguenze di grande portata anche per lo sviluppo del fintech in Italia.
Lo ha svelato MF Milano Finanza in edicola da sabato 9 giugno, all’interno dell’inchiesta che riepiloga i temi salienti trattati nel corso della Milano Finanza Digital Experience Week che si è tenuta dal 4 al 7 giugno scorsi e di cui BeBeez è stato partner.
Del progetto ha infatti parlato nei giorni scorsi, Nicolò Romani, membro del Comitato Direttivo di Assofintech e Head of Innovation di Sia, il gruppo leader europeo nella progettazione, realizzazione e gestione di infrastrutture di pagamento, appunto in occasione del suo intervento a un workshop dedicato all’identità digitale e a come difendersi dalle frodi informatiche nell’ambito della Milano Finanza Digital Experience Week.
Verificare la certezza dell’identità di chi esegue pagamenti o richiede credito online è infatti il prerequisito fondamentale per qualunque impresa o fintech che eroga tali servizi e lo sarà ancora di più a partire dal 14 settembre 2019, cioè 18 mesi dopo la pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea lo scorso marzo del Regolamento della Commissione. A quel punto sarà infatti terminato il periodo di test per i nuovi servizi finanziari che potranno essere offerti grazie alla piena entrata in vigore della nuova direttiva sui servizi di pagamento (PSD2, si veda anche qui il video del Caffé di BeBeez dello scorso ottobre sulla PSD2 e le opportunità per le fintech).
Il Regolamento riguarda le norme tecniche per la cosiddetta “strong customer authentication” (autenticazione forte del cliente) e per standard di comunicazione comuni e sicuri. Sembra una questione per addetti ai lavori, ma in realtà coinvolge imprese e persone nella loro vita quotidiana, perché grazie a questi tecnicismi aziende e privati potranno accedere a nuovi servizi di informazione e di pagamento in tempo reale sui propri conti correnti.
Chi vorrà offrire quei servizi, però, dovrà appunto dimostrare di aver identificato in maniera certa il pagatore, rispettando lo specifico regolamento tecnico definito da EBA (European Banking Authority). Ma non è tutto, perché su un altro fronte i fornitori di questi servizi devono dimostrare la loro identità di prestatori dei servizi di pagamento, qualificandosi sempre in maniera chiara e univoca, sulla base di certificati, così che sia possibile tracciare in modo completo qualsiasi tentativo di accesso ai conti di pagamento dell’utente. Non saranno più possibili, in sostanza, pratiche come lo “screen scraping”, ossia l’accesso ai dati contenuti su un sito web, ad esempio l’internet banking, attraverso l’uso di applicazioni software che simulano di essere l’utente.
Tutto questo poi non basta ancora, perché un conto è l’identità digitale e un conto è il rispetto di altre norme che entrano in gioco nel momento in cui si perfezionano contratti finanziari, come per esempio l’apertura online di un conto corrente o l’acquisto di una carta telefonica sim. In questi casi vanno eseguiti controlli antiriciclaggio e di contrasto al finanziamento del terrorismo. Insomma, se da un lato con la PSD2 si aprono grandi opportunità di business per startup fintech e per società tech o finanziarie già avviate, dall’altro la strada è complessa, perché vanno adottate tecnologie necessarie a sviluppare metodi di controllo supersicuri, ma che contemporaneamente non richiedano agli utenti lunghi e difficili passaggi tra diversi livelli di password e questionari.
Parallelamente l’Agenzia per l’Italia Digitale e il Team per la Trasformazione Digitale stanno sviluppando il progetto SPID, nel rispetto dei requisiti cosiddetti eIDAS, acronimo per electronic IDentification, Authentication and trust Services, stabiliti dal Regolamento Ue n. 910/2014, che riguarda appunto l’identificazione elettronica e i trust services per le transazioni elettroniche nella Ue e il cui obiettivo è quello di permettere ai cittadini in un paese europeo di accedere ai servizi della pubblica amministrazione di altri Paesi dell’Ue (interoperabilità).
L’idea alla base del progetto è che tutte le pubbliche amministrazioni debbano rendere i propri servizi online accessibili tramite SPID in modo da incoraggiare e semplificare l’utilizzo dei servizi digitali ai cittadini. Non solo. Già oggi è previsto che anche le imprese e le fintech possano rendere i propri servizi online accessibili tramite SPID, al fine di favorirne e facilitarne l’utilizzo ai clienti.
Ma lo SPID, che risponde a criteri di sicurezza precisi e prevede un riconoscimento della persona, è abilitato anche a supportare i requisiti delle norme antiriciclaggio e di contrasto al terrorismo. A questo punto basterebbe fare due più due.
L’idea potrebbe essere quella di coinvolgere le banche nella emissione delle identità SPID anche perché per aprire un conto corrente l’utente è stato riconosciuto e passato i controlli dell’antiriciclaggio. In pratica ci sarebbero già ben 20 milioni di SPID pronti, perché questo è il numero degli utenti dei servizi di internet banking identificati sulla base delle regole della Strong Customer Authentication. E da qui il passo sarebbe breve, perché le aziende e le fintech che volessero offrire al pubblico i nuovi servizi PSD2 potrebbero farlo in modo molto più veloce, se a voler diventare clienti dei nuovi servizi fossero i titolari SPID. Quegli utenti dovrebbero semplicemente inserire le loro credenziali SPID per accedere a quei servizi, senza che le fintech si debbano preoccupare di condurre in prima persona tutti i controlli di rito.
La questione, dunque, non è di poco conto, perché ci sono davvero tanti soldi in ballo e tanto tempo che potrebbero essere risparmiati. Non a caso nei giorni scorsi a Milano al Fintech District c’era la sala piena a un convegno promosso da Assofintech e dallo sviluppatore di prodotti digitali Enhancers sul tema delle “Know Your Customer (KYC) rules”, cioè appunto “conosci il tuo cliente”.