L’elenco dei
Qualified Trust Service Provider (QTSP) è indicato direttamente da OBE, Open Banking Europe, un’iniziativa avviata da PRETA nel mese di giugno del 2017. PRETA è posseduta da EBA Clearing, un consorzio di 53 banche che ha come obiettivo l’interazione con gli organi di mercato e che agisce come provider per le infrastrutture di pagamento.
In Europa, OBE è promossa dalla Commissione Europea e rientra a far parte dell’agenda digitale, per promuovere attivamente processi di innovazione e competizione all’intero del mercato e per favorire l’avvio di nuovi servizi. La definizione degli standard da utilizzare è affidata a OBE ed ETSI (European Telecommunications Standards institute), che lavorano congiuntamente, secondo un accordo ratificato ad agosto 2018.
È comunque bene precisare che Open Banking Europe non è un supervisor o un ente di certificazione dei QTSP; di fatto, le informazioni a disposizione si fondano sulle qualificazioni e certificazioni ottenute dei provider stessi.
I servizi di OBE Direcotry sono concepiti per creare e abilitare i “trusted identity services”, erogati attraverso i certificati qualificati eIDAS; stiamo parlando di un riferimento affidabile per l’intero settore, indispensabile per fornire le autorizzazioni certificate dei fornitori terzi (Third Party Providers).
Ma perché si parla di Third Party Providers e PSD2?
Si tratta di un obbligo di legge: le regole tecniche di EBA entrano di fatto in vigore dopo un periodo transitorio di 18 mesi, come prescritto nella direttiva. L’attuazione effettiva in Italia e in tutta l’Unione Europea è stata il 13 gennaio 2018: la piena applicazione è dunque da considerarsi a partire dal 14 settembre di quest’anno.
Di fatto,
tutte le banche, gli istituti finanziari e i soggetti intermediari dovranno utilizzare servizi erogati da player qualificati e presenti nella lista dei Qualified Trust Service Provider della OBE Directory. Con la PSD2 (Payment Services Directive 2), l’Unione Europea si è espressa sul tema dei pagamenti elettronici con una direttiva specifica, che va ad impattare in modo importante sull’attività delle banche convenzionali.
All’atto pratico, con la PSD2 si vuole favorire la concorrenza sul mercato dei pagamenti e dare maggiore apertura alle informazioni dei conti correnti bancari. In questo contesto, i soggetti di riferimento sono molti, con riferimento particolare ai fornitori dei servizi di pagamento. Sono dunque coinvolte le banche, le assicurazioni, le Telco e le società Fintech, sino ai cosiddetti TPP (Third Party Providers). Un aspetto importante riguarda la richiesta implicita nella direttiva: le banche dovranno concedere ai TPP un accesso sicuro ai conti dei clienti e alle informazioni sui pagamenti, allo scopo di concretizzare un mercato europeo dei pagamenti più efficiente.
PSD2 stravolge i canoni consueti di questo settore e apre a una grande varietà di player non tradizionali, generando opportunità per tutte le parti in gioco. Questo perché spalanca le porte del mercato dei pagamenti anche a parti terze, che offrono servizi basati sull’accesso alle informazioni del conto di pagamento e propongono servizi alternativi, fino ad oggi inesistenti.
Nonostante le apparenze, la direttiva può costituire una grande possibilità di rinnovamento anche per le banche stesse, che potranno scegliere di investire in modo consistente su nuove soluzioni di business che sfruttano l’innovazione tecnologica e il marketing.
La comunicazione richiede sicurezza: QWAC e QsealC
Stanti queste premesse, diventa ancora più cruciale poter garantire sicurezza durante i processi di interscambio di informazioni e di dialogo tra banche, soggetti intermediari e finanziari. Prendono forma, dunque, due nuove soluzioni a salvaguardia dell’integrità e della sicurezza delle differenti attività in transito; prodotti e servizi che solo QTSP qualificati (in Italia sono pochi i soggetti abilitati) possono erogare.
Nel nuovo contesto previsto dalla direttiva, i nuovi player (payment initiator / account aggregator) che operano tra la banca e il cliente dovranno attrezzarsi con i servizi definiti da eIDAS ed essere in grado di garantire le identità, l’autenticità e la riservatezza dei dati scambiati nelle transazioni. Non solo, PSD2 impone requisiti stringenti anche per la Strong Customer Authentication (SCA), introducendo il principio di collegamento dinamico per l'autorizzazione del pagamento.
QWAC sta per
Qualified Web Authentication Certificate: un tipo
particolare di certificato SSL Server necessario per assicurare un canale di comunicazione sicuro (cifrato e autenticato)
tra le terze parti (TPP) e le
banche e istituzioni finanziarie nell'ambito dei servizi di pagamento.
Analogamente, i
Certificati Qualificati di Sigillo per PSD2 rappresentano un tipo specifico di certificato, avente un profilo pensato per l’utilizzo nell’ambito dei servizi di pagamento elettronico conforme alla direttiva europea stessa. Un sigillo elettronico, per molti aspetti simile a una firma elettronica, garantisce l’integrità dei dati e la loro origine, definendo la cosiddetta paternità del documento. Il certificato per sigillo è molto simile a un certificato di firma digitale, ma non contiene i dati identificativi di persona fisica, bensì i dati identificativi di un’organizzazione.
Per poter essere utilizzato nell’ambito di servizi di pagamento conformi alla PSD2, il sigillo deve contenere dettagliate informazioni, che includono il numero di autorizzazione dell’organizzazione titolare (in quanto prestatore di servizi di pagamento), l’identificativo dell’autorità nazionale che ha rilasciato tale autorizzazione e l’elenco dei ruoli PSD2 autorizzati all’organizzazione titolare.
In questo contesto è fondamentale poter contare su un partner di fiducia; tra i player attivi in UE,
Aruba Enterprise è
Qualified Trust Service Provider nella OBE Directory con
CA Actalis e Aruba PEC, per la
fornitura di servizi QWAC e QsealC.
Banche, finance e il settore assicurativo adottano già oggi gli strumenti sicuri erogati da Actalis e Aruba PEC, per stare al passo con l’evoluzione tecnologica e normativa.