API

Per adeguamento alla normativa PSD2 abbiamo messo a disposizione delle Terze Parti un’interfaccia dedicata con cui connettersi tramite API ai nostri servizi bancari per i test di funzionalità.
I documenti contenenti le specifiche tecniche dell’interfaccia dedicata sono pubblicati a cura del fornitore della piattaforma multi-operatore Cedacri Group S.p.A., e sono disponibili online, sul Portale Terze Parti, all’indirizzo: https://developer.cedacri.it.
Allo stesso indirizzo sono inoltre disponibili le specifiche delle API in formato YAML, oltre ad uno strumento, definito sandbox, che permette alle Terze Parti di simulare online le operazioni di accesso ai conti.

PSD2

La Payment Services Directive, più conosciuta come PSD2, è una direttiva dell’Unione Europea volta a favorire lo sviluppo e la crescita dei servizi di pagamento digitale. Se da un lato la normativa mira a promuovere lo sviluppo del mercato di pagamenti in modo competitivo ed efficace, dall’altro questo insieme di regole cerca di tutelare gli utenti dei servizi di pagamento aumentando la sicurezza durante le transazioni e i diritti a tutela dei consumatori. Scopriamo insieme tutti i dettagli della nuova normativa.

Che cos’è la PDS2?

Per promuovere lo sviluppo di un mercato dei pagamenti efficiente e competitivo, rafforzando la tutela degli utenti dei servizi di pagamento e aumentando il livello di sicurezza dei servizi di pagamento elettronici, è nata la PSD2, acronimo di Payment Services Directive 2.

Questa direttiva europea (UE 2015/2366) è stata recepita nell’ordinamento italiano tramite il D.Lgs. 218/2017, in vigore dal 13 gennaio 2018, e integrata dal Regolamento delegato (UE) 2018/389 della Commissione del 27 novembre 2017, efficace dal 14 settembre 2019.

Tra gli obiettivi c’è soprattutto quello di regolamentare i cosiddetti digital payments, cioè i pagamenti effettuati tramite app e siti mobili, garantendo maggiore protezione, sicurezza e trasparenza per questo tipo di transazioni, sempre più utilizzate dagli utenti delle banche.

Di seguito una sintesi delle principali novità della PSD2.

Operatività tramite terze parti
I clienti sottoscrittori di un conto online o di un contratto di home banking potranno accedere alle informazioni sul proprio conto e gestire i movimenti di denaro anche tramite soluzioni offerte da terze parti, previa autorizzazione da parte del proprietario del conto.
La normativa definisce due tipologie di soggetti Terze Parti:

  • AISP: acronimo di Account Information Service Provider;
  • PISP: acronimo di Payment Initiation Service Providers.

Se il cliente autorizza le Terze Parti ad accedere alle informazioni relative al proprio conto o a effettuare operazioni (come trasferimenti di denaro o pagamenti nei negozi), esse potranno recuperare i dati e farli visualizzare al cliente su altri applicativi digitali, differenti da quelli messi a disposizione dalla banca.

Responsabilità dell’utente dei servizi di pagamento
La nuova direttiva prevede che l’utente sia responsabile della tutela delle proprie credenziali d’accesso e della comunicazione alla propria banca di eventi che possano comprometterne la sicurezza. Il cliente può in qualsiasi momento monitorare quali Third Party Provider (TPP) sono stati autorizzati e decidere se mantenerli o revocarne l’autorizzazione.

Sicurezza
Una terza novità della normativa riguarda la disciplina più attenta delle norme di sicurezza sull’autenticazione. Un prestatore di servizi di pagamento deve predisporre l’applicazione dell’autenticazione forte del cliente (SCA – Strong Customer Authentication) nel caso in cui il pagatore acceda al proprio conto online, nel caso in cui disponga di un’operazione di pagamento elettronico ed in qualsiasi altra azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi.

Nel caso di disposizione di pagamento a distanza tramite TPP, i Payment Service Provider devono prevedere le stesse modalità di autenticazione forte del cliente mediante degli elementi che colleghino in maniera dinamica l’operazione a uno specifico importo e a un beneficiario specifico.

Un TPP che voglia accedere ai conti, può fare ricorso, previo consenso del cliente, alle procedure di autenticazione fornite dal prestatore di servizi di pagamento presso cui è radicato il conto dell’utente, senza avere necessariamente una relazione contrattuale con quest’ultimo.

Tutti i dati del cliente viaggeranno attraverso canali di comunicazione sicuri, predisposti dal prestatore di servizi di pagamento in modo tale da prevenirne l’accesso non autorizzato da parte di terzi.

Costi e surcharge
Con la nuova normativa è stato introdotto un limite massimo per i costi di commissione interbancaria legati alle operazioni di pagamento. In particolare:

  • In caso di pagamento con carta di debito o carta prepagata la commissione massima per ogni operazione non può superare lo 0,20% del valore complessivo della transazione;
  • In caso di pagamento con carta di credito la commissione massima per ogni operazione non può superare lo 0,30% del valore complessivo della transazione;
  • In caso di operazioni di pagamento non autorizzate, l’importo massimo che l’utente è chiamato a sostenere si riduce da 150 euro a 50 euro.

La Commissione Europea ha realizzato un opuscolo per informare i consumatori sui loro diritti quando effettuano un pagamento in Europa. Clicca qui per leggerlo e scaricarlo.

Fall back solutions: statistiche trimestrali

Mettiamo a disposizione le statistiche trimestrali contenenti i KPI calcolati su base giornaliera riferite ai canali diretti (Corporate Banking e Internet Home Banking Retail) e all’interfaccia dedicata alle Terze Parti, rilevate con frequenza trimestrale e utili al procedimento amministrativo di esenzione dall’obbligo di realizzare di contingency (fall-back solutions).
Di seguito i file excel disponibili per il download.

Statistiche

Terze parti

Home Banking Retail

Corporate Banking

Periodo 01.01.2020 – 31.03.2020

Scarica

Scarica

Scarica

Periodo 01.09.2019 – 31.12.2019

Scarica

Scarica

Scarica

Periodo 01.06.2019 – 31.08.2019

Scarica

Scarica

Scarica

Legenda report

Campo

Descrizione

Modalità di calcolo

Data Riferimento

Data in cui è stato registrato il KPI, espressa in yyyy.mm.dd

n.d.

Nome servizio

Nome che descrive sinteticamente il servizio/KPI

n.d.

Id servizio

Numero identificativo del servizio/KPI

n.d.

Hits OK

Numero di richieste andate a buon fine

n.d.

Tempi medi in ms

Tempo medio di risposta alle richieste andate a buon fine, espresso in millisecondi

n.d.

N. Failures

Numero di richieste non andate a buon fine

n.d.

Sec. of Failures

Tempo di indisponibilità del servizio. Si considera indisponibile un servizio che non ha dato risposta a cinque chiamate consecutive nell’arco di 30 secondi, indipendentemente dall’identità del chiamante. Si considera il servizio indisponibile dalla prima chiamata delle cinque alle quali non è stata data risposta nei termini stabiliti

n.d.

% Availability Time

Disponibilità del servizio

1 – (tot. secondi indisponibilità/24 h)

Error Response Rate

Tasso di errore. Per errore si considera una richiesta non andata a buon fine

N° Hits KO/(N° Hits OK + N° Hits KO)