La nuova era dei pagamenti digitali inizia il 14 settembre quando saremo costretti tutti a dare l’addio ai dispositivi fisici di sicurezza (le chiavette o token) che, generando un codice numerico monouso, ci hanno consentito per anni di accedere al nostro conto corrente ed effettuare acquisti e transazioni on line, e li sostituiremo con i software token che generano il codice Otp (One time password) visualizzabile su uno smartphone, tramite app o con un sms, o su pc e tablet.
Il tutto a fin di bene, in nome di una maggiore sicurezza, per impedire che terzi non autorizzati possano accedere ai nostri dati personali e bancari e farci cadere vittime di frodi informatiche, così come richiesto dalla direttiva europea 2015/2366 (nota come PSD 2) relativa ai servizi di pagamento.
La direttiva è intervenuta infatti, tra le altre cose, sotto il profilo della sicurezza dei pagamenti elettronici imponendo ai prestatori di servizi di pagamento di adottare delle procedure di “autenticazione rafforzata” della clientela quando l’utente accede al proprio conto di pagamento on line, dispone un’operazione di pagamento elettronico ed effettua qualsiasi azione, tramite canali a distanza. L’autenticazione forte si realizza con l’uso di due o più elementi: un Pin fisso (che solo l’utente può cambiare) e il codice monouso, che però ora – questa è la novità – è generato non più dai token fisici (le chiavette fornite dalla banca) ma dai più sofisticati software token.
In fase di login, quindi, il codice token consente l’autenticazione e l’accesso a tutti i dati relativi al proprio conto e ai servizi effettuabili on line. Poi lo si utilizza in fase di autorizzazione per effettuare i pagamenti online (ad esempio per eseguire bonifici, ricaricare il cellulare o la carta prepagata).
Considerando che ormai viviamo perennemente con lo smartphone in mano, il vantaggio e la comodità di poter generare il codice monouso con il cellulare sono evidenti: dal punto di vista della sicurezza è innegabile che difficilmente perdiamo di vista il telefonino (chi invece non ha perso o ha dimenticato dove aveva conservato la chiavetta?) e se dovessero rubarcelo abbiamo gli strumenti per bloccarne immediatamente l’uso; inoltre, averlo sempre a portata di mano significa accedere facilmente e in ogni momento all’Internet banking per effettuare le operazioni che ci servono e compiere i nostri acquisti on line.
Il rovescio della medaglia, però, è quello che il Salvagente aveva già segnalato ad aprile scorso: ora le banche in caso di truffe o phishing si scaricano della responsabilità di quanto prelevato illegalmente. Se in precedenza si prevedeva la responsabilità a carico dell’intermediario ora ci si appella all’aver predisposto sistemi di autenticazione e sicurezza.
Dunque il consumatore truffato dovrebbe adire un giudice e dimostrare i profili tecnici ed informatici della vicenda, per sollevarsi di una “colpa” che di fatto non consiste in nulla perché egli non ha fatto nulla, se non essere incappato nella sottrazione dei suoi soldi