Espressione sempre più ricorrente nel linguaggio comune, l’open banking ha fatto irruzione nel mercato spinto da direttive europee.
Nel presente articolo spieghiamo cos’è, quali sono gli effetti che la sua applicazione è destinata a produrre nel settore finanziario, quali sono i benefici per consumatori e imprese al di là del mero aspetto pratico.
Significato
Open banking indica la condivisione di informazioni finanziarie da parte di enti finanziari (es. banche), su autorizzazione del cliente, con società di terze parti.
Per il consumatore, open banking vuol dire – in termini pratici – poter accedere alla totalità delle informazioni finanziarie personali, anche se distribuite in diverse banche e istituti di credito, da un’unica piattaforma (aggregatore).
L’aggregatore può essere fornito da una banca oppure da società specializzate nell’aggregazione di dati (account information).
Per le istituzioni finanziarie, invece, open banking vuol dire mettere a disposizione i dati dei propri clienti (esclusivamente su richiesta degli stessi clienti, ça va sans dire) a società di terze parti o Third Party Providers (TPP).
Perché una banca, una società assicurativa o di investimenti dovrebbe condividere informazioni tanto preziose?
La risposta è molto più semplice di quanto si pensi: perché è obbligata a farlo. A stabilirlo è infatti una direttiva europea, l’ormai famosa PSD2, in vigore dal 2019.
PSD2
La Payment Services Directive 2, meglio nota come PSD2, è la direttiva UE n. 2366 del 2015, entrata in vigore quattro anni più tardi, indirizzata a tutti i prestatori di servizi finanziari (banche, assicurazioni, istituti di moneta elettronica, ecc.)
Oltre a stabilire rigidi requisiti di sicurezza informatica, scopo del nuovo regolamento è quello di conferire un’ulteriore spinta al regime concorrenziale in un settore storicamente “chiuso”, ove la segretezza delle informazioni veniva utilizzata dagli istituti per vincolare il consumatore alla propria offerta.
Banche e altre istituzioni finanziare sono dunque obbligate a condividere informazioni sui clienti, ma solo se il cliente lo richiede in modo esplicito.
Per quale motivo il consumatore dovrebbe scegliere, di sua iniziativa, di trasmettere a società terze le proprie informazioni finanziarie e patrimoniali?
Innanzitutto per motivi puramente pratici. Come rilevato da alcuni anni a questa parte, la multibancarizzazione è un fenomeno ormai diffuso: anche gli italiani hanno abbandonato il concetto della “banca di fiducia”. Nel rapporto 2020 di ABI Lab si rileva che il 46% dei correntisti Digital Onboarded (in buona sostanza, gli utenti digitalizzati) è titolare di conti presso diversi istituti bancari.
In Italia, consumatori e imprese multibancarizzati sono attratti dalla semplicità di utilizzo (45%) ma soprattutto dal risparmio di tempo (57%), come rivela il rapporto European Evolution of Banking 2020 di MasterCard.
Il fattore risparmio di tempo è riconducibile anche al dato sulle sempre più sporadiche visite in filiale, come invece emerge da un’indagine del 2021 condotta da Hype, istituto di moneta elettronica del Gruppo Sella: il 60% del campione visita gli uffici bancari non più di due volte l’anno.
Tornando alla domanda posta in precedenza (Perché consumatori e imprese dovrebbero condividere informazioni finanziarie con società terze?), di fronte ai dati sopraindicati la risposta è facilmente intuibile: per gestire in modo più semplice le proprie finanze, possibilmente da una sola app.
AISP e PISP
Consultazione e gestione da un’unica piattaforma sono rese possibili da due tipi di prestatori di servizi:
Account Information Service Provider (AISP) – È una società che, autorizzata dal consumatore o dall’impresa, raccoglie le informazioni detenute da diverse istituti finanziari e le rende fruibili in un’unica piattaforma, ad esempio un portale web oppure un’applicazione mobile per smartphone e tablet.
Payment Initiation Service Provider (PISP) – È una società che, su autorizzazione e per conto dell’utente, effettua una transazione attingendo da un conto bancario, da un portafoglio elettronico o da una carta di credito.
L’accesso ai dati da parte degli operatori di terze parti può causare scetticismo da parte degli utenti, ma siamo sicuri di essere estranei a simili pratiche?
Amazon Pay e PayPal, ad esempio, rientrano nella categoria dei PISP e da anni – decenni, nel caso di PayPal – vengono autorizzati su base volontaria da consumatori ed imprese ad attingere da un loro conto corrente o carta di pagamento.
Per quanto riguarda gli AISP, le maggiori banche “tradizionali” italiane (Intesa Sanpaolo, UniCredit, Banca Sella) forniscono oggi un proprio aggregatore bancario, integrato nella piattaforma dell’online banking.
È evidente come i grandi istituti abbiano sentito l’esigenza di correre ai ripari, assumendo essi stessi la funzione di aggregatore. Tale scelta è ben lungi dall’essere deleteria, al contrario, è istinto di sopravvivenza – come spieghiamo di seguito.
Gli effetti su istituzioni finanziarie, consumatori e imprese
Uno dei fini dell’open banking, come esplicitamente espresso negli obiettivi della PSD2, è favorire la competitività delle offerte nel settore finanziario.
Si pensi alla possibilità di scegliere, rimanendo sulla stessa pagina web, il metodo di pagamento più economico per un determinato acquisto. Abbiamo già menzionato il caso di PayPal, attraverso il quale possiamo selezionare in pochi istanti una carta di credito piuttosto che un’altra, un conto o una prepagata tra quelli preventivamente registrati. Ognuno dei metodi di pagamento può infatti offrire maggiori vantaggi in talune occasioni.
Si pensi, ora, alla medesima opportunità applicata a servizi come conti deposito, investimenti, conversione di valuta e trasferimenti.
L’utente accede ad un aggregatore bancario tramite app o sito web, seleziona l’operazione di suo interesse ed ottiene le diverse opzioni, ordinate in base ai criteri scelti – ad esempio la convenienza (commissioni più basse), il rischio o il profitto (tasso di interesse) e così via. A questo punto seleziona l’offerta migliore e procede effettuando l’operazione con la banca più competitiva, ma rimanendo sempre sulla stessa piattaforma.
Un esempio concreto, a noi già familiare è offerto dai comparatori di polizze automobilistiche, dove tuttavia è necessario inserire di volta in volta dati aggiornati: polizza di provenienza, numero di sinistri, ecc. I comparatori basati sull’open banking, al contrario, non solo eliminano la parte più noiosa della procedura, cioè l’immissione dei dati (dal momento che l’aggregatore è già in possesso di tutte le informazioni), ma saranno in grado di fornire risultati precisi ed attendibili grazie ad una analisi approfondita della situazione patrimoniale e finanziaria dell’utente.
La prospettiva per consumatori e imprese è dunque molto interessante, sia dal punto di vista pratico sia da quello economico.
Cosa porta, invece, un ente finanziario ad agevolare, tramite il suo stesso sito web, un’analisi meticolosa delle sue offerte?
Semplicemente, per non essere colto di sorpresa dalla concorrenza in fermento. Offrire una piattaforma di open banking vuol dire, in primo luogo, trattenere e fidelizzare i clienti rispondendo alla sempre più insistente domanda di semplificazione nella gestione dei servizi, in secondo luogo permette mantenere il controllo sulle funzionalità messe a disposizione dell’utente.
Già scottati dal successo delle challenger banks, le banche tradizionali questa volta non hanno intenzione di farsi cogliere impreparate e sfruttano un loro grande vantaggio: la brand reputation. Un marchio longevo suscita un senso di fiducia ed affidabilità nel consumatore. Quest’ultimo, soprattutto in ambito di condivisione di dati finanziari, preferirà tendenzialmente rivolgersi all’aggregatore di una grande banca piuttosto che ad una soluzione offerta di nuovo player, pur se specializzato nell’offerta di account information.
Accaparrandosi l’utenza con iniziative che altrove si trovano ancora allo stato embrionale, i maggiori gruppi finanziari hanno davanti a sé la possibilità di guidare la transizione all’open banking dettandone le tendenze.
Ciò basterà a scongiurare un’ulteriore esodo di clienti? Forse in un primo momento – ma, come si è visto, la diffidenza dei consumatori nei confronti degli operatori nativi digitali va via via sgretolandosi nel tempo, rendendo fondamentale per la sopravvivenza il fattore della competitività dell’offerta, ancor più della brand reputation.
API: condivisione dei dati e sicurezza
La realizzazione pratica dell’open banking passa attraverso l’Application Programming Interface (API), una serie di procedure informatiche che consentono di accedere ad informazioni conservate altre società.
Come stabilito nella PSD2, le istituzioni finanziarie sono obbligate a fornire delle Open API o API aperte. Queste ultime sono contrapposte alle API commerciali, o API chiuse, alle quali si accede esclusivamente previo accordo commerciale tra privati.
Immagine: Mobile Transaction
I TPP accedono alle informazioni tramite API fornite dalla banca.
L’apertura delle API può condizionare il livello di sicurezza? No.
Si potrebbe affermare, al contrario, che la rigidità delle regole e gli elevati standard di sicurezza imposti dall’Unione Europea assicurano un alto livello di protezione dei dati, mentre nulla è dato a sapere sugli standard impiegati nella realizzazione delle API commerciali.
È importante sottolineare, in aggiunta, che le Application Programming Interface limitano la loro azione agli strumenti di accessibilità ai dati. L’archiviazione (conservazione) degli stessi dati è invece a cura esclusiva del singolo ente finanziario.
Oltre la PSD2: l’open banking nel mondo
L’open banking non è una prerogativa dell’Unione Europea. In assenza di imposizioni normative, la sua adozione è però volontaria. È questo il caso degli Stati Uniti, il paese emblema della concorrenza e della competizione.
Negli USA, non essendovi normativa a regolamentare gli standard di condivisione dei dati finanziari, si tratta di una pratica puramente commerciale, guidata da accordi tra privati e messa in atto tramite una varietà di canali. Quello più diffuso prende il nome di screen scraping, particolarmente esposto a rischi di sicurezza informatica.
Lo screen scraping consiste infatti nel “raschiare” informazioni accedendo ai conti tramite uso delle credenziali fornite dallo stesso utente, su base volontaria. L’accordo viene stretto tra aggregatore e consumatore o impresa, mentre l’istituto bancario non ha alcun ruolo né facoltà di opporsi.
Come si può intuire dopo aver appreso principi ed obiettivi della PSD2, una tale pratica non solo è ostacolata dai regolamenti dei paesi UE, ma viene ormai esclusa perfino dall’immaginario collettivo: anche l’utente medio è perfettamente in grado di cogliere i rischi della condivisione di username e password – fermo restando che l’ormai obbligatoria autenticazione a due fattori impedisce ogni tentativo di attuazione di scraping in ambito finanziario.
Nel tentativo di proteggere gli ignari clienti, le maggiori banche statunitensi – tra cui JP Morgan e Wells Fargo – si muovono tramite instaurazione di partnership con gli aggregatori più popolari, per rendere possibile l’accesso ai dati tramite API e replicare così l’esperienza europea.
Come va nel resto del mondo? Evitare la diffusione dello screen scraping sui conti bancari è ormai una delle principali preoccupazioni degli enti finanziari in ambito informatico. Paesi come Giappone, Regno Unito e Australia sono corsi ai ripari con proposte di legge sulle orme della PSD2, ormai precursore e guida negli standard di sicurezza dell’open banking.
Fonti
[1] Direttiva (UE) 2015/2366 (direttiva sui servizi di pagamento 2 — PSD 2)
[2] ABI | Internet e Mobile Banking più centrali nella scelta del cliente
[3] MasterCard | Il ‘New Normal’ degli italiani è sempre più digitale
[4] StartUpItalia.eu | User experience, sociale e servizi di valore
[5] Prometeia | Regolamentazione e apertura volontaria
