UMB x2b – PSD2 in funzione.

Implementare tutti i requisiti PSD2 in modo sicuro e stabile? Per questo non basta solo conoscere bene i regolamenti, bensì avere anche un know-how tecnico-finanziario. L’esempio di UMB x2b mostra come si possa realizzare la direttiva PSD2 dal punto di vista tecnico, in modo tale da creare una base flessibile per i futuri progetti di open banking.

  #Digitalizzazione – IoT   #Digitalization as a Service  

PSD2 come prerequisito per l’open banking

PSD2 e open banking sono spesso nominati insieme. Sebbene non abbiano lo stesso significato, entrambi i termini sono strettamente collegati tra loro: del resto la direttiva revisionata sui servizi di pagamento 2 (PSD2) delinea un bel passo in avanti verso l’open banking. Questa prevede che le banche in Europa si aprano a terzi, i cosiddetti Third Party Provider (TPP). PSD2 elimina con ciò le barriere per potenziali nuovi concorrenti nel mercato finanziario e pone le basi per un ecosistema vario, composto da fornitori di servizi fintech e banche. In concreto la direttiva prevede che tutte le banche all’interno dell’Unione Europea implementino moderne API «RESTful» e mettano a disposizione questi TPP certificati. Questa iniziativa apre numerose opportunità, ma al contempo pone le banche di fronte a nuove sfide. Devono assicurarsi che i dati dei loro clienti (o i cosiddetti Payment Service Users «PSUs») siano sufficientemente protetti da accessi non autorizzati. Inoltre le API PSD2 devono essere integrate nei sistemi centrali delle banche che hanno il controllo su questi dati. Nel progetto con il nostro partner SOBACO anche la gestione di diversi clienti era un’esigenza di primaria importanza, poiché questi gestiscono le loro piattaforme per un considerevole numero di banche. In ogni caso si parlerà più in dettaglio dei requisiti tecnici in un post separato sul blog.

 

Gli standard nell’ambito europeo

Purtroppo non tutta la PSD2 è uguale: ci sono diverse possibilità per realizzare le direttive dal punto di vista tecnico. Abbiamo scelto di creare il nostro prodotto UMB x2b sul NextGenPSD2-Framework del Berlin Group. Il Berlin Group è un’iniziativa europea che fissa le norme tecniche e gli standard che si basano sulla giurisdizione europea. Per impedire che tutte le banche europee sviluppino software privati per conformarsi alla PSD2, questa iniziativa ha creato la task force NextGenPSD2. Lo scopo era di definire uno standard industriale per l’implementazione dei requisiti formulati nella PSD2, consentendo al contempo ai consumatori delle nuove interfacce di collaborare. Come risultato è nato il sopra citato NextGenPSD2-Framework. Questo definisce l’aspetto delle nuove API e quali formule di sicurezza proteggono l’accesso ai dati personali. In particolare, il NextGenPSD2-Framework include API nei settori Payment Initiation Service (PIS), Account Information Service (AIS), Payment Instrument Issuing Service (PIIS), Signing Baskets Service (SBS) e Common Services. Questi servizi API vengono integrati da un cosiddetto Consent Management che verifica le autorizzazioni per gli accessi alle risorse individuali. Questo permette ai clienti della banca di controllare quali TPP hanno accesso ai loro dati. Per impedire potenziali fughe di informazioni, la comunicazione ha inoltre luogo esclusivamente tra i clienti della banca e la banca stessa. I TPP non hanno quindi alcun accesso ai dati dei clienti della banca, finché questi ultimi non abbiano dato il loro valido consenso (Consent).

 

UMB x2b: tutto in una piattaforma

Queste condizioni generali dovevano essere applicate nel progetto con SOBACO. Il nostro scopo era quello di realizzare tutte le API richieste dalla PSD2 in modo stabile e sicuro. Inoltre la soluzione si doveva fare integrare il più semplicemente possibile nell’infrastruttura già presente della rispettiva banca. Del resto è da tutte queste riflessioni che è nata la piattaforma Open-Banking UMB x2b, che tramite diverse componenti risponde a tutte le esigenze sopra citate.

Nell’illustrazione i consumatori (TPP & PSU) delle nuove API PSD2 sono mostrati sulla sinistra, mentre tutti gli elementi variabili dell’architettura sono contrassegnati in giallo chiaro. Queste componenti giocano un ruolo critico nell’interazione dei sistemi ed hanno rispettivamente un fine molto specifico. Al contempo sono differenti a seconda della banca e possono essere rispettivamente scambiate. Perciò è stato per UMB particolarmente importante concepire le componenti appositamente sviluppate (orange) in modo tale che possano garantire una compatibilità più elevata possibile. Al centro di questi sistemi sviluppati ci sono le diverse API PSD2 per la registrazione di pagamenti (PIS), l’interrogazione di informazioni sul conto (AIS) e la conferma dei fondi (PIISP). Tuttavia queste possono anche essere sostituite da API qualsiasi – a seconda della necessità della rispettiva banca. Un altro componente centrale di UMB x2b è il Consent Management. Questo garantisce che possano accedere ai dati della banca solo i TPP autorizzati dal cliente. Come ulteriore elemento presente nella piattaforma, il cosiddetto adattatore del core banking, che garantisce che possano essere comunicati e scambiati solo dati. Ultimo ma non meno importante, la piattaforma open banking comprende anche un adattatore sandbox. Questo permette a terzi di verificare le loro applicazioni con dati di test in un ambiente sandbox. In particolare questa direttiva PSD2 è un buon esempio di come i nuovi requisiti siano assolutamente sensati: del resto non c’è niente  di più seccante che dover integrare un sistema del tutto sconosciuto.