I Trust Services per il settore finanziario e assicurativo; Aruba Enterprise offre strumenti sicuri per rimanere aggiornati con il digitale e la compliance normativa.
I mercati finanziari evolvono in fretta, supportati da tecnologie digitali sempre più performanti. In questo, i cosiddetti “Trust Services” possono offrire una spinta al processo di digital transformation.
Per esempio, è possibile offrire processi autorizzativi paperless e con pieno valore legale grazie alle soluzioni di firma digitale, remota e qualificata. Svariati settori stanno comprendendo come sia possibile dematerializzare interi processi ed operazioni.
Compliance e sicurezza digitale: essere “paperless”
Il banking e l’assicurativo sono tra questi e stanno affrontando la digital transformation con strumenti compatibili e interoperabili. Questo approccio implica in primis uno snellimento delle pratiche e, in aggiunta, una rilevante ottimizzazione dei costi.
Ma c’è di più, per raggiungere questo obiettivo, di fatto, tutti i player coinvolti devono rivolgersi a player presenti nella lista dei Qualified Trust Service Provider della OBE Directory.
I servizi di OBE Direcotry sono concepiti per creare e abilitare i “trusted identity services”, erogati attraverso i certificati qualificati eIDAS; stiamo parlando di un riferimento affidabile per l’intero settore, indispensabile per fornire le autorizzazioni certificate dei fornitori terzi (Third Party Providers).
Compliance e sicurezza digitale: QWAC E QSEAL
Stanti queste premesse, diventa ancora più cruciale poter garantire sicurezza durante i processi di interscambio di informazioni e di dialogo tra banche, soggetti intermediari e finanziari.
Prendono forma, dunque, due nuove soluzioni a salvaguardia dell’integrità e della sicurezza delle differenti attività in transito; prodotti e servizi che solo QTSP qualificati (in Italia sono pochi i soggetti abilitati) possono erogare.
Nel nuovo contesto previsto dalla direttiva, i nuovi player (payment initiator / account aggregator) che operano tra la banca e il cliente dovranno attrezzarsi con i servizi definiti da eIDAS ed essere in grado di garantire le identità, l’autenticità e la riservatezza dei dati scambiati nelle transazioni. Non solo, PSD2 impone requisiti stringenti anche per la Strong Customer Authentication (SCA), introducendo il principio di collegamento dinamico per l’autorizzazione del pagamento.
Con la terminologia QWAC (Qualified Web Authentication Certificate) si intendono i certificati SSL Server qualificati e le soluzioni che assicurano canali di comunicazione sicuri e crittografati.
La PSD2
Analogamente, i Certificati Qualificati di Sigillo per PSD2 rappresentano un tipo specifico di certificato, avente un profilo pensato per l’utilizzo nell’ambito dei servizi di pagamento elettronico conforme alla direttiva europea stessa. Un sigillo elettronico, per molti aspetti simile a una firma elettronica, garantisce l’integrità dei dati e la loro origine, definendo la cosiddetta paternità del documento. Il certificato per sigillo è molto simile a un certificato di firma digitale, ma non contiene i dati identificativi di persona fisica, bensì i dati identificativi di un’organizzazione.
Per poter essere utilizzato nell’ambito di servizi di pagamento conformi alla PSD2, il sigillo deve contenere dettagliate informazioni, che includono il numero di autorizzazione dell’organizzazione titolare (in quanto prestatore di servizi di pagamento), l’identificativo dell’autorità nazionale che ha rilasciato tale autorizzazione e l’elenco dei ruoli PSD2 autorizzati all’organizzazione titolare.
In questo contesto è fondamentale poter contare su un partner di fiducia; tra i player attivi in UE, Aruba Enterprise è Qualified Trust Service Provider nella OBE Directory con CA Actalis e Aruba PEC, per la fornitura di QWAC e QSEALs services.
Banche, finance e il settore assicurativo adottano già oggi gli strumenti sicuri Actalis e Aruba PEC, per stare al passo con l’evoluzione tecnologica e normativa. Tra le partnership operative già avviate, quella con la banca centrale della Repubblica Italiana e con Nexi S.p.A.
Compliance e sicurezza digitale: PSD2
Fornire pagamenti elettronici conformi ai dettami della PSD2 con i sistemi di strong authentication.
Con la PSD2 (Payment Services Directive 2), l’Unione Europea si è espressa sul tema dei pagamenti elettronici con una direttiva specifica, che va ad impattare in modo importante sull’attività delle banche convenzionali. All’atto pratico, con la PSD2 si vuole favorire la concorrenza sul mercato dei pagamenti e dare maggiore apertura alle informazioni dei conti correnti bancari.
In questo contesto, i soggetti di riferimento sono molti, con riferimento particolare ai fornitori dei servizi di pagamento. Sono dunque coinvolte le banche, le assicurazioni, le Telco e le società Fintech, sino ai cosiddetti TPP (Third Party Providers). Un aspetto importante riguarda la richiesta implicita nella direttiva: le banche dovranno concedere ai TPP un accesso sicuro ai conti dei clienti e alle informazioni sui pagamenti, allo scopo di concretizzare un mercato europeo dei pagamenti più efficiente.
PSD2 stravolge i canoni consueti di questo settore e apre a una grande varietà di player non tradizionali. Questo perché spalanca le porte del mercato dei pagamenti anche a parti terze, che offrono servizi basati sull’accesso alle informazioni del conto.
La direttiva può costituire una grande possibilità di rinnovamento anche per le banche stesse. Esse dovranno però scegliere di investire in modo consistente su nuove soluzioni di business che sfruttano l’innovazione tecnologica e il marketing.
