Si chiama token, ma è conosciuto anche come chiavetta: entro il 14 settembre 2019, per accedere al proprio conto corrente online, non si userà più il «token» per consultare i saldi o eseguire bonifici. La svolta è imposta dalle nuove normative europee sui pagamenti digitali contenute nella direttiva «Psd2»: tutte le banche dovranno adeguarsi entro il termine perentorio del prossimo 14 settembre.
L’uscita di scena del token cambia notevolmente il rapporto tra banca e cliente: dalla fine dell’estate in poi, quindi, per entrare e operare nella banca online, autenticarsi e autorizzare operazioni, si farà tutto attraverso lo smartphone. Le modalità sono diverse a seconda della banca e si va dal (doppio) codice via sms, alle impronte digitali fino al riconoscimento facciale.
Archiviare il token (che diventa un «rifiuto elettronico speciale» e tale va trattato per essere smaltito) si è reso necessario perché il vecchio strumento genera una password sì dinamica, che cambia ogni 15-20 secondi, ma che non è in grado di associare il codice a un’unica operazione, così come richiesto dalla nuova direttiva europea sulle banche (PSD2). In pratica, il codice generato dalla chiavetta può essere utilizzato nell’arco temporale di validità, 15-20 secondi appunto, per qualsiasi tipo di operazione. E questo espone comunque il correntista al rischio di «phishing».
I nuovi sistemi, invece, generano password da associare a un’unica operazione, con un netto miglioramento della sicurezza. Inoltre, lo smarrimento del Token avrebbe comunque potuto esporre il correntista al rischio di una frode. Rischio che si abbassa enormemente in caso di smarrimento del cellulare, in quanto oltre al Pin del conto corrente bisognerà conoscere anche il codice di sblocco del telefono e superare la barriera del riconoscimento biometrico.
Entro il 4 giugno, tutti i clienti del gruppo bancario Intesa Sanpaolo potranno abbandonare il vecchio Token e aderire volontariamente a O-Key Smart (o O-Key Sms), il nuovo servizio per accedere al proprio conto corrente e per autorizzare le varie operazioni. Dopo il 4 giugno, invece, la banca invierà una notifica a tutti i correntisti ancora latinanti, invitandoli nuovamente ad abbandonare il vecchio Token; dal 14 settembre, infatti, smetterà di funzionare e poi non sarà più possibile accedere alla piattaforma online, né aderire via “mobile” al nuovo servizio (sarà necessario recarsi in una filiale).
Dal 24 di aprile (il processo si concluderà in giugno) Unicredit ha iniziato a rendere disponibile per la clientela una nuova modalità di accesso e di validazione delle operazioni dispositive in banca multicanale tramite UniCredit Pass e Mobile Token, strumenti che generano password usa e getta. Per gli utilizzatori dell’App Mobile Banking Unicredit per smartphone non cambia praticamente nulla in termini di esperienza d’uso, in quanto l’autenticazione è già conforme ai requisiti di Strong customer authentication, mentre quelli relativi al dynamic linking (codice autorizzativo creato dinamicamente e correlato all’importo e al beneficiario di una data operazione) vengono soddisfatti agendo esclusivamente sui sistemi della banca, senza alcun effetto percepibile dal cliente. Inoltre, nei prossimi mesi Unicredit lancerà un nuovo processo che consentirà di accedere e validare le operazioni dispositive tramite notifiche inviate alla nuova App Mobile Banking per Smartphone.
