A trainare la crescita sono soprattutto gli strumenti di pagamento innovativi. In Europa, la SEPA consente di offrire strumenti sicuri e affidabili a costi competitivi e con nuovi modelli funzionali
La disponibilità di sistemi di pagamento sicuri, facili da usare e poco costosi è uno degli elementi fondamentali per l’affermazione su larga scala delle transazioni elettroniche e dell’economia digitale. Lo sviluppo dell’e-commerce trova ancora oggi un ostacolo nei sistemi di pagamento e l’utilizzo delle carte bancarie (credito, debito e prepagate), soprattutto in Italia, lascia molto a desiderare. L’ultima relazione della Banca d’Italia ha evidenziato che il numero delle operazioni effettuate con strumenti di pagamento diversi dal contante cresce lentamente e su 100 pagamenti, 85 sono ancora in contanti. Nel 2013, in particolare in Italia, sono state regolate solo 75 operazioni pro capite con strumenti alternativi al contante, contro le 194 dei paesi dell’area dell’euro. Gli utenti attivi sull’home banking sono stati circa 33,9 milioni con circa 2,5 milioni di imprese (1,7 milioni usano il Corporate Banking Interbacario). L’e-commerce ha raggiunto in Italia i 14 miliardi di euro di fatturato, con un tasso annuo di crescita di oltre il 20% (dati del Consorzio Netcomm).
Il mercato dei servizi
Il mercato dei servizi di pagamento si sta aprendo a nuove opportunità e vede l’avvento di nuovi attori. A trainare la crescita sono soprattutto gli strumenti innovativi via Internet e mobile. Secondo l’Osservatorio del Politecnico di Milano, l’innovazione è però ancora in fase embrionale e anche gli e-payments si stanno spostando verso il cloud computing. Visa e Mastercard, ma anche Google, per esempio, stanno adottando l’HCE (Host Card Emulation), una tecnologia ad architettura aperta basata sul cloud computing che consente di effettuare pagamenti anche in combinazione con la tecnologia NFC (Near Field Communication). Con l’HCE è possibile gestire transazioni sicure affrancandosi dal supporto hardware del “Secure Element” (SE) ospitato nel cellulare. La smaterializzazione del SE indebolisce la dipendenza dei pagamenti da una SIM fisica, e quindi dal controllo delle compagnie telefoniche.
Per quanto riguarda la domanda, Juniper Research, con la sua recente ricerca sul tema, afferma che circa 2 miliardi di utenti a livello globale compreranno tramite mobile entro il 2018. L’offerta è caratterizzata da prodotti emergenti come: Google Wallet, PayPal, Apple Pay, Samsung Pay, Alipay, Android Pay, Bitcoin e le altre e-money, che potrebbero imporsi a livello mondiale e, quindi, anche sul mercato europeo, come standard de facto. Tali sistemi, infatti, pur essendo meno regolamentati e controllati di quelli europei sono nati per essere globali. Talune indiscrezioni fanno credere a un prossimo accordo tra Apple e Alibaba Group, mediante il suo sistema Alipay, che già vanta partnership con 200 società creditizie cinesi. Il patto potrebbe traghettare Apple Pay in Cina in tempi brevi. Samsung Pay gode, invece, di accordi specifici con Visa e, inoltre, per gli m-payment ha acquisito la società leader Looppay. Google sta pensando a nuovi servizi da includere nei suoi Google Wallet, ha appena definito Android Pay e ha acquistato la tecnologia Softcard: la joint venture creata nel 2010 dagli operatori telefonici AT&T, Verizon e T-Mobile Usa. Attualmente, il sistema Google è utilizzato in circa 200mila punti vendita statunitensi, tra cui Subway e McDonald’s. Oltre ai sistemi richiamati, ci sono poi le e-money, tra cui spicca Bitcoin, che alcuni grandi merchant, come Dell, Expedia e Showroomprive accettano già per i pagamenti.
Multicanalità e sicurezza
Vincenzo Romeo, innovation & technologies director di Ingenico Italia si dichiara perfettamente d’accordo sulla forte spinta innovativa e ritiene che il 2014 è stato un anno molto ricco di innovazioni. «Tecnologie e standard ormai maturi quali NFC ed EMV hanno trovato nuove implementazioni: dall’HCE, citato, introdotto da Google sulla piattaforma Android che facilita la distribuzione dei mezzi di pagamento NFC sugli smartphone, ad Apple Pay, che ha integrato NFC, biometria e tokenizzazione per i pagamenti con i POS e per i pagamenti online nelle App». Si è visto anche il consolidamento delle soluzioni di mobile POS, ovvero la possibilità di usare lo smartphone per accettare i pagamenti con carte grazie a un terminale POS portatile di piccole dimensioni, soluzioni in cui Ingenico Italia è stata particolarmente attiva e innovativa. «Stanno emergendo soluzioni di pagamento “multicanale” – continua Romeo – in cui l’esperienza di acquisto e di pagamento in-store, online e mobile, si integrano e creano nuove opportunità di vendita per i merchant e maggiore comodità per il cliente». In questo contesto estremamente dinamico, che ha bisogno di standard di interoperabilità per la natura stessa dei sistemi, gli sforzi da parte di organismi come EMVCo e PCI SSC si stanno concentrando sulla tokenizzazione, per usare sui TRE canali (online, mobile e fisico) dei token che sono “surrogati” dei numeri delle carte di credito, per ottenere maggiore sicurezza e flessibilità.
Inoltre, in ambito europeo, si stanno consolidando gli standard EPAS, per garantire interoperabilità ai sistemi di accettazione di carte, distribuiti su più paesi. Ingenico ha avviato due progetti basati su questi standard, con due importanti operatori, Carrefour e Auchan. I progetti prevedono l’avvio a breve delle fasi pilota in Francia, Spagna e Portogallo per essere poi estesi ad altri paesi. Il vantaggio per le banche è di poter offrire servizi di pagamento con un’unica soluzione paneuropea. «In questo ambito, gli aspetti riguardanti la protezione dei dati sensibili e l’identificazione sicura del titolare della carta sono particolarmente determinanti» – sottolinea Romeo. «Si stanno diffondendo soluzioni di tokenizzazione per la protezione dei dati e anche l’uso di tecnologie biometriche potrebbero aumentare la “confidence” nell’uso dello strumento di pagamento». Un ulteriore aspetto importante è quello delle certificazioni dei sistemi: ogni soluzione deve essere validata e confrontata con requisiti, standard e best practices emessi periodicamente dagli enti preposti (PCI SCC, BCE, CE). «Le innovazioni sui servizi e sui sistemi di pagamento pongono sempre nuove sfide di sicurezza» – spiega Romeo. «Lo standard PCI P2PE (Point-to-Point Encryption), per esempio, consente l’uso di dispositivi “open” e non fisicamente sicuri (es. smartphone, pc o registratori di cassa) individuando i componenti critici da validare». Il software del terminale POS è fondamentale per la sicurezza, insieme all’hardware, e deve essere certificato da laboratori accreditati. Ingenico Italia ha lavorato molto in questa direzione e ha ottenuto la certificazione PCI P2PE per l’applicazione bancaria dei propri terminali.
SEPA e scenario europeo
L’Europa sta facendo, da tempo, enormi sforzi per normare l’area degli e-payments e la loro sicurezza ma, come è stato sottolineato, questo è un comparto globale per definizione che va dagli USA alla Cina. L’arrivo in Europa di sistemi meno sicuri e, con un diverso modello di business, in taluni casi, con l’accordo dei circuiti delle carte, può rivoluzionare il mercato disintermediando sia le banche che altri operatori. Dopo i grossi sforzi e gli investimenti fatti dai circuiti e dalle banche per aumentare la sicurezza (come, per esempio, la soluzione Chip&PIN), l’attenzione si sposta ora sui nuovi m-payments e diventa condizione imprescindibile al fine di consolidare la confidenza dei merchant e degli utilizzatori verso le nuove tecnologie. La sfida per l’offerta di soluzioni competitive in Europa si gioca sulla compatibilità con le norme e gli standard ma soprattutto sulla sicurezza e l’affidabilità.
La definizione della SEPA (Single Euro Payments Area) – l’area unica europea dei pagamenti in euro, coordinata tecnicamente dall’EPC (European Payment Council) – ha messo in moto un meccanismo abilitante per realizzare sistemi innovativi, uniformi e interoperabili a livello europeo. A fine 2007 è stata emanata la direttiva 2007/64/CE PSD (Payment Services Directive) che ha fissato i principi fondamentali e le norme per il contesto SEPA. Attualmente, si sta licenziando la direttiva PSD2 che disegnerà il nuovo quadro normativo al fine di: aumentare la possibilità di scelta di uno strumento di pagamento in capo al consumatore, incrementare la sicurezza e ridurre i costi. Ampliare l’opportunità di scelta, significa incoraggiare la competizione sia fra prestatori di servizi di pagamento – bancari e non – sia tra gli strumenti di pagamento stessi. Il quadro normativo si amplia con i servizi e la gamma di attività esercitabili dai cosiddetti Istituti di Moneta Elettronica (IME) e Payment Institution (PI), consentendo di prestare servizi di pagamento e svolgere talune attività finanziarie senza doversi trasformare in banche. È anche attesa l’entrata in vigore delle specifiche, in corso di emanazione da parte della BCE, che obbligheranno entro il primo febbraio 2017, a nuove e più stringenti misure di sicurezza. L’ambito soggettivo e oggettivo delle nuove regole sarà applicabile allo stesso modo ai nuovi soggetti TPP (Third Party Payment Provider) e al nuovo servizio di Payment Initiation, previsti dalla PSD2, coinvolti in una transazione di mobile payment. Sul mercato, le istituzioni finanziarie europee si sono attivate per mettere a disposizione dei clienti una serie di soluzioni innovative per l’e-payments degli acquisti fatti sul web. In particolare, su iniziativa EBA, si propongono sistemi come MyBank: soluzione di pagamento paneuropeo messo a punto da EBA Clearing. MyBank consente ai clienti di pagare direttamente dal proprio home banking tramite bonifico istantaneo senza cessione di credenziali. Il 2014 è stato anche l’anno di Jiffy, la soluzione di SIA che permette di effettuare trasferimenti di denaro via smartphone in tempo reale a un beneficiario identificato dal numero di telefono e con disponibilità dei fondi immediata. In Austria, Germania e Svizzera sono molto diffusi pagamenti da conto corrente come Sofort e MyBank.
Un punto di partenza
«La SEPA deve essere considerata un punto di partenza per lo sviluppo di nuovi servizi e strumenti paneuropei da mettere a disposizione della clientela in modo semplice ed economico» – afferma Enrico Belgini, product manager monetica e sistemi di pagamento di Cedacri. L’evoluzione dell’offerta del Gruppo Cedacri ha cercato, in effetti, di agevolare le banche nel perseguire questo obiettivo, aggiungendo nuovi prodotti che si distinguono per un facile utilizzo nei diversi canali senza pregiudicare la sicurezza. «Il sistema bancario europeo ha definito la SEPA al fine di adottare degli standard europei» – prosegue Belgini. «Non occorrono di conseguenza nuovi standard, ma l’applicazione della SEPA stessa». Nello sviluppo e integrazione di nuovi strumenti di pagamento, l’impiego di tecnologie di strong authenticaton rappresenta inoltre una buona base per la sicurezza delle operazioni. «Serve in ogni caso – afferma Belgini – un equilibrio tra sicurezza e facilità d’uso, che le banche devono trovare in relazione alle esperienze d’acquisto e di utilizzo degli strumenti stessi». Un livello di sicurezza “light” è stato individuato da Cedacri quale soluzione migliore per gli acquisti di importo limitato. In questi casi, la mitigazione del rischio è ottenuta grazie a sistemi di monitoraggio delle operazioni effettuate dai clienti con diversi strumenti e dai diversi canali.
Anche nel segmento B2B e B2G, per gli incassi e i pagamenti, si è vista una grande attività. Liliana Fratini Passi, direttore generale del Consorzio CBI spiega che «il Consorzio CBI – ancor prima che l’EPC definisse l’adozione dello standard ISO 20022 XML – aveva già adottato l’XML come linguaggio per la veicolazione delle richieste di servizio sulla propria rete, in quanto in grado di rispondere alle esigenze di mercato e di interoperabilità a livello domestico e cross-border». Tale posizione è stata fortemente sostenuta dagli istituti finanziari consorziati e dalle aziende operanti sul CBI, alle quali il consorzio fornisce continuo supporto sia per l’erogazione dei nuovi servizi XML sia per le procedure di conversione dai vecchi formati legacy. Sulla base del Regolamento UE n. 260/2012 (c.d. “SEPA end-date”), combinato con le disposizioni attuative della Banca d’Italia riguardo all’utilizzo obbligatorio di XML sulla tratta cliente-banca, tipica dell’operatività CBI, le aziende saranno obbligate a migrare le operazioni di bonifico al dettaglio e incasso diretto ai nuovi formati SEPA a partire dal primo febbraio 2016. «Il consorzio CBI – continua Fratini Passi – fornirà il proprio know-how alle aziende e alle associazioni di categoria per il completamento delle attività legate alla SEPA, che di certo vedrà nei prossimi mesi del 2015 una forte accelerazione e un elevato impegno degli utenti dei servizi di pagamento CBI». A tale impegno, peraltro, corrisponderà un elevato valore in termini di armonizzazione delle procedure di pagamento e incasso a livello UE ed evoluzione delle tesorerie aziendali, le quali potranno essere configurate in modo sempre più efficiente grazie alla diffusione su larga scala dei nuovi strumenti paneuropei. Anche l’Agenzia per l’Italia Digitale ha recentemente pubblicato le linee guida che indicano le modalità con cui tutte le PA dovranno adeguarsi, entro dicembre 2015, alla fatturazione elettronica e, quindi, anche all’adozione degli e-payments. L’Agid ha predisposto il logo “pagoPA” per identificare il sistema e individuarne i soggetti aderenti sia per enti creditori sia per prestatori di servizi di pagamento.
Sicurezza e affidabilità
Esiste, però, un problema di conoscenza e percezione della sicurezza degli e-payments da parte del consumatore. «La sicurezza e l’affidabilità dei pagamenti costituiscono un elemento fondamentale» evidenzia Alessandro Poerio, amministratore delegato di Oberthur Technologies Italia. «Occorre proteggere adeguatamente i dati e prevenire le frodi in ogni singola fase della filiera del pagamento». La sicurezza è la caratteristica che può fare la differenza tra la percezione di innovazione “positiva” e “negativa” e contribuire in misura determinante al successo di soluzioni innovative. «Negli ultimi anni – prosegue Poerio – le frodi legate alle carte hanno suscitato forte preoccupazione tanto fra i consumatori quanto nel settore finanziario. Il fenomeno ha subito una profonda trasformazione, soprattutto in Europa dove è stato rilevato un tasso di crescita delle frodi su Internet, pari a circa il 60% (dati BCE)». Una nuova modalità di frode online riguarda soprattutto la modalità di “card not present” (CNP), dove i dati del titolare sono recuperati con mezzi ingannevoli dagli hacker e utilizzati per i pagamenti elettronici a distanza, nei quali il merchant non può controllare fisicamente la carta e gli elementi di sicurezza presenti sulla stessa. «Tra i dati del titolare – afferma Poerio – uno tra i più sensibili che viene utilizzato nella transazione online è il codice di sicurezza posto al retro della carta e denominato dai vari circuiti in modi differenti: CVV2, CVC2, CID, CSC». Oberthur Technologies ha sviluppato una soluzione innovativa e sicura, una carta dotata di codice di sicurezza dinamico. La carta ha un mini display al retro, il codice di sicurezza è sempre visualizzato, non occorre premere alcun tasto e cambia automaticamente dopo un intervallo di tempo predeterminato dall’issuer. «Per il cliente, la carta risulta a tutti gli effetti come un carta di credito tradizionale» – spiega Poerio. La modalità di utilizzo resta la stessa ed è semplice e rassicurante per l’utente finale, trasparente per il merchant, rafforza l’immagine dell’issuer e incrementa l’utilizzo online riducendo drasticamente le frodi». La soluzione è disponibile per carte EMV, duali e contactless.
Gli fa eco Maurizio Martinozzi, manager sales engineering di Trend Micro. «La SEPA è una iniziativa molto ambiziosa ma l’Italia non utilizza ancora in maniera sufficiente i sistemi di pagamento elettronici». Le tecnologie per l’affermazione degli e-payments sono, in effetti, già presenti, ma sono molto più avanzate rispetto agli aspetti normativi. «La disponibilità di diverse piattaforme smartphone – continua Martinozzi – è un fattore abilitante per la diffusione degli e-payments, ma ovviamente la quantità di modelli è anche un rischio perché rende disponibile una grande varietà di malware e attacchi che vanno a colpire le singole piattaforme». Anche in questo caso, le tecnologie per prevenire e difendersi sono già presenti. «L’obiettivo – afferma Martinozzi – è di fornire tecnologie che si occupino sia della sicurezza sia della gestione delle diverse piattaforme e device». Trend Micro propone per un uso più personale la soluzione Mobile Security, mentre supporta la gestione dei dispositivi aziendali con Safe Mobile Workforce, in grado di virtualizzare il dispositivo, che viene così gestito da un’infrastruttura IT che controlla anche gli aspetti di sicurezza, separando le informazioni personali da quelle aziendali.
Conclusioni
Risulta evidente che l’offerta internazionale di e-payments è caratterizzata da prodotti emergenti che potrebbero imporsi a livello mondiale e, quindi, anche sul mercato europeo, come standard de facto. Tali sistemi, infatti, pur essendo meno regolamentati e controllati di quelli europei, sono nati per essere globali. L’Europa sta facendo enormi sforzi per normare quest’area e la loro sicurezza ma, come è stato sottolineato, questo è un comparto globale per definizione. L’arrivo in Europa di sistemi meno sicuri e, con un diverso modello di business, in taluni casi, con l’accordo dei circuiti delle carte, può rivoluzionare il mercato, disintermediando sia le banche che altri operatori. Serve, quindi, una seria politica industriale europea per il settore e occorre concepire anche in Europa prodotti globali. Occorre poi considerare che c’è una stretta correlazione matematica tra uso degli e-payments, economia sommersa e sviluppo. Sono, inoltre, fondamentali gli standard condivisi che garantiscano una maggiore interoperabilità e concorrenza. Più della coercizione, già tentata nel recente passato, serve, quindi, anche una massiccia campagna di comunicazione, informazione e formazione, accompagnata dalla riduzione dei costi e delle commissioni e dalla individuazione di opportuni incentivi resi ben evidenti ai consumatori. Solo così si può fare la “guerra al contante” e far diventare gli e-payments una vera opportunità. Per i sistemi di pagamento innovativi europei è fondamentale l’adeguamento alla SEPA per offrire, a costi competitivi, servizi in linea con la nuova operatività. L’area dei sistemi di pagamento innovativi è uno dei territori d’elezione dell’attività bancaria e la presenza strategica in quest’area è, e sarà sempre, irrinunciabile per l’istituzione finanziaria. Di certo, il settore della finanza e quello dell’ICT stanno operando in stretta collaborazione, in questo importante segmento di mercato.