/ Fiscalità e regolamentazione / Cosa cambia davvero per i tuoi dati bancari con la PSD2 e l’Open Banking?
Pubblicato il Maggio 15, 2024

La vera rivoluzione della PSD2 non è la semplice condivisione dei dati, ma il potere che ti conferisce di controllarla in modo granulare e sicuro.

  • È fondamentale distinguere tra servizi informativi (AISP), che possono solo “leggere” i dati, e servizi di pagamento (PISP), che possono “agire” su tua autorizzazione.
  • La Strong Customer Authentication (SCA) a due fattori è la tua principale barriera di sicurezza contro accessi e pagamenti non autorizzati.
  • Hai il diritto inalienabile di visualizzare e revocare in qualsiasi momento i consensi concessi a terze parti direttamente dal tuo home banking.

Raccomandazione: Prima di concedere qualsiasi accesso, verifica sempre che il fornitore di servizi sia presente nell’albo ufficiale degli Istituti di Pagamento sul sito della Banca d’Italia.

Hai mai collegato il tuo conto corrente a un’app di budgeting e ti sei chiesto: “ora chi vede esattamente i miei dati? E, soprattutto, possono spostare i miei soldi?”. Questa domanda, più che legittima, è al centro della rivoluzione innescata dalla direttiva europea sui servizi di pagamento, nota come PSD2, e del concetto di Open Banking che ne è derivato. Molti articoli si concentrano sugli aspetti più visibili, come la necessità di usare due codici per pagare online (la cosiddetta Strong Customer Authentication), o elencano vantaggi generici come “maggiore innovazione” e “più concorrenza”. Questi aspetti sono veri, ma non colgono il cuore del cambiamento.

La discussione spesso si ferma alla superficie, generando un’ansia diffusa sulla sicurezza dei dati. E se il vero cambiamento non fosse l’apertura dei conti in sé, ma il “telecomando finanziario” che la normativa ti ha messo in mano? La vera svolta della PSD2 non è tanto la condivisione delle informazioni, quanto la tua capacità di controllarla in modo granulare, sicuro e consapevole. La chiave di volta è comprendere la differenza radicale tra i servizi che possono solo “guardare” i tuoi dati (gli aggregatori di conti) e quelli che possono “agire” per tuo conto (gli iniziatori di pagamento), perché i livelli di rischio e le tutele sono completamente diversi.

Questo articolo va oltre la semplice definizione di PSD2. Esploreremo insieme le implicazioni pratiche di questa normativa per te, utente evoluto. Imparerai a distinguere un servizio sicuro, a gestire e revocare gli accessi che hai concesso, a capire perché un tipo di pagamento è più sicuro di un altro e quali sono i tuoi diritti inalienabili di fronte alla tua banca e alle società fintech. L’obiettivo è darti gli strumenti per usare le nuove tecnologie finanziarie con fiducia, trasformando l’ansia in pieno controllo.

Per navigare con chiarezza in questo nuovo ecosistema finanziario, abbiamo strutturato l’articolo in sezioni specifiche. Ognuna risponde a una domanda pratica, fornendoti le conoscenze necessarie per gestire i tuoi dati bancari con la massima sicurezza e consapevolezza.

Sommario: Gestire i dati bancari nell’era della PSD2 e dell’Open Banking

Perché collegare tutti i conti in un’unica app migliora la tua consapevolezza finanziaria?

L’idea di aggregare tutti i propri conti e carte in un’unica dashboard può sembrare un mero esercizio di ordine digitale, ma il suo impatto sulla gestione delle finanze personali è molto più profondo. La consapevolezza finanziaria non deriva solo dal sapere “quanti soldi ho”, ma dal comprendere “dove vanno i miei soldi”. Gli aggregatori di conti, tecnicamente noti come Account Information Service Provider (AISP), rispondono proprio a questa esigenza. Offrono una visione panoramica e consolidata del tuo patrimonio, unificando le informazioni frammentate tra diverse banche e istituti finanziari.

Questa visione d’insieme è il primo passo per prendere decisioni informate. Invece di dover accedere a tre home banking diversi per avere un quadro completo, hai tutto a portata di mano, spesso con funzionalità avanzate come la categorizzazione automatica delle spese. Questo permette di identificare immediatamente uscite anomale, abbonamenti dimenticati o aree di spesa su cui intervenire. Non è un caso che l’adozione di questi strumenti stia crescendo rapidamente: in Italia, quasi il 49,2% degli utenti italiani ha almeno un conto connesso nel primo semestre del 2024, segno di una crescente fiducia e comprensione dei benefici.

Studio di caso: Il modello di Yolt in Italia

Un esempio concreto di aggregatore che ha operato con successo sul mercato italiano è stato Yolt, un’app sviluppata dal gruppo ING. La sua funzione principale era fornire una panoramica completa dei conti correnti, carte di credito e conti di risparmio detenuti presso diverse banche. Attraverso una singola interfaccia, l’utente poteva visualizzare saldi aggregati, movimenti recenti e analisi delle proprie abitudini di spesa. Questo modello illustra perfettamente come un AISP possa fornire un servizio a valore aggiunto senza mai avere la possibilità di disporre pagamenti, ma limitandosi a offrire una “fotografia” intelligente e dinamica della situazione finanziaria dell’utente.

Avere un quadro finanziario unificato non serve solo a monitorare le spese correnti. Diventa uno strumento strategico per la pianificazione a lungo termine, come la preparazione della documentazione per una richiesta di mutuo o la definizione di obiettivi di risparmio realistici. In sintesi, l’aggregazione trasforma dati sparsi in informazioni strategiche, elevando la gestione finanziaria da un’attività reattiva a una proattiva.

Come revocare l’accesso ai dati bancari alle app che non usi più?

Il principio cardine della PSD2 è il controllo da parte dell’utente. Concedere l’accesso ai propri dati a una terza parte non è una decisione irreversibile. Anzi, la normativa impone alle banche di fornire ai propri clienti strumenti semplici e accessibili per gestire e revocare i consensi precedentemente accordati. Questo potere di revoca è una componente essenziale del tuo “telecomando finanziario” e ti permette di mantenere il pieno controllo su chi può accedere alle tue informazioni.

La procedura di revoca si svolge interamente all’interno del tuo ambiente di home banking. Generalmente, in una sezione dedicata alla “Privacy”, alla “Sicurezza” o specificamente denominata “Collegamenti PSD2” o “Gestione Terze Parti”, troverai un “cruscotto dei consensi”. Questo pannello elenca tutti i servizi di terze parti (AISP e PISP) a cui hai dato autorizzazione, mostrando spesso la data del consenso e la sua scadenza. Da qui, con pochi click, puoi revocare l’accesso a un servizio che non utilizzi più o di cui non ti fidi.

Mani che gestiscono impostazioni di privacy su dispositivo mobile con icone di sicurezza fluttuanti

È importante comprendere la differenza tra la scadenza automatica del consenso e la revoca attiva. Per legge, ogni autorizzazione a un AISP scade automaticamente dopo 90 giorni, richiedendo una nuova autenticazione forte da parte tua per essere rinnovata. Tuttavia, la scadenza non obbliga il fornitore a cancellare i dati già raccolti. La revoca attiva, invece, è un’azione esplicita da parte tua che interrompe immediatamente l’accesso. Se a questa azione fai seguire una richiesta formale di cancellazione dei dati ai sensi dell’Art. 17 del GDPR (il diritto all’oblio), il fornitore sarà obbligato a eliminare tutte le informazioni personali che ti riguardano.

Questa funzionalità trasforma la condivisione dei dati da un processo statico a un ecosistema dinamico che puoi modellare in base alle tue esigenze e al tuo livello di fiducia, garantendo che solo i servizi che ritieni utili e affidabili mantengano l’accesso alle tue informazioni.

Bonifico tradizionale o PISP: quale metodo di pagamento online è più sicuro oggi?

Quando si effettua un pagamento online, la sicurezza è la priorità assoluta. La PSD2 ha introdotto una nuova tipologia di operatore, il Payment Initiation Service Provider (PISP), che offre un’alternativa al bonifico tradizionale o all’inserimento dei dati della carta di credito. Ma quale dei due metodi è intrinsecamente più sicuro? A un’analisi più attenta, il modello PISP presenta vantaggi strutturali significativi in termini di protezione dei dati.

Il rischio principale del bonifico tradizionale online risiede nel phishing. Un utente malintenzionato potrebbe creare un sito web clone dell’home banking per indurti a inserire le tue credenziali, catturandole. Con un pagamento tramite PISP, questo rischio è drasticamente ridotto. L’utente non inserisce mai le proprie credenziali sul sito del commerciante; viene invece reindirizzato in un ambiente sicuro gestito dal PISP (che a sua volta comunica con la banca), dove si autentica direttamente. Le tue credenziali di accesso al conto non vengono mai condivise con l’esercente, eliminando una delle principali vulnerabilità.

Il seguente quadro comparativo evidenzia le differenze chiave in termini di sicurezza tra i due metodi.

Confronto sicurezza: Bonifico tradizionale vs PISP
Caratteristica Bonifico Tradizionale Pagamento PISP
Condivisione credenziali Inserimento manuale su home banking Nessuna condivisione con il merchant
Rischio phishing Alto (siti fake di home banking) Ridotto (reindirizzamento sicuro)
Intermediari coinvolti Solo banca Banca + PISP autorizzato
Autenticazione SCA standard banca SCA + verifica PISP
Tracciabilità Solo su home banking Doppia tracciabilità (banca + PISP)

Studio di caso: Il modello di sicurezza di Satispay

Satispay è un esempio emblematico di PISP di successo in Italia. L’applicazione non si basa sui circuiti tradizionali delle carte di credito ma su un collegamento diretto con il conto corrente dell’utente. Quando si effettua un pagamento, Satispay è l’unico intermediario che gestisce la transazione, senza che altri attori (come i circuiti delle carte) prendano parte al processo. Questo riduce la superficie d’attacco e aumenta la sicurezza. Inoltre, il modello tariffario è spesso più vantaggioso per gli esercenti, con una commissione gratuita sotto i 10€ e solo 0,20€ sopra questa soglia, incentivandone l’adozione.

Sebbene il PISP introduca un intermediario aggiuntivo, quest’ultimo è un operatore vigilato e autorizzato dalla Banca d’Italia, soggetto a rigidi requisiti di sicurezza e coperto da un’assicurazione obbligatoria a tutela degli utenti. Pertanto, un pagamento PISP non è solo un’alternativa, ma spesso una scelta più sicura per le transazioni online.

L’errore di concedere l’accesso al conto a servizi non autorizzati dalla Banca d’Italia

L’ecosistema fintech è in continua espansione, con nuove app e servizi che promettono di semplificare la nostra vita finanziaria. Tuttavia, l’entusiasmo per l’innovazione non deve farci abbassare la guardia. L’errore più grave che un utente possa commettere è concedere l’accesso ai propri dati bancari a un operatore non autorizzato. Farlo significa uscire volontariamente dal perimetro di tutele legali e di sicurezza garantito dalla PSD2 e dalla vigilanza della Banca d’Italia.

Un operatore autorizzato (sia esso AISP o PISP) deve superare un rigoroso processo di valutazione. Come sottolinea la stessa Banca d’Italia nelle sue disposizioni, l’autorizzazione è un sigillo di garanzia:

La Banca d’Italia nega l’autorizzazione quando dalla verifica dei requisiti non risultino garantiti la sana e prudente gestione o il regolare funzionamento del sistema dei pagamenti.

– Banca d’Italia, Disposizioni di vigilanza per gli istituti di pagamento

Questo controllo preventivo assicura che l’operatore abbia adeguati presidi di sicurezza informatica, solidità finanziaria e una polizza assicurativa per coprire eventuali danni. Affidarsi a un servizio privo di questa licenza equivale a dare le chiavi di casa a uno sconosciuto: in caso di frode, uso improprio dei dati o fallimento della società, non si avrà alcuna tutela legale o possibilità di rimborso previste dalla normativa.

Fortunatamente, verificare la legittimità di un servizio è un’operazione semplice e alla portata di tutti. La trasparenza è un obbligo per gli operatori e un diritto per i consumatori. Prima di concedere qualsiasi autorizzazione, è fondamentale dedicare pochi minuti a un controllo preventivo. Questo piccolo gesto può evitare problemi molto seri.

I passaggi chiave per verificare un servizio finanziario

  1. Consultare l’Albo ufficiale: Accedi all’Albo degli Istituti di Pagamento e degli Istituti di Moneta Elettronica sul sito web della Banca d’Italia, nella sezione dedicata alla Vigilanza.
  2. Verificare i dettagli dell’autorizzazione: Controlla che il nome dell’intermediario sia presente e verifica la tipologia di servizi per cui è autorizzato (AISP, PISP, o entrambi). Per i PISP, l’albo riporta anche i dettagli della polizza assicurativa obbligatoria.
  3. Controllare gli operatori esteri: Se il servizio è offerto da un operatore di un altro paese europeo, puoi consultare il registro centrale gestito dall’Autorità Bancaria Europea (EBA) per verificare la sua autorizzazione nel paese d’origine.
  4. Diffidare dalle richieste anomale: Un operatore legittimo non ti chiederà mai di condividere le tue credenziali tramite email o chat, né di disabilitare temporaneamente i tuoi sistemi di sicurezza.
  5. Cercare informazioni chiare: Sul sito del fornitore, cerca i riferimenti all’autorizzazione della Banca d’Italia o di un’altra autorità europea. L’assenza di queste informazioni è un grave campanello d’allarme.

Quando arriverà il portafoglio digitale europeo e come sostituirà le attuali app bancarie?

L’evoluzione dell’Open Banking non si ferma alla PSD2. L’Unione Europea sta già lavorando al prossimo passo: un ecosistema di dati finanziari ancora più ampio e integrato, noto come Open Finance. Il pilastro di questa nuova fase sarà il regolamento FIDA (Financial Data Access), che estenderà l’obbligo di condivisione dei dati ben oltre i semplici conti correnti. Questo apre la strada a un futuro in cui un unico portafoglio digitale potrà gestire non solo pagamenti, ma anche investimenti, polizze assicurative e persino cripto-asset.

Questa visione futura è stata delineata chiaramente. Come riportato da fonti specializzate nel settore fintech, l’orizzonte temporale è già definito:

A partire dal 2025 è prevista l’espansione del Regolamento FIDA (Financial Data Access) che mira a migliorare l’accesso ai dati finanziari. Il regolamento includerà non solo i dati bancari, ma anche quelli relativi agli investimenti, alle assicurazioni e alle criptovalute.

– EconomyUp, Open banking, cos’è: la portata di questa innovazione finanziaria

Parallelamente, l’UE sta spingendo per la creazione dell’European Digital Identity Wallet (EUDI Wallet), un’applicazione che permetterà a ogni cittadino di conservare e condividere in modo sicuro la propria identità digitale e i documenti ufficiali. La convergenza tra FIDA e EUDI Wallet disegna un futuro in cui potremmo non aver più bisogno di decine di app diverse. Un unico portafoglio digitale europeo, sicuro e controllato dall’utente, potrebbe diventare il punto di accesso unificato per servizi bancari, pagamenti, investimenti e persino per l’interazione con la pubblica amministrazione.

Studio di caso: L’Italia come precursore con SPID e CIE

L’Italia si trova in una posizione di vantaggio in questa transizione. L’esperienza maturata con sistemi di identità digitale pubblica come lo SPID (Sistema Pubblico di Identità Digitale) e la CIE (Carta d’Identità Elettronica), utilizzati da milioni di cittadini per accedere a servizi online, ha creato una solida infrastruttura e una cultura digitale diffusa. Le competenze acquisite in termini di sicurezza, usabilità e integrazione tra pubblico e privato posizionano l’Italia come un laboratorio naturale per l’implementazione del futuro EUDI Wallet, accelerando potenzialmente l’adozione di questi nuovi strumenti finanziari integrati.

Questo portafoglio non sostituirà le banche, ma potrebbe sostituire le loro attuali app, trasformandole in fornitori di servizi “infrastrutturali” che dialogano con l’hub centrale controllato dall’utente. La banca continuerà a custodire il denaro, ma l’interfaccia principale per gestirlo potrebbe diventare un’unica app europea, standardizzata e ultra-sicura.

Perché dare l’accesso “informativo” all’aggregatore non permette loro di spostare i tuoi soldi?

Questa è la distinzione più importante da comprendere nell’universo dell’Open Banking e la risposta risiede in una netta separazione tecnica e giuridica imposta dalla PSD2. I fornitori di servizi di aggregazione (AISP) e i fornitori di servizi di pagamento (PISP) operano su due binari completamente diversi. Concedere un’autorizzazione a un AISP per aggregare i dati dei tuoi conti è come dare a qualcuno un binocolo per guardare i movimenti nel tuo giardino, ma senza dargli la chiave del cancello.

Tecnicamente, quando autorizzi un AISP, la tua banca genera un “token” di accesso specifico per quel servizio. Questo token ha permessi di sola lettura. Può interrogare la banca per ottenere la lista dei movimenti e il saldo, ma non ha alcuna facoltà dispositiva. Qualsiasi tentativo da parte dell’AISP di avviare un pagamento verrebbe immediatamente bloccato a livello di API (Application Programming Interface) della banca. La normativa impone una separazione tecnica del 100% tra token di sola lettura e token autorizzativi per i pagamenti.

Un PISP, al contrario, quando deve avviare un pagamento per tuo conto, richiede un’autorizzazione completamente diversa, specifica per quella singola operazione. Questa autorizzazione è sempre accompagnata da una tua Strong Customer Authentication (SCA), ovvero la conferma tramite due fattori di sicurezza. L’AISP, per sua natura, non può mai innescare una richiesta di SCA per un pagamento, perché il suo ruolo è puramente informativo.

In sintesi, il rischio che un aggregatore di conti possa “rubarti” i soldi è tecnicamente nullo all’interno del quadro normativo della PSD2. I pericoli sono di altra natura, legati principalmente alla privacy e alla sicurezza dei dati raccolti (ad esempio, in caso di data breach del fornitore). Tuttavia, anche in questo scenario, le tue credenziali bancarie e la possibilità di muovere fondi rimangono al sicuro all’interno della tua banca, protette dal modello di accesso “read-only” imposto per legge.

Perché hai diritto di sapere esattamente quali dati la banca conserva e come li protegge?

Il tuo rapporto con la banca non è solo contrattuale, ma è anche regolato da normative stringenti sulla protezione dei dati, in primis il GDPR (General Data Protection Regulation). Questo significa che non sei un semplice cliente, ma il proprietario dei tuoi dati personali, e la banca è il “responsabile del trattamento”. In quanto tale, hai diritti inalienabili che ti permettono di mantenere il controllo e la trasparenza su come le tue informazioni vengono gestite.

Il diritto più importante in questo contesto è il Diritto di Accesso (Art. 15 GDPR). Puoi chiedere formalmente alla tua banca, in qualsiasi momento, di fornirti un resoconto completo di tutti i dati personali che ti riguardano in suo possesso. Questa richiesta non si limita ai dati anagrafici; puoi chiedere dettagli specifici come: l’elenco completo dei dati trattati, le finalità per cui vengono usati, le categorie di soggetti a cui vengono comunicati (incluse le terze parti autorizzate tramite Open Banking) e il periodo di conservazione previsto.

La banca è obbligata a risponderti entro 30 giorni. Questo diritto è uno strumento potentissimo di controllo, perché ti permette di verificare nero su bianco quali consensi PSD2 sono attivi e quali informazioni la banca condivide per tuo conto. Non si tratta solo di privacy: conoscere il perimetro dei dati conservati è fondamentale per comprendere la propria esposizione al rischio. Ad esempio, è importante sapere che la legge impone una conservazione obbligatoria per 10 anni dei dati transazionali ai fini della normativa antiriciclaggio, un’informazione che contestualizza i limiti del “diritto all’oblio”.

Esercitare questo diritto non richiede un avvocato. Una semplice email indirizzata al Responsabile della Protezione dei Dati (DPO) della banca, il cui contatto deve essere facilmente reperibile sul sito dell’istituto, è sufficiente. Includendo i tuoi dati identificativi (nome, codice fiscale, numero di conto) e specificando la tua richiesta, attivi un processo formale che la banca è tenuta a rispettare. Questo potere di interrogazione è la massima espressione della trasparenza imposta dalle normative europee.

Da ricordare

  • La distinzione tra servizi informativi (AISP) che “leggono” e servizi di pagamento (PISP) che “agiscono” è fondamentale per valutare la sicurezza.
  • Hai sempre il diritto di visualizzare e revocare i consensi concessi a terze parti direttamente dal tuo home banking, usando il “cruscotto dei consensi”.
  • La Strong Customer Authentication (SCA) a due fattori non è un fastidio, ma la tua prima e più importante linea di difesa contro pagamenti e accessi non autorizzati.

Perché la banca ti chiede due codici per pagare online e come evitare blocchi improvvisi?

L’obbligo di inserire “due codici” o di confermare un pagamento online tramite l’app della banca è la manifestazione più tangibile della Strong Customer Authentication (SCA), introdotta dalla PSD2 per aumentare drasticamente la sicurezza delle transazioni digitali. Non si tratta di una complicazione inutile, ma di un meccanismo di difesa che si basa su un principio semplice: per confermare la tua identità, devi fornire la prova di possedere almeno due tipi di credenziali diverse e indipendenti.

Queste credenziali rientrano in tre categorie distinte. Il meccanismo della SCA richiede di combinare elementi da almeno due di queste tre famiglie per autorizzare un’operazione, rendendo la vita molto più difficile a un eventuale truffatore. Se anche riuscisse a rubarti la password, non potrebbe fare nulla senza avere anche il tuo smartphone o la tua impronta digitale.

Dettaglio macro di impronte digitali luminescenti su superficie di vetro con pattern biometrici astratti

Per comprendere meglio il funzionamento della SCA, è utile visualizzare i tre fattori su cui si basa e gli esempi concreti utilizzati nel contesto italiano.

I tre fattori della Strong Customer Authentication
Fattore Descrizione Esempi in Italia
Conoscenza Qualcosa che conosci Password, PIN, risposte a domande di sicurezza
Possesso Qualcosa che possiedi Smartphone con app bancaria, token fisico, SMS OTP
Inerenza Qualcosa che sei Impronta digitale, Face ID, riconoscimento vocale

Tuttavia, la SCA non viene applicata a ogni singola transazione. Per non rendere l’esperienza utente troppo macchinosa, la normativa prevede delle esenzioni specifiche. In Italia, le più comuni riguardano i pagamenti di importo inferiore a 30 euro, le transazioni ricorrenti dello stesso importo verso un beneficiario già autorizzato (come un abbonamento) e le operazioni che l’algoritmo di analisi del rischio della banca classifica come a bassissimo rischio. Un blocco improvviso o una richiesta di SCA inaspettata possono verificarsi se un’operazione, anche di piccolo importo, viene ritenuta anomala rispetto alle tue abitudini (ad esempio, un acquisto da un sito estero mai usato prima). Comprendere queste regole ti aiuta a prevedere quando ti verrà richiesta l’autenticazione forte e a non interpretare un blocco come un malfunzionamento, ma come un meccanismo di protezione che sta funzionando correttamente.

Per mettere in pratica questi consigli, il primo passo è accedere alla sezione “Privacy” o “Collegamenti PSD2” del tuo home banking per verificare quali autorizzazioni hai già concesso e fare pulizia. Questo semplice gesto di igiene digitale è il modo più efficace per riprendere il pieno controllo del tuo ecosistema finanziario.

Domande frequenti sulla PSD2 e la gestione dei dati bancari

Posso revocare l’autorizzazione a un servizio AISP in qualsiasi momento?

Sì, per usare i servizi degli Operatori Terzi è necessaria la tua autorizzazione esplicita, ed è tua facoltà scegliere se avvalertene oppure no. È inoltre possibile revocare l’autorizzazione in qualsiasi momento direttamente dal tuo Internet Banking, solitamente in una sezione dedicata alla sicurezza o alla privacy.

Qual è la differenza tra scadenza automatica e revoca del consenso?

La scadenza automatica dopo 90 giorni (per gli AISP) interrompe l’accesso ai dati futuri, ma non cancella i dati già acquisiti dal servizio. La revoca attiva del consenso, invece, è un’azione esplicita che interrompe immediatamente l’accesso. Se a questa fai seguire una richiesta di cancellazione secondo il diritto all’oblio (Art. 17 GDPR), obblighi il fornitore a eliminare tutti i dati personali che ha raccolto su di te.

Cosa fare se la banca non risponde alla richiesta di revoca?

In caso di mancata risposta o problemi tecnici nella revoca del consenso, il primo passo è contattare il DPO (Data Protection Officer) della banca. Se il problema persiste, hai il diritto di presentare un reclamo formale al Garante per la Protezione dei Dati Personali italiano, utilizzando le procedure disponibili sul loro sito web ufficiale.

Un AISP può effettuare pagamenti dal mio conto?

No, assolutamente. Gli AISP (Account Information Service Providers) sono fornitori di servizi con accesso in sola lettura alle informazioni sul conto. Possono analizzare il comportamento di spesa o aggregare i dati da diverse banche, ma non hanno l’autorizzazione tecnica né legale per avviare pagamenti. Solo i PISP (Payment Initiation Service Providers) possono farlo, e solo dopo una tua specifica autorizzazione per ogni singola operazione tramite Strong Customer Authentication.

Come guadagnano gli aggregatori se il servizio è gratuito?

I modelli di business degli AISP sono vari. Le principali fonti di ricavo includono: analisi di mercato su dati aggregati e anonimizzati vendute ad altre aziende; partnership con istituti finanziari per proporti prodotti mirati (come prestiti o investimenti, sempre previo tuo consenso esplicito); e offerte di servizi premium a pagamento per funzionalità avanzate di budgeting, pianificazione finanziaria o consulenza.

Cosa succede se un AISP subisce un data breach?

Grazie ai modelli di sicurezza come la tokenizzazione, un eventuale data breach di un AISP non espone le tue credenziali bancarie né permette l’accesso ai fondi. Il rischio è legato alla privacy dei dati transazionali. In caso di violazione, l’AISP ha l’obbligo legale di notificare l’incidente al Garante per la Protezione dei Dati Personali e a tutti gli utenti coinvolti entro 72 ore dalla scoperta.

Scritto da Marco Valli, Esperto di Digital Banking e Fintech con 12 anni di esperienza nella trasformazione digitale degli istituti di credito italiani. Specializzato in Open Banking, PSD2 e sistemi di pagamento innovativi, guida i risparmiatori nell'utilizzo sicuro delle nuove tecnologie finanziarie.
Tassazione al 12,5% o al 26%: come scegliere gli strumenti giusti per pagare meno tasse legalmente?
Come il Fondo Interbancario e le leggi europee proteggono i tuoi soldi se la banca fallisce?
Novità del sito
Quanto puoi permetterti di chiedere in prestito prima che la banca ti dica di no (Rapporto Rata/Reddito)?
Rata del mutuo troppo alta: quali opzioni hai oggi per abbassarla senza perdere la casa?
Simulatore rata prestito: quanto sono affidabili i preventivi online rispetto all’offerta reale in filiale?
Come le banche analizzano i tuoi ultimi 6 mesi di movimenti prima di concederti un mutuo?
App aggregatrici di conti: sono sicure per monitorare tutte le tue banche in una sola schermata?
Post simili
Come il patrimonio mobiliare influenza il tuo ISEE e strategie legali per non perdere i bonus
Giacenza Media per ISEE: La guida rapida per non perdere i bonus (e risolvere i problemi con la banca)
Hai perso soldi in borsa? Come usare le minusvalenze per non pagare tasse sui guadagni futuri
Vendere in guadagno: come funziona la tassazione sul Capital Gain e quando conviene incassare?