INNOVAZIONE IN AZIENDA

Open banking e PSD2: che cosa sono

L'Open Banking ti permette di collegare i conti ai tuoi software in modo sicuro e autorizzato, superando i vecchi metodi manuali o rischiosi. Grazie alla normativa PSD2, autorizzi l'accesso in sola lettura tramite le tue banche, mantenendo il controllo totale e potendo revocare i permessi in qualsiasi momento. Scopri come sfruttare questa tecnologia per automatizzare la tua gestione finanziaria, prestando sempre attenzione a gestire le autorizzazioni attive e a verificare la sicurezza dei servizi che utilizzi.
Team Plino
Dal blog di Plino
Condividi quest’articolo!
Condividi quest’articolo!

Se hai mai collegato un conto bancario a un'app di budgeting, a un software di contabilità, o hai visto un servizio che ti chiede di "autorizzare l'accesso al tuo conto", hai già usato l'Open Banking senza magari saperne il nome. È una delle infrastrutture più importanti — e meno spiegate bene — della finanza digitale europea degli ultimi anni. Ecco cosa c'è dietro, davvero, e a cosa prestare attenzione prima di usarlo per la tua azienda.

Cos'è la PSD2

La PSD2 (Payment Services Directive 2, Direttiva UE 2015/2366) è la normativa europea entrata in vigore nel 2018 che ha obbligato le banche ad aprire — con il consenso esplicito del cliente — i dati dei conti correnti a soggetti terzi autorizzati, tramite interfacce tecniche standardizzate (API). Prima della PSD2, l'unico modo per un software esterno di "vedere" i movimenti di un conto era chiedere all'utente di scaricare manualmente l'estratto conto, oppure — nella pratica meno raccomandabile — usare le credenziali bancarie personali per fare uno screen scraping automatizzato, senza alcuna garanzia normativa su come venissero trattati quei dati.

Cos'è l'Open Banking

L'Open Banking è il fenomeno reso possibile dalla PSD2: la possibilità per soggetti terzi regolamentati di accedere ai dati bancari (o disporre pagamenti) per conto dell'utente, in modo sicuro e normato, invece che attraverso scorciatoie tecniche non regolamentate. I soggetti terzi si dividono in due categorie:

  • AISP (Account Information Service Provider): possono leggere saldi e movimenti, in sola lettura. È la categoria a cui appartengono la maggior parte dei software di contabilità, budgeting e analisi finanziaria.

  • PISP (Payment Initiation Service Provider): possono disporre pagamenti per conto dell'utente, con un'autorizzazione distinta e separata da quella di sola lettura.

Entrambe le categorie devono essere autorizzate e vigilate (in Italia, dalla Banca d'Italia, o dall'autorità competente del paese di origine se operano in libera prestazione di servizi in altri paesi UE).

Come funziona, tecnicamente

Il meccanismo si basa su tre elementi cardine della PSD2:

  1. Consenso esplicito: l'utente autorizza attivamente l'accesso, tipicamente reindirizzato in modo sicuro all'interfaccia della propria banca per confermarlo — non inserendo le credenziali bancarie direttamente nell'app terza.

  2. Strong Customer Authentication (SCA): un'autenticazione a più fattori (qualcosa che sai, qualcosa che hai, o un dato biometrico), richiesta per la maggior parte delle operazioni sensibili.

  3. Consenso a tempo, revocabile: l'autorizzazione non è permanente — va riconfermata periodicamente (le norme tecniche prevedono un rinnovo) e può essere revocata dall'utente in qualsiasi momento, sia dal lato banca sia dal lato del servizio terzo.

I benefici concreti per un'azienda

Per una PMI, l'Open Banking significa poter collegare i propri conti a strumenti di analisi, previsionale di cassa, riconciliazione automatica o categorizzazione della spesa, senza dover scaricare manualmente estratti conto o condividere credenziali bancarie con nessuno. È l'infrastruttura di base su cui si appoggia qualsiasi software finanziario moderno che si collega automaticamente alle banche.

I rischi da conoscere, uno per uno

Rischio di phishing travestito da Open Banking: proprio perché il meccanismo prevede un reindirizzamento alla propria banca per autorizzare l'accesso, un sito o un'app malevola può imitare questo passaggio per rubare credenziali. La difesa pratica è verificare sempre di essere effettivamente sul dominio della propria banca al momento dell'autenticazione, non fidarsi ciecamente di un link ricevuto via email o SMS.

Rischio di consenso "dimenticato": molte persone autorizzano un accesso e poi non ci pensano più per mesi o anni. Un consenso attivo ma dimenticato, verso un servizio che magari non usi più, resta comunque un punto di accesso ai tuoi dati bancari — vale la pena controllare periodicamente, nell'area dedicata della propria banca, quali autorizzazioni sono ancora attive e revocare quelle non più necessarie.

Rischio di affidabilità tecnica disomogenea: non tutte le banche implementano le proprie API PSD2 con la stessa qualità. Alcune sincronizzazioni possono fallire temporaneamente per un problema lato banca, non lato servizio terzo che stai usando — un aspetto che la normativa riconosce come problema di mercato e che le prossime revisioni normative (PSD3) puntano proprio ad affrontare, imponendo requisiti più stringenti sulla qualità delle interfacce.

Rischio di scope troppo ampio: alcuni servizi chiedono l'accesso a più conti o più informazioni di quanto strettamente necessario per la funzionalità che offrono. Vale sempre la pena verificare, al momento dell'autorizzazione, cosa viene effettivamente richiesto — e limitarlo a ciò che serve davvero.

Cosa sta per cambiare: PSD3 e Open Finance

La normativa è in evoluzione: PSD3 e il nuovo Regolamento sui Servizi di Pagamento (PSR) sono in fase di finalizzazione a livello europeo, con l'obiettivo dichiarato di rafforzare la qualità e l'affidabilità delle interfacce Open Banking, irrobustire le regole antifrode e chiarire le responsabilità lungo la catena tra banche e fornitori terzi. In parallelo, il Regolamento FIDA punta a estendere il principio dell'Open Banking oltre i soli conti correnti, verso l'Open Finance (investimenti, assicurazioni, mutui). Le tempistiche esatte di entrata in vigore non sono ancora definitive alla scrittura di questo articolo — se questo tema è rilevante per la tua attività, vale la pena verificare gli aggiornamenti più recenti prima di prendere decisioni che dipendano dai dettagli specifici della nuova normativa.

Le domande da farti prima di collegare un conto a qualsiasi servizio

  1. Il servizio è un AISP/PISP autorizzato e vigilato, verificabile pubblicamente?

  2. Cosa viene richiesto in accesso — solo lettura, o anche disposizione pagamenti? Sono due autorizzazioni diverse, non concederle insieme senza motivo.

  3. Chi c'è dietro il servizio, e cosa succederebbe alla continuità dell'accesso se quel fornitore avesse un problema?

  4. Rivedi periodicamente, dal pannello della tua banca, quali autorizzazioni Open Banking hai attive — e revoca quelle che non usi più.

Come Plino si inserisce in questo

Plino si collega alle banche tramite Open Banking come AISP, in sola lettura: nessuna disposizione di pagamenti, nessuna condivisione di credenziali bancarie personali, e la possibilità di revocare l'accesso in qualsiasi momento dal pannello della tua banca. La stessa infrastruttura normativa che rende sicuro collegare il tuo conto a qualsiasi servizio regolamentato è quella su cui si basa Plino per costruire il tuo previsionale di cassa senza che tu debba scaricare un solo estratto conto a mano.

Richiedi la tua demo gratuita!

Ti ricontattiamo senza impegno per una demo di 20 minuti.

Richiedi la tua demo gratuita!

Ti ricontattiamo senza impegno per una demo di 20 minuti.

Richiedi la tua demo gratuita!

Ti ricontattiamo senza impegno per una demo di 20 minuti.

Richiedi la tua demo gratuita!

Ti ricontattiamo senza impegno per una demo di 20 minuti.