Servizi Digitali > Open Banking
Servizi digitali

Open Banking

Nell'ambito del nuovo contesto normativo della Direttiva PSD/2, Banca Popolare di Sondrio rende disponibili delle interfacce tecnologiche, Open API, necessarie ad abilitare il colloquio con le cosiddette Terze Parti.Le Terze Parti o Third Party Provider (TPP) sono solitamente operatori esterni non finanziari, differenti dalla Banca di radicamento del conto, ed autorizzati ad operare grazie ad opportuna licenza concessa dall'Organo di Vigilanza nazionale (Banca d'Italia), tramite cui il cliente finale può accedere ai propri conti in Banca Popolare di Sondrio da un canale differente da SCRIGNObps o SCRIGNOapp. I TPP possono svolgere tre compiti diversi: 

  1. Gli AISP (Account Information Service Provider) sono terze parti che offrono ai clienti una panoramica aggregata su uno o più conti posseduti dall'utente anche detenuti su Banche differenti e in diversi paesi. Tramite questo servizio, abilitato dalle Open API esposte da Banca Popolare di Sondrio e dalle altre Banche di radicamento dei conti dell'utente, le TPP possono, ad esempio, consentire ai clienti di avere una visione globale dell'andamento della loro situazione finanziaria da un unico punto di accesso.
  2. PISP (Payment Initiation Service Provider) sono terze parti che offrono ai clienti la possibilità di avviare un pagamento da uno dei conti posseduti, anche se detenuti presso più Banche e in diversi paesi, direttamente dal sito del venditore. L'avvio della procedura di pagamento avviene tramite il colloquio della TPP con le Open API di Banca Popolare di Sondrio o delle altre Banche di radicamento dei conti dell'utente; l'esecuzione del pagamento è eseguita dalla Banca di radicamento. Si precisa, infine, che ai PISP non è consentito bloccare in alcun momento i fondi dal conto né utilizzare e archiviare i dati del cliente.
  3. PIISP (Payment Instrument Issuer Service Provider) sono emettitori di carte di debito, diversi dalla Banca del cliente, cui è concessa la capacità di ricevere conferma, sul conto collegato alla carta, della disponibilità dei fondi necessari all'esecuzione di un'operazione di pagamento. I PIISP non possono ricevere alcuna informazione sul saldo disponibile e non possono bloccare fondi sul conto. Anche in questo caso la verifica della disponibilità è operata attraverso le Open API di Banca Popolare di Sondrio o delle altre Banche di radicamento dei conti dell'utente.
 
I processi AISP, PISP e PIISP
 

Banca Popolare di Sondrio rende disponibili le nuove interfacce tecnologiche, le Open API, attraverso i servizi messi a disposizione dall'iniziativa consortile denominata CBI Globe - Global Open Banking Ecosystem promossa dal Consorzio CBI (per maggiori informazioni: https://www.cbiglobe.com/)

Approfondimenti

Per ottenere l'autorizzazione ad operare come Terza Parte Regolamentare, nel rispetto dei requisiti imposti dalla Direttiva PSD/2, ed usufruire delle Open API di Banca Popolare di Sondrio, occorre svolgere due step preliminari.

Step 1 - Iter autorizzativo con Banca d'Italia

Iter Autorizzativo
 

Avvio d'interlocuzione con Banca d'Italia
Prendere contatti con Banca d'Italia al fine di condividere in via preliminare l'idea alla base del nuovo business

Declinazione Business Model
Identificare puntualmente i servizi/prodotti ai fini della configurazione dell'offerta e i target di clientela a cui sono rivolti

Definizione modello operativo
Determinare gli ambiti di esternalizzazione, selezionare i provider tecnologici, disegnare la struttura organizzativa

Invio richiesta a Banca d'Italia
Formalizzare le informazioni all'interno del Programma di Attività e inviare la domanda di autorizzazione e degli ellegati richiesti

Banca d'Italia effettuerà valutazioni
relativamente al programma di Attività definito e alle condizioni di idoneità rispetto alle attività che si intendono esercitare. In caso di approvazione verrà rilasciata un'autorizzazione e l'iscrizione al registro EBA


Per informazioni di dettaglio è possibile far riferimento al provvedimento di Banca d'Italia del 23/07/2019 con oggetto "Disposizioni di vigilanza per gli istituti di pagamento e gli istituti di moneta elettronica" (https://www.bancaditalia.it/compiti/vigilanza/normativa/archivio-norme/disposizioni/disp-ip-20120620...)

Step 2 - Processo di richiesta certificati eIDAS

Ai fini di preservare la riservatezza e l'integrità dei dati scambiati con Banca Popolare di Sondrio o le altre Banche di radicamento dei conti dell'utente, le Terze Parti, in conformità alla direttiva PSD/2, sono tenute a disporre di certificati qualificati di sigillo elettronico e di autenticazione di sito web ai sensi del Regolamento eIDAS rilasciati da Qualified Trust Service Provider. In dettaglio i certificati richiesti sono:

 
  1. QSealC - Certificati qualificati di sigillo elettronico: consentono di creare un sigillo elettronico su qualunque informazione assicurando l'integrità e la correttezza dell'origine (requisito di autenticità);
  2. QWAC - Certificati qualificati di autenticazione di sito web: consentono di stabilire un canale di comunicazione sicuro, utilizzando il protocollo TLS, che garantisce confidenzialità, integrità e autenticità di tutte le informazioni trasferite attraverso tale canale.

Per effettuare la richiesta di certificati eIDAS, le Terze Parti devono indicare il ruolo che intendono svolgere nell'erogazione dei propri prodotti e servizi tra quelli previsti su base regolamentare, ovvero AISP, PISP, PIISP o una combinazione dei ruoli citati.

Per poter utilizzare le Open API di Banca Popolare di Sondrio in qualità di Terza Parte Regolamentare, è necessario registrarsi sulla piattaforma CBI Globe (https://www.cbiglobe.com/Registrazione-TPPe seguire il processo di registrazione previsto, comprensivo anche dello step di caricamento dei certificati eIDAS. 

Al completamento della procedura, i TPP avranno la possibilità di:

 
  1. Accedere all'API Portal e consultare le specifiche tecniche delle interfacce. In merito si precisa che, oltre alle specifiche generali di CBI Globe, è disponibile su API Portal un documento, denominato Annex, con il dettaglio delle interfacce di Banca Popolare di Sondrio per agevolare ulteriormente le attività di integrazione.
  2. Effettuare dei test di colloquio con le Open API di Banca Popolare di Sondrio in ambiente di Sandbox (utilizzando le utenze di test indicate nel documento Annex Banca Popolare di Sondrio) ed integrare le Open API di Banca Popolare di Sondrio di produzione.

Per ulteriori informazioni e per richieste di assistenza si rimanda a: