La PSD2 di Cerved Aisp: sfida tecnologica e di security

La normativa PSD2 ha posto le aziende che trattano dati di fronte a nuove sfide tecnologiche e di security.

La possibilità fornita dalla normativa PSD2 di accedere, in sola lettura e dietro esplicito consenso del titolare dei conti, alle informazioni di conto corrente dello stesso, rappresenta un’opportunità di innovazione molto importante per il mondo del credito.

Cerved Aisp ha ottenuto l’autorizzazione dalla Banca d’Italia ad operare come AISP (Account Information Service Provider) e prestare quindi il servizio AIS (Account Information Service).

L’offerta di Cerved in ambito PSD2 si articola in due fasi:

Sulla scorta dell’implementazione di tali servizi, Cerved Aisp ha definito una nuova architettura e infrastruttura digitale per rispettare le linee guida definite dalla Banca d’Italia. I dati estratti dagli istituti di credito, infatti, sono per loro natura sensibili e sono quindi portatori di valore per la piattaforma di Cerved Aisp.

La normativa PSD2 ha regole e vincoli stringenti che si applicano non solo al software ma anche all’infrastruttura. I dati raccolti da PSD2 di Cerved Aisp devono essere storicizzati al di fuori dei sistemi Cerved e devono anche transitare al di fuori di essi. Anche il semplice transito dei dati via rete non può avvenire in sistemi Cerved. Ad esempio, per quanto riguarda la compliance i dati raccolti dal sistema PSD2 di Cerved Aisp non possono risiedere su sistemi proprietari ma devono transitare all’esterno.

La soluzione implementata da Cerved allora prevede che i dati transitino in cloud, attraverso l’azienda di servizi cloud computing AWS, in modo da essere compliant e rispettare le guidelines di EBA (European Banking Authority).

La soluzione PSD2 implementata da Cerved Aisp prevede anche la sicurezza interna al software. Ovviamente l’invio dei dati avviene in modo sicuro attraverso il protocollo https e ogni invio viene fatto solo attraverso la presentazione di un token di sicurezza che viene spedito alla casella PEC dell’utente che deve effettuare l’onboarding.

Esistono poi altri due tipi di token: quello di pre-autenticazione, il quale viene generato e inviato al client solo quando l’utente ha specificato la password, e il terzo, di autenticazione, viene inviato all’utente solo quando il processo è completato tramite la conferma dell’OTP che è stata inviata all’utente via SMS. L’utente, in questo modo, crea un account criptato da password e, al numero di cellulare che ha lasciato, sarà inviato l’OTP per l’accesso autenticato.

Questi dati, una volta raccolti vengono storicizzati in un database documentale con encryption (e non solo a livello applicativo) al quale ha accesso solo personale autorizzato. Per un’ulteriore sicurezza, l’ambiente è segregato in una VPC (Virtual Private Cloud) e quindi per definizione protetto dall’accesso improprio dall’esterno.

Fra le sfide tecnologiche affrontate da Cerved Aisp c’è appunto l’integrazione con il circuito bancario. Cerved ha selezionato un provider esterno specializzato per procedere a tale integrazione con il circuito bancario italiano e accedere ai dati degli utenti che hanno dato il consenso.

Se dal punto di vista tecnico l’integrazione è molto semplice e lineare in quanto si basa su API REST come tutte le altre integrazioni del sistema, il flusso che porta l’end user a dare il proprio consenso all’utilizzo dei propri dati è invece piuttosto articolato e complesso.

Attraverso le API del fornitore selezionato, la soluzione PSD2 implementata da Cerved Aisp accompagna l’end user fino ad esprimere la richiesta di consenso all’accesso ai propri dati bancari che si chiude poi con un “salto” da parte dell’utente sul proprio home banking, dove potrà confermare il consenso richiesto con le modalità di autenticazione richieste dal suo istituto bancario.

Una volta fornito il consenso, la soluzione PSD2 di Cerved Aisp è in grado di andare a richiedere dati storici sulle transazioni e sui saldi dell’end user e sulla base di questi dati, calcolare lo score di merito creditizio tramite il motore realizzato da CEBI appositamente per questo scopo.

Lo stack tecnologico utilizzato per realizzare la soluzione si basa su Java come linguaggio di programmazione e Spring Boot come framework principale di sviluppo.

In particolare, la soluzione utilizza una versione di Spring Boot che permette di realizzare software che rispetta il cosiddetto Reactive Manifesto. Si tratta di un paradigma di programmazione che consente di creare software in grado di gestire in modo dinamico e ottimizzato il carico di lavoro con un uso inferiore di risorse di memoria e CPU, dando agli utenti una user experience migliore rispetto ai paradigmi classici.

Nello specifico,la piattaforma di Cerved Aisp utilizza un mix di programmazione funzionale e programmazione ad oggetti, cercando di prendere il meglio dei due approcci.

Inoltre, la base di tutti i progetti realizzati nell’area B2B e PSD2 si basa su un framework di librerie reactive e funzionali che permettono di interfacciarsi in modo semplice a tutte le fonti dati aziendali tramite paradigma REST (Representational state transfer). Tale framework di librerie (circa 40) è stato costruito negli ultimi anni per poter comporre progetti di integrazione in modo semplice, veloce e standardizzato.

Per quanto riguarda il front end di Cerved Aisp, l’applicazione è realizzata con ReactJS utilizzando un framework di oggetti e librerie standard che sono a fattor comune di tutte le applicazioni Cerved.

Durante il percorso di onboarding, l’utente deve fornire il proprio consenso attraverso il sistema di autenticazione dei propri istituti di credito. Questo passaggio è reso meno disruptive con una comunicazione precisa e puntuale e attraverso accorgimenti nella UI che rendono meno “traumatico” questo repentino cambio di contesto. Alla fine, l’utente viene sempre reindirizzato all’applicazione di PSD2 di Cerved Aisp e continua in modo molto fluido il flusso di onboarding.