Voglia di open banking. Il settore bancario a confronto

Mentre le istituzioni finanziarie sono impegnate in un grande sforzo di riposizionamento dei loro servizi, diversi fattori di spinta simultanei contribuiscono a rendere la situazione più fluida e complessa. Delineando un futuro in cui potrebbero davvero venir meno molte delle barriere che oggi consentono di delimitare – e proteggere – i confini dei propri mercati

L’open banking, considerato uno dei fattori di innovazione più importanti del settore, come molti dei fenomeni legati alle cosiddette disruptive technologies, è tuttavia ancora alla ricerca di una definizione che vada al di là dei parametri informativi definiti da uno dei suoi grandi motori, la direttiva PSD2 sui servizi di pagamento. La voglia di open banking deriva da una dirompente miscela di tecnologie e stili di vita digitali; regole costruite proprio per favorire la crescita di opportunità, nuove modalità di competizione, nuove capacità di generazione e analisi dei dati; e last but not least le nuove aspettative – in termini di prodotti, strumenti e contenuti informativi – manifestate dai clienti che già usufruiscono di una variegata offerta di servizi oggi rappresentata da tre grandi filoni: retail, private e corporate banking.

Sul modello ormai consolidato delle tavole rotonde organizzate da Data Manager sulle tematiche tecnologiche che interessano i principali ambiti di industry, per la prima volta proposto su piattaforma virtuale, abbiamo incontrato un campione molto significativo dell’industria bancaria, dei pagamenti e dei servizi digitali per misurare il livello di avanzamento e maturazione della cultura dell’open banking. Insieme a loro sono stati affrontati temi importanti come le strategie di governance e organizzazione adottate in materia di compliance alla PSD2; e le scelte tecnologiche che sottendono alla necessità di erogare servizi che possono differire anche rispetto alle piattaforme di Internet banking più evolute, ma rivolte pur sempre a una clientela “captive”.

PIATTAFORME DI SISTEMA

La discussione inizia con Sara Zanichelli, che in veste di head of open banking – divisione costituita in seno alla business unit di Nexi dedicata alle soluzioni per il digital banking – apre una prima serie di interventi focalizzati sugli aspetti della compliance nei confronti dei servizi abilitanti previsti dalla normativa PSD2. Quest’ultima definisce una serie di canali digitali che le banche europee sono chiamate a tenere aperti alle terze parti che implementano servizi di tipo informativo o transazionale, partendo sostanzialmente dai dati dei rispettivi correntisti. Molti degli interventi successivi si concentreranno su questa prima fase del nuovo mercato dei servizi finanziari aperti, dominato dall’attenzione ai servizi di tipo retail. Mentre una seconda tornata di pareri darà spazio anche alle valutazioni sulla possibile evoluzione dell’open banking, specialmente in ottica B2B.

«Il nostro aiuto alla compliance normativa rivolto a tutte le banche italiane – spiega Sara Zanichelli – è l’infrastruttura CBI Globe compliant che abbiamo realizzato insieme al consorzio CBI. A più di un anno dal lancio, questa piattaforma ha ottenuto un grande successo in termini di adesione con più di 300 istituti. L’80 per cento delle banche nazionali hanno raggiunto la compliance con le norme che riguardano l’esposizione alle API per l’accesso alle informazioni di conto corrente». Nexi è soddisfatta anche per l’uso effettivo di questo fondamentale nuovo canale. Più 130 terze parti si sono iscritte al portale-sviluppatori e 35 di queste sono in fase di produzione, effettuando accessi reali ai conti e inizializzando pagamenti reali. «Anche in termini di volumi, le transazioni crescono di mese in mese – precisa Sara Zanichelli. Attualmente, registriamo sette milioni e mezzo di transazioni con una prevalenza di chiamate di accesso informativo ai conti». Risultati lusinghieri per un sistema che, tra l’altro, è riuscito a rispettare le dead line che Banca d’Italia aveva fissato per il giugno del 2019.

SERVIZI STANDARD BY GATEWAY

Nexi però non si è fermata alla compliance e ha voluto giocare la partita dello sviluppo dell’open banking in ambito competitivo, sfruttando le nuove regole della PSD2 per lo sviluppo di servizi in grado di generare nuovo business per le banche partner. «Anche qui, siamo partiti da una soluzione di tipo infrastrutturale sviluppando un sistema di gateway, CBI Globe Funzionalità Attiva che consente ai soggetti bancari e non bancari di operare come terze parti». In altre parole – continua Sara Zanichelli – Nexi ha integrato i gateway delle banche italiane per rendere raggiungibili le API normative (incluse quelle attivate su piattaforma Nexi). In questo modo, anche un soggetto che vuole operare come terza parte potrà effettuare le chiamate di accesso informativo e inizializzazione. Un grande sforzo di semplificazione, quest’ultimo, nei confronti di soggetti che senza questo servizio dovrebbero affrontare una giungla di parametri che contraddistinguono i singoli gateway. «Nonostante l’allineamento alle regole del Berlin Group (l’istituzione che a partire dal 2004 si occupa di interoperabilità dei pagamenti bancari in Europa – ndr), restano notevoli specificità da risolvere» – commenta Sara Zanichelli. Grazie a Nexi, insomma, diventa possibile sviluppare servizi open banking in modo molto più fluido, implementandoli attraverso la piattaforma di Funzionalità Attiva.

Nella lista delle 300 banche che hanno aderito a CBI Globe non rientra UniCredit in quanto il Gruppo, essendo presente in diverse nazioni Europee in ambito PSD2, ha preferito sviluppare una propria soluzione globale per esporre le API, così come ha chiarito Marcello Vittorio Ronco, in UniCredit responsabile delle piattaforme e degli ecosistemi digitali. Per quanto concerne invece la definizione degli standard a livello nazionale, UniCredit partecipa attivamente nel Consorzio Bancario Italiano dove, fra l’altro, Ronco è membro del CdA. «La direttiva europea è importante perché ha assimilato due concetti fondamentali: il primo è la standardizzazione delle comunicazioni e del set informativo da passare, il secondo è l’aver dato ai clienti finali l’opportunità di decidere se condividere in sicurezza i loro dati bancari».

LA BANCA CROSS COUNTRY

Ronco ha ben evidenziato la natura “cross country” del gruppo UniCredit che, su un asse geografico Est-Ovest per la PSD2, attraversa dieci nazioni. «Abbiamo sviluppato un asset proprietario che, adottando come standard il ben noto Berlin Group, offre alle terze parti una unica infrastruttura di interconnessione su un footprint geografico ampio». Dal punto di vista della collaborazione, Ronco sottolinea il ruolo della fintech Meniga – in cui UniCredit ha anche una presenza di capitale – in relazione allo sviluppo tecnologico della piattaforma. In Italia – ha aggiunto Ronco – UniCredit continua a collaborare su iniziative comuni che vanno già oltre la PSD2 come ad esempio una nuova API per il controllo delle coordinate bancarie che verrà proposta in diverse modalità d’uso e alla quale partecipano tutte le banche italiane con il coordinamento del CBI per la definizione dello standard.

Da un punto di vista business, Ronco condivide la schematizzazione che suddivide il mercato dell’open banking in espositori e consumatori di API. In ottemperanza alla PSD2, le banche hanno esposto questo loro asset ma – afferma il responsabile degli ecosistemi digitali UniCredit – «è solo il primo passo di un percorso che noi stiamo percorrendo». Gli eventi recenti hanno riportato alla ribalta con urgenza la necessità della digitalizzazione e le API sono una tecnologia abilitante. «Per quanto concerne il consumo di API – sostiene Ronco – siamo già partiti con nuovi servizi come l’Account aggregator e, più recentemente, con il Payment initiator. Al momento, i servizi riguardano un primo set di banche in Italia per la clientela retail che utilizza servizi di Internet e mobile banking, modalità queste che stanno superando i canali interattivi più tradizionali». Anche Michele Dotti, responsabile delle architetture e dell’innovazione digitale in Cedacri porta alla nostra tavola virtuale un’esperienza di tipo consortile. Come Nexi e UniCredit, Cedacri ha deciso di giocare un ruolo attivo creando un proprio gateway, che tra l’altro – sottolinea Dotti – è annoverato tra i gateway di sistema da Banca d’Italia.

«Una quarantina di banche nostre clienti aderiscono a una piattaforma che abbiamo concepito con un approccio, quello dell’abilitatore tecnologico, che da diversi anni stiamo seguendo nel nostro percorso di rivisitazione dei canali diretti». Il racconto di Dotti spiega bene come, da un punto di vista tecnologico, le innovazioni richieste dalla spinta verso l’Internet banking prima e dall’open banking oggi, hanno un preciso impatto su infrastrutture storicamente pensate per le monolitiche applicazioni di banche costruite intorno allo sportello come unico canale di relazione. «Per giocare un ruolo importante nel nuovo contesto occorreva ripensare i modelli tradizionali. Cedacri ha creato un’architettura nuova basata su microservizi. Inizialmente, operiamo su private cloud – afferma Dotti – ma la tecnologia è la stessa dei grandi player dei servizi Internet».

RAPPORTI PERSONALIZZATI

Un approccio più convenzionale avrebbe trascurato i requisiti di flessibilità fondamentali negli scenari che Michele Dotti di Cedacri intravede nel futuro. «Riteniamo che il rapporto del cliente con la banca sarà sempre più personalizzato e continuativo e il fatto di dover interconnettere anche le terze parti di un mondo sempre più aperto rende del tutto imprevedibili i carichi transazionali sui nostri sistemi» – spiega Dotti, rilevando un significativo aumento di traffico proprio sul nuovo gateway PSD2. Tra i vari casi d’uso che Cedacri sta esplorando per conto di una clientela che rappresenta il 13% degli operatori bancari nazionali, la direzione più promettente riguarda il potenziale dei dati. Per questo, Cedacri sta mettendo a punto una piattaforma analitica forte sul piano della capacità predittiva, le cui prospettive di condivisione finalizzata al supporto di innovativi servizi nel campo dell’erogazione di credito e gestione del rischio sono un aspetto importante dell’intera strategia PSD2. «Uno snodo importante – conclude Dotti – riguarda in chiave GDPR la capacità di dare le motivazioni giuste ai clienti dei futuri servizi, convincendoli a dare l’autorizzazione al trattamento dei dati di loro proprietà».

ESTRARRE VALORE DAI DATI

L’interesse nei confronti dell’enorme valore informativo dei giacimenti di dati riferibili alle posizioni e alle attività svolte dai clienti delle banche è confermato anche dalle prime valutazioni fatte da Gabriele Obino, regional VP Southern EMEA & ME di Denodo, specialista di data virtualization. «Il potenziale di cui parla Cedacri lo conosciamo» – afferma Obino. «Nonostante una presenza relativamente recente in Italia, lavoriamo molto, nel settore bancario e non solo, per risolvere il problema dei dati in organizzazioni aziendali molto grandi, con livelli di complessità elevati e sorgenti che si articolano in scenari molto ibridi, ma devono essere gestiti con la sicurezza e la centralizzazione che i clienti bancari richiedono». Il mondo – secondo Obino – va in direzione dello scambio di contenuti informativi basati sui dati in una forma sempre meno intermediata rispetto al passato. Scambiando, al posto dei “prodotti finiti”, la possibilità di accedere direttamente ai dati. Questa tipologia di servizio – prosegue Obino – viene agevolata quando l’erogatore del dato può concentrarsi sulla parte logica e questo può avvenire quando uno strato di virtualizzazione riesce a disaccoppiare l’aspetto logico da ogni vincolo di natura fisica. «Sappiamo tutti quanto sia pesante la parte tecnologica, fisica del dato, quanta fatica si fa per tenere insieme banche dati consistenti. Denodo aiuta a dare agilità e flessibilità nell’offrire servizi verso l’esterno, in chiave B2B tra banca e banca ma anche verso la clientela finale».

Banca Popolare di Sondrio – commenta Matteo Petrelli, responsabile per i programmi cliente in ambito open banking e digital transformation – non ha certo le dimensioni di un gruppo come UniCredit, ma ha già aperto un primo set di servizi di tipo PSD2. Questo – segnala Petrelli – nonostante qualche intoppo legato alle problematiche che la GDPR ha sollevato in relazione alla ownership dei dati del cliente. Altri servizi potranno arrivare in futuro per iniziativa del regolatore, altri standard tecnologici verranno forse affrontati e regolamentati. «La buona notizia – riconosce Petrelli – è che il paradigma è ormai accettato da tutti e tutti dopo qualche iniziale controversia, andranno a implementare le loro API». Tuttavia, a fronte di questo primo sostanziale successo – aggiunge Petrelli – l’azione dirompente che si immaginava fino a dodici mesi fa non c’è stata. Un buon potenziale di mercato esiste sicuramente anche in Italia, anche se nel resto d’Europa diversi paesi sembrano, forse perché partiti in anticipo, aver fatto meglio di noi. «Se la PSD2 ha comunque aperto il mercato delle API pubbliche – prosegue Petrelli – sottotraccia molti si stanno occupando delle API private. Attraverso piccole partnership, abbiamo per esempio condotto qualche sperimentazione in ambito pagamenti con le aziende della grande distribuzione organizzata. Bisogna capire se tutto questo rimarrà commodity – e allora è giustificata la presenza di consorzi che garantiscono una certa economicità – o se prima o poi si creerà un vero mercato competitivo. Al momento, c’è molta prudenza ma tutti dovremmo prepararci per quando la domanda ci sarà».

LO SPARTIACQUE DEL COVID-19

Come fattore esterno del tutto inatteso, l’emergenza Covid-19 ha avuto i suoi effetti – conclude Matteo Petrelli di Banca Popolare di Sondrio, contribuendo a sveltire molti processi organizzativi, accelerando la spinta verso la remotizzazione e in molti casi motivando in direzione dell’open banking molti responsabili business in seno alle società finanziarie. «Per l’open banking, prima dell’emergenza sanitaria c’era un mercato, e dopo ce n’è un altro. E non coincidono» – sostiene Petrelli. «Che tipo di mercato potrebbe essere? Molto diverso dalle relazioni gestite oggi con l’Internet banking, che comunque è andato avanti sia a livello retail sia corporate? «Il business as usual in quest’ambito lo si può gestire con gli strumenti che abbiamo. Quando si parla di relazione, proposizione commerciale, upselling e così via, nessuno forse è in grado di gestire tutto digitalmente. Ritengo che questa sia una grande opportunità».

Di servizi innovativi si è discusso molto intorno al tavolo, ma Demetrio Migliorati, innovation manager & head of blockchain in Banca Mediolanum, ha catturato l’attenzione di tutti con la presentazione di Flowe, una “super app” – secondo la definizione di Migliorati – intorno alla quale gravitano una serie di servizi di natura finanziaria e non, di strumenti per il pagamento e il risparmio, ma anche di un nuovo modo di sentirsi parte attiva di un ecosistema economico interdipendente in cui anche le scelte personali possono fare la differenza. L’iniziativa – racconta Migliorati – nasce dalla volontà di costruire un’offerta assolutamente innovativa intorno alla sostenibilità. «Nel chiederci che cosa potevamo offrire a un target di clienti sensibile a questi temi, abbiamo capito che il nuovo servizio non poteva essere un prodotto strettamente bancario. Certo, avevamo visto l’arrivo di N26, di Revolut, di tante iniziative bellissime e abbiamo compreso che c’era interesse anche in quell’area. Ma noi abbiamo voluto mettere insieme una pluralità di attori che consentissero al nostro futuro cliente di seguire tutti gli stimoli di cui aveva bisogno. Stimoli che non erano legati solo a questioni di mera operatività bancaria o di pagamenti». La “super-app” Flowe aiuterà i clienti di una “better being economy” a costruire un miglior equilibrio nelle relazioni con il denaro, con l’alimentazione, il fitness attraverso tanti servizi e contenuti erogati all’interno di un ecosistema aperto alle terze parti e ricco di elementi educativi e di gamification.

FLOWE, ORCHESTRATORI DI ENERGIA

La nuova entità legale che sta portando avanti il progetto ha un’organizzazione priva di gerarchie, dove la figura del CEO di Flowe, Ivan Mazzoleni, non corrisponde al tradizionale ruolo di direttore esecutivo bensì di cultural energy orchestrator. Flowe poggia su una infrastruttura interamente cloud, i collaboratori rispondono a una filosofia di “bring your own device” molto spinto e adottano una modalità di lavoro agile che ha consentito il lancio commerciale del prodotto – dopo una prima fase pilota di utenza amica – in meno di un anno dalla costituzione. «La velocità è quella di una media company ed è un fattore essenziale in un prodotto così diverso» – sottolinea Migliorati. «I nostri concorrenti non stanno fermi, Revolut cresce giorno per giorno, Hype di Banca Sella (una carta che su modello di Revolut aggrega diversa conti – ndr) cresce altrettanto velocemente. Dobbiamo muoverci con rapidità per coinvolgere il nostro target di riferimento». Secondo Migliorati tutto il progetto può essere preso come esempio di un contesto nazionale che è tutt’altro che in ritardo, almeno in termini di progettualità. Se il lavoro svolto eccelle anche per la capacità di sperimentare in campi come Big Data e l’intelligenza artificiale, il responsabile delle iniziative blockchain di Mediolanum si dice altrettanto entusiasta della collaborazione proprio con Popolare Sondrio su una serie di prodotti assicurativi collegati alla tecnologia distributed ledger. Il clima nato con la compliance alla PSD2 – conclude Migliorati – ha fatto da stimolo, riportando in auge lo spirito, un po’ affievolito nel settore bancario, della conoscenza interna, di una innovazione coltivata con le proprie forze e il proprio know-how.

LA SICUREZZA SI ADATTA

Davanti a piattaforme di servizio B2C come quelle realizzate per Flowe, come si affronta il problema della sicurezza senza rendere quest’ultima troppo limitativa rispetto alla dinamicità dell’utenza? Per Luca Nilo Livrieri, sales engineer manager Italy & Iberia di Forcepoint, non ci sono molte alternative. «La sicurezza che deve rispondere alle esigenze di velocità e agilità dei nuovi servizi non può essere statica, ma adattativa». Con le sue tecnologie, Forcepoint promuove da sempre una sicurezza informatica capace di adattarsi al livello di rischio che l’utente affronta in un dato momento, capace di rimanere silente e intervenire solo se necessario, in modalità sempre più smart e autonoma.

In pratica, se un servizio disponibile sul Web pubblico è la risorsa che meglio corrisponde alla propria strategia, la sicurezza deve conformarsi al livello di rischio associato a quel servizio nel contesto delle altre applicazioni. Il concetto della risk adaptive security risponde in modo efficace alle esigenze dell’open banking. «Dall’aumento di attenzione nei confronti del valore del dato, consegue che nell’interazione con il dato, devo metterlo in sicurezza indipendentemente da dove l’informazione si trova e da che punto si cerchi di accedervi» – spiega Livrieri. «Anche qui ritornano elementi comportamentali, la capacità di aggregare strumenti SIEM (Security Information and Event Management), di data loss prevention».

Livrieri osserva come l’esplosione delle necessità di remotizzazione del lavoro abbiamo messo al centro degli attacchi e dei progetti di sicurezza il fattore umano: «Coloro che sono posti tra la tastiera e la sedia, rappresentano l’anello più vulnerabile della catena. Non è un caso – ricorda Livrieri – se Forcepoint ha registrato proprio negli ultimi tre mesi un inatteso aumento della forma d’attacco più tradizionale, il phishing». Nel contesto dell’open banking, oltre all’attacco alle API, alle fintech, agli operatori, si possono immaginare innumerevoli attività fraudolente, anche interne – l’attivazione di servizi, la condivisione di file o di link – eseguite per ragioni di velocità, senza considerare a sufficienza le severe regole della sicurezza informatica. Una parte considerevole dell’azione si trasferisce su dispositivi che gli amministratori non possono avere sotto il loro controllo, con procedure di autenticazione delegate a livello di infrastruttura. «Tutto spinge a portare connettività sicura il più possibile vicino alle persone, evitando di dover riportare tutto al solito bocchettone aziendale. La sicurezza del cosiddetto Secure Access Service Edge assicura flessibilità nel modo di lavorare, adattabilità al rischio e capacità di generare business con la digitalizzazione».

Il problema della sicurezza intrinseca all’infrastruttura viene affrontato anche da Michele Rivieri, CISO di Cedacri, che pensando alle tante opportunità discusse al tavolo a proposito di open banking, ricorda tre tipi di relazione che possono legare gli erogatori e i fruitori dei servizi: B2C, B2B e B2H, dove “H” sta per “hacker”. «Mentre i colleghi studiano nuovi modi di sfruttare in ottica business l’interscambio di dati, altri imparano a sfruttare questa nuova metodologia come vettore d’attacco. Tutti noi ci aspettiamo l’arrivo di altri vettori che ancora non siamo in grado di capire perché tutto quello che un tempo facevamo passare per canali superprotetti oggi scorre su Internet e verso una serie di terze parti, che non possono avere lo stesso livello di controllo accreditato delle banche al tempo dei canali riservati».

APRIRE O NON APRIRE?

Un’altra possibile fonte di rischio per il business è legata a una dinamica, quella tra le due filosofie di fondo della normativa PSD2 e del GDPR, che secondo Rivieri non è ancora risolta. «È evidente che c’è un punto di frizione. Una norma dice che il cliente deve essere in possesso dei suoi dati, l’altra che l’utente deve mettere a disposizione i dati per lo sviluppo dei servizi». Rivieri esorta il nostro Garante a indagare in una materia in cui le organizzazioni come Cedacri si trovano a sperimentare senza il conforto di precise linee guida. Anche se “trasformazione” è una buzzword che continua a oscillare tra i due estremi del “sexy” e dell’abusato, il percorso trasformativo di Gruppo BPER Banca (istituzionale.bper.it) si sviluppa su più ambiti, fino ad abbracciare i modelli organizzativi e di gestione del lavoro. Omar Campana nel suo ruolo di CIO del gruppo bancario emiliano si concentra sull’ambizioso progetto di evoluzione infrastrutturale e applicativa. Nell’IT di gruppo, BPER è diventato un operatore fortemente basato su un approccio DevOps. Anzi – precisa Campana – nella sua versione più estesa di DevSecOps. «Un piano di introduzione dei concetti di continuous integration and delivery, chiaramente con l’introduzione e l’adozione di enterprise toolchain ha fatto seguito al definitivo passaggio a una filosofia open source, che ha influito molto sulla trasformazione passando attraverso la containerizzazione, l’Infrastructure as a Code e fino alle attuali dinamiche delle architetture event e data driven». Da questa base di cambiamento deve partire l’ulteriore evoluzione dei modelli amministrativi. La banca moderna – spiega Campana – deve trasformare radicalmente il modo di lavorare. «DevOps implica per esempio una maggiore attenzione alla co-progettazione, ma questo a sua volta è un tema legato al modello organizzativo». Tra gli altri filoni di innovazione, BPER adotta da tempo un approccio di hybrid cloud gestito in modo opportunistico in base ai diversi carichi di lavoro. L’innovazione è sostenuta da una serie di rapporti di collaborazione che hanno rappresentato e continuano a rappresentare un valore consistente per l’IT del gruppo bancario. Queste collaborazioni – conclude Campana – riguardano anche la componente di networking, che insieme ai dati, considerati elemento fondante della strategia applicativa, è uno dei pilastri della strategia IT.

VERSO UN ECOSISTEMA APERTO

Nella seconda parte dell’evento, emergono in modo più spiccato quelle che sono gli asset principali lungo cui si muoveranno i servizi dell’open banking. Sara Zanichelli di Nexi ha spiegato a grandi linee la strategia di Nexi Open che ha per obiettivo la creazione di un ecosistema aperto, popolato di molti attori diversi e ricco di use case verticali ritenuti utili alle banche partner. Chi sono questi attori? «Oltre a Nexi e i suoi clienti ci sono le fintech con cui abbiamo sottoscritto accordi di partnership e, immancabilmente, gli incubatori e gli acceleratori» – spiega Zanichelli. «In particolare, siamo diventati founding partners dell’hub italiano di Plug and Play, uno dei grandi acceleratori della Silicon Valley, proprio per dare accesso a un ampio set di fintech di respiro internazionale». Senza scendere troppo nei dettagli di questi verticals, Zanichelli cita i servizi di incasso tramite PISP già entrati a far parte del core business dei pagamenti. Poi, il personal o business finance management orientato alle PMI, che consente di avere una vista aggregata per i clienti multibancarizzati. E inoltre, i servizi come la gestione della liquidità, la possibilità di fissare obiettivi di risparmio, e altri servizi che man mano si allontanano progressivamente dall’ambito strettamente bancario per muoversi verso la instant e la digital insurance, con partner come Net Insurance.

E infine, Marcello Vittorio Ronco di UniCredit tocca diversi aspetti del sistema di relazioni e alleanze con l’esterno che UniCredit ha cominciato a costruire anche in anticipo rispetto alla PSD2. Ronco cita per esempio il modello degli “hackathon” che fin dal 2015 ha coinvolto un gran numero di fintech nella proposizione di servizi e prodotti innovativi. Due obiettivi importanti di questo sforzo – ha precisato Ronco – sono la semplificazione e la fluidità della user experience da un lato, ma anche l’aspetto formativo, la “preparazione” di un mercato sostenibile. «È opportuno educare la clientela, dal retail al corporate, anche fuori dall’ambito bancario, sulle opportunità dell’open banking. UniCredit, per esempio, ha lanciato delle campagne di comunicazione con testimonial conosciuti, attraverso le quali spiega le tematiche di compliance e sicurezza, con particolare attenzione al modo in cui è opportuno gestire il consenso per dare accesso ai propri dati».

COMPENETRAZIONE DEI PROCESSI

Anche Omar Campana di Gruppo BPER parla degli ottimi risultati ottenuti con alleanze come quella che vede collaborare il gruppo bancario e la società Fabrick negli spazi del Fintech District di Milano. «Abbiamo ripetuto l’esperienza fatta qualche anno fa con il CNR con il quale avevamo attivato un progetto blockchain nel nostro laboratorio di Open Innovation. Tolti i primi momenti di impatto, mirati a individuare un terreno comune, queste collaborazioni, oggi dedicate alla virtualizzazione e alla user interaction, si sono rivelate preziose».

Rispondendo alle domande del pubblico sulle possibili evoluzioni post-PSD2 di questo mercato, Matteo Petrelli di Popolare Sondrio propone una serie di interessanti considerazioni sugli sviluppi in chiave B2B. «Il credito personale sarà l’ambito di maggior interesse e comincio a vedere l’interesse di operatori che raccolgono informazioni attraverso l’access to account come alternativa alle attuali tecniche di screen scraping. Ma in questo modo, continuiamo a muoverci in un ambito definito dal regolatore.

Le conseguenze più interessanti dell’apertura potrebbero registrarsi nell’area ancora inesplorata della “compenetrazione dei processi”, dove – continua Petrelli – sistemi core bancari e piattaforme ERP delle aziende potrebbero scambiarsi funzionalità o realizzare funzionalità innovative ad alto valore aggiunto.

«In questo senso fatichiamo a individuare possibili partner perché le grandi società di sistemi ERP, per il momento, se ne stanno alla finestra». Il futuro è apertissimo anche per la super-app lanciata da Flowe. Demetrio Migliorati di Banca Mediolanum parla del servizio già attivato in collaborazione con Doconomy, che ha messo a disposizione i suoi algoritmi per il calcolo dell’impatto ambientale di ogni transazione effettuata con la funzione di carta di pagamento. Gli algoritmi registrano questi valori e al raggiungimento della soglia pari al costo di un albero da trapiantare, propone al cliente di autorizzare questa formula di “risarcimento” all’ambiente. Analoghi servizi offriranno simili opportunità di cura delle risorse naturali, nell’ottica di benessere diffuso che caratterizza la nuova “non solo banca” Mediolanum. Migliorati prevede la fioritura di tantissimi servizi, alcuni dei quali sono già stati sperimentati, per esempio in ambito assicurativo, in collaborazione con le Insurtech.

E la discussione si chiude con due sintetici interventi di Gabriele Obino di Denodo e Luca Livrieri di Forcepoint. «Abbiamo parlato di servizi a valore aggiunto B2B, di credito, di gestione del rischio. Io credo che una piattaforma di virtualizzazione del dato abbia un altro valore aggiunto molto importante. Quello di consentire di costruire le informazioni a livello puramente logico, mettendo i dati in un contesto semantico che spiega come e perché si è arrivati al contenuto informativo che è al cuore del servizio erogato» – afferma l’esperto di data virtualization di Denodo, dicendoci sostanzialmente che con gli strumenti tecnologici giusti è possibile definire una cultura del metadato che arricchisce la digitalizzazione. E nella sua conclusione, Luca Livrieri parte proprio dall’importanza del contesto. «Abbiamo parlato di interazioni, aperture e quindi sarà sempre più determinante comprendere il rischio che queste interazioni possono portare, nel contesto in cui avvengono. Forcepoint è convinta che andremo sempre più nella logica del Secure Access Service Edge. La sicurezza delle piattaforme deve convergere per fare in modo che l’interazione personale di business o applicativa – ovunque essa avvenga e chiunque ne sia l’attore interno o esterno a una organizzazione – sia sempre compresa nella sfera di rischio al quale questa interazione espone l’informazione da proteggere».

Point of view

Tutta l’energia dell’informazione

Denodo apre la strada a servizi basati sull’arricchimento semantico dei dati, finalmente liberi da vincoli di natura infrastrutturale

Che contributo può dare una tecnologia come la virtualizzazione dei dati al futuro mondo dei servizi basati sui principi dell’open banking? Gabriele Obino, regional VP Southern Europe & ME di Denodo, leader globale della virtualizzazione dei dati, dice di aver seguito con interesse la tavola rotonda virtuale che Data Manager ha organizzato sulla trasformazione del settore bancario, in particolare nella discussione dei servizi ad alto valore aggiunto in chiave B2B, dove i concetti di accessibilità e condivisione dei dati vengono sollecitati ben oltre il dominio dei servizi essenzialmente di tipo retail indirizzati dalla direttiva PSD2. «È un ambito in cui la condivisione delle informazioni è molto in linea con la filosofia di Denodo di disseminare i dati, disaccoppiandoli da vincoli di natura tecnologica» – sottolinea Obino. «Virtualizzare il dato significa liberarlo dalle gabbie fisiche in cui sono normalmente custoditi, eliminando la necessità di creare duplicazioni e assicurando poi l’integrità e la sicurezza della fruizione».

Più valore in piena libertà – Nel mondo bancario – secondo Obino – potremmo assistere a cambiamenti di modello di business analogo a quello che sta caratterizzando uno storico “disseminatore” di dati come Istat. «In futuro, Istat renderà disponibili sempre meno report e studi preconfezionati e sempre più dati da cui estrarre valore. Dovrebbe valere anche per le banche, che utilizzano Denodo per condividere le informazioni internamente e verso l’esterno, senza lasciare nulla al caso in termini di sicurezza e autorizzazione all’accesso, ma senza forzare in alcun modo sugli strumenti e le logiche utilizzati per accedere». Questo – prosegue Obino – permetterà al sistema bancario, soprattutto nelle sue relazioni con il sistema delle imprese, di cambiare paradigma rispetto ai tradizionali servizi puramente finanziari, “virando” verso modelli più informativi, legati, per esempio, alla gestione del rischio e ad altri aspetti dell’abbinamento business-finanza. «Del resto, tale cambiamento paradigmatico riguarda tutta la cultura del digitale. Che l’oggetto del tuo business sia una macchina industriale o un flusso di denaro, il contenuto informativo legato a quell’oggetto acquista sempre più valore. Un valore accessibile con strumenti standard, in piena libertà».

Semplificare la distribuzione dei dati – In tutti i nuovi modelli di trasformazione da prodotto a servizio – «il valore diventa sempre più associato all’arricchimento semantico che il produttore è in grado di fornire sulla base della sua esperienza, in molti casi grazie alla capacità di aggregare enormi volumi di dati». E questo – avverte ancora Obino – può valere per i prodotti fisici come per quelli bancari. La componente di virtualizzazione aiuta a raccogliere queste informazioni, tracciandone esclusivamente la logica interna, senza doversi preoccupare di aspetti tecnici o fisici imposti dalle piattaforme su cui i dati risiedono. È come liberare un’energia nascosta e trasformarla in uno strato aggiuntivo di valore, da riutilizzare al proprio interno o mettere a disposizione dei clienti esterni. «Nel mondo bancario, abbiamo esempi di uso della virtualizzazione Denodo per affrontare il problema della compliance rispetto a regolamenti come il GDPR, dove una visione efficace delle relazioni tra le informazioni può fare la differenza» – conclude Obino.

Sicurezza risk-adaptive

Come assicurare adeguati livelli di protezione ai futuri servizi dell’open banking senza imporre regole statiche e complicate

L’opportunità di immaginare servizi di tipo cooperativo in una logica di condivisione delle informazioni pone ovviamente significative sfide sul piano della sicurezza. Ma anche, dal punto di vista parallelo della semplificazione – come spiega Luca Nilo Livrieri, sales engineering manager di Forcepoint Italy & Iberia durante la tavola rotonda virtuale di Data Manager sull’open banking. «Semplicità e cybersecurity devono essere congruenti, si devono incontrare se non si vuole che le misure di sicurezza entrino in diretto conflitto con la apertura voluta dalle direttive europee».

Gestione dinamica del rischio – Forcepoint, con i suoi modelli di sicurezza dinamica e adattativa, insiste molto sull’aspetto dell’interazione tra utenti, dati e applicazioni e risorse aziendali, in un’ottica di semplicità rivolta proprio a salvaguardare la fluidità dei servizi. Sicurezza che deve però essere garantita da un approccio fondamentalmente zero trust, che diventa sempre più importante in relazione al nuovo paradigma del Secure access service edge: una sorta di perimetro virtuale che avvolge il cloud dei servizi e offre un livello di sicurezza adattativa che non dipende dal punto in cui l’utente (o il cliente) si trova. «L’obiettivo deve essere quello di garantire un accesso sicuro che non è più solo customer centric, bensì user centric e data driven, con logiche dipendenti dal comportamento dell’utente». Un’altra criticità riguarda, secondo Livrieri, il tema degli attacchi basati sul furto o l’abuso di credenziali da parte di clienti, partner autenticati o utenti “insider”. «Essendo i servizi dell’open banking basati sull’esposizione di API – afferma il responsabile tecnico commerciale di Forcepoint – l’aspetto della puntuale verifica delle credenziali che consentono di accedere a queste risorse è assolutamente centrale». Gli accessi devono essere controllati non solo in relazione a identità che possono risultare compromesse, ma anche su un piano più comportamentale. «Pensiamo, per esempio, alla creazione di processi non autorizzati da parte di utenti interni, rilevabili con strumenti di tipo adattativo e intelligente».

Vecchie e nuove minacce – Il successo dell’open banking, soprattutto in campo B2B, dipenderà anche dal livello di fiducia che sarà possibile generare intorno a queste nuove opportunità. Senza dimenticare che le minacce “nuove” non scacciano mai quelle “vecchie” – afferma Livrieri, citando uno studio che Forcepoint ha appena elaborato sulla base dei dati raccolti nei primi mesi dell’emergenza Covid-19 attraverso due soluzioni di cybersecurity che potremmo definire convenzionali, Cloud Web Security e Cloud Email Security. «Nei tre mesi che vanno dal 20 gennaio al 20 aprile, rilevano le analisi di Forcepoint, il numero di siti web dedicati alla pandemia “per scopi legittimi e illegittimi” è praticamente esploso. Quanto alla posta elettronica, il numero di messaggi sospetti contenenti link verso questi siti ha raggiunto, partendo da livelli trascurabili, picchi di mezzo milione di messaggi bloccati quotidianamente. Solo per il buon vecchio phishing si parla di aumenti oltre i 350 punti percentuali».