La privacy e la gestione dei dati personali sono un problema comune a qualunque realtà mentre la gestione dei pagamenti e la gestione delle transazioni sono aspetti che riguardano più direttamente tutte le realtà produttive. Il GDPR e il PSD2 sono, per le aziende, le due direttive per le aziende, anche quelle di dimensioni più contenute, soprattutto nel primo caso.
Il controllo delle informazioni – della privacy in buona sostanza – deve ora andare di pari passo con una flessibilità elevata per consentire il pagamento attraverso una quantità di canali che fino a poco fa non si poteva nemmeno immaginare.
Questa volta però l’Italia parte da una posizione di vantaggio in quanto la normativa vigente non è in contrapposizione con il nuovo regolamento e, soprattutto, da anni è ormai in vigore con caratteristiche molto stringenti ma che non hanno limitato la possibilità di erogare servizi tramite l’utilizzo di carte dotate di chip integrato. Questo vantaggio però non è sfruttato completamente e oltre i ¾ delle aziende italiane si dichiara non pronto a rispettare i requisiti imposti dal GDPR.

privacy button

 

La digitalizzazione che comporta una gestione “smart” dei processi richiede inevitabilmente tutela e sicurezza dei dati e questi sono solamente due degli aspetti che GDPR e PSD2 andranno a toccare perché tutto quello che è smart non può essere incontrollato. Questo, secondo gli esperti di RSA, porterà ad avere un indicatore della salute delle realtà produttive. Certo è che si tratta di un aspetto interessante ma, dal punto di vista del controllo e della gestione, molto impegnativo, perché fino ad oggi il legislatore ha di volta in volta imposto nuove leggi e regolamenti per tenere sotto controllo una realtà che non aveva gli strumenti per verificare l’applicazione e il rispetto delle stesse leggi.

Sul fronte privacy è decisamente chiaro che il rischio si “limita” alla resa pubblica di informazioni che dovrebbero essere invece riservate ma il PSD2 vuole diventare un campanello per il mondo del banking da sempre restio al cambiamento cercando di convincere ad accettare nuove sfide e uscire allo scoperto per affrontare la realtà in continuo cambiamento.
L’analisi del rischio e delle compliance, lo sviluppo di controlli e processi adeguati, l’implementazione di strumenti di detection, di analisi degli incidenti e il piano di risposta sono probabilmente i punti cardine del metodo da applicare per affrontare le criticità GDPR.
Rispetto al PSD2 risulta invece fondamentale la scelta di un approccio: l’istituzione finanziaria può scegliere di ridurre il proprio ruolo lasciando ad altri attori una fetta del business possibile e dovrà adeguare comunque i sistemi e i processi affinché abilitino le possibilità di aggancio ai servizi richiesti e forniti da terzi; oppure potrà costituirsi come attore di piattaforma, come hub, disponendo di un marketplace di API per i propri servizi e per i terzi, e proponendo tra le altre disponibili esterne anche una propria soluzione.

I processi più urgenti per farsi trovare pronti (l’appuntamento PSD2 è per gennaio 2018 mentre quello GDPR sarà a metà del 2018) avranno rappresentato anche una palestra di metodo. Chi avrà saputo cavalcare l’opportunità si ritroverà con un’azienda più agile e meglio organizzata.