Domande frequenti
I cinque Pillar della PSD2
La Seconda Direttiva sui Servizi di Pagamento (PSD 2, Direttiva (UE) 2015/2366) è una Direttiva dell’Unione Europea, che aggiorna la Direttiva sui Servizi di Pagamento (PSD, Direttiva (UE) 2007/64/EC) amministrata dalla Commissione Europea (Direzione Generale del Mercato Interno) per regolare i servizi di pagamento e i prestatori di servizi di pagamento nell’Unione Europea (UE) e nell’Area Economica Europea (EEA).
La PSD2 ha lo scopo di promuovere l’innovazione e lo sviluppo di un mercato interno dei servizi di pagamento efficiente, sicuro e competitivo, che accresca la protezione dell’utente dei servizi di pagamento e la sicurezza dei servizi di pagamento elettronici.
La PSD2 crea delle nuove tipologie di servizi, prestati da Terze Parti, nel mercato dei servizi di pagamento: Servizi di Disposizione di Ordine di Pagamento, Servizi di Informazione sui Conti e Servizio di Conferma di Disponibilità di Fondi.
I consumatori avranno la possibilità di accedere a nuovi servizi di pagamento offerti da Terze Parti, che permetteranno loro di disporre ordini di pagamento, recepire informazioni sui propri conti bancari e utilizzare nuovi strumenti di pagamento in maniera più innovativa.
La sicurezza dei clienti rappresenta uno dei pilastri della Direttiva PSD2. Per proteggere i clienti, il Regolatore ha previsto che l’utente di servizi di pagamento possa scegliere quali Terze Parti autorizzare ad accedere ai propri conti e che gli accessi siano effettuati avvalendosi di meccanismi di autenticazione forte (Strong Customer Authentication).
Cedacri Developer Portal: come funziona!
È il Portale Cedacri dedicato al Gateway PSD2, dove puoi accedere alla documentazione e testare le API che abbiamo sviluppato. Attraverso la pubblicazione del Portale vogliamo permettere alle Terze Parti di integrare le loro applicazioni con le nostre funzionalità di Gateway PSD2.
Le nostre API PSD2 sono sviluppate seguendo lo standard NextGenPSD2 XS2, implementato dal Berlin Group. Qui
puoi trovare più informazioni sull'iniziativa del Berlin Group. All’interno della documentazione tecnica, reperibile qui
, puoi trovare la versione di riferimento del Berlin Group per ognuna delle versioni delle API PSD2 che mettiamo a disposizione.
Per accedere ai dati dei test devi effettuare la registrazione al Cedacri Developer Portal. Una volta registrato otterrai il pieno accesso alla nostra documentazione.
Puoi trovare il catalogo completo delle API PSD2 disponibili e tutte le informazioni relative nella documentazione reperibile qui
Al momento puoi accedere soltanto all’ambiente di test (SANDBOX). Devi semplicemente seguire la guida presente nel documento Procedura Tpp Onboarding
Puoi trovare nella nostra documentazione tecnica, reperibile qui
, la lista completa delle Banche a cui puoi accedere tramite le nostre API PSD2.
Puoi trovare qui
tutta la documentazione tecnica di dettaglio con, per ogni specifica versione delle nostre API PSD2, i riferimenti ai singoli campi gestiti delle specifiche definite dal Berlin Group.
Con congruo anticipo, pubblicheremo in un banner informativo all’interno dell’Home Page del Developer Portal, le informazioni relative ad interventi di manutenzione programmata sulle API PSD2.
Le informazioni sulle versioni delle API PSD2 disponibili, sono reperibili nella sezione Documentazione accessibile qui
.
Eventuali altre variazioni sul servizio saranno comunicate ai TTP tramite l'indirizzo di posta utilizzato in fase di registrazione negli ambienti di Produzione o SANDBOX.
Eventuali altre variazioni sul servizio saranno comunicate ai TTP tramite l'indirizzo di posta utilizzato in fase di registrazione negli ambienti di Produzione o SANDBOX.
Come da normativa consultabile qui
, le versioni precedenti verranno dismesse entro il periodo indicato a partire dall’avvenuta comunicazione alla TPP tramite mail della disponibilità della nuova versione API PSD2.
TPP AUTHENTICATION
Per ottenere le credenziali è sufficiente seguire la guida presente nel documento Procedura Tpp Onboarding
Si potrà eseguire la login solo dopo che avremo abilitato l'utenza a seguito della verifica dei dati aggiuntivi che vi verranno richiesti via mail, come indicato nello step 5 della guida presente nel documento Procedura Tpp Onboarding
. L'abilitazione dell'utenza verrà comunicata via mail all'indirizzo di posta uilizzato in fase di registrazione.
. L'abilitazione dell'utenza verrà comunicata via mail all'indirizzo di posta uilizzato in fase di registrazione.
Nel caso in cui riceviate il messaggio indicato, per completare il processo di registrazione in ambiente di produzione, è necessario:
- Fornirci il GURN del certificato, la data e l’orario della chiamata andata in errore
- In alternativa, fornirci direttamente il certificato pubblico, contattandoci all'indirizzo psd2@cedacri.it
Nel caso in cui riceviate il messaggio indicato, per completare il processo di registrazione in ambiente di produzione, è necessario fornirci, contattandoci all'indirizzo psd2@cedacri.it
, il certificato pubblico, la data e l’orario della chiamata andata in errore.
Sì. Al momento puoi accedere soltanto all’ambiente di test (SANDBOX). Devi semplicemente seguire la guida presente nel documento Procedura Tpp Onboarding
Se non cambia il Global Unique Reference Number (GURN) del certificato QWAC, l'operazione non ha impatti lato Cedacri e potete effettuare la sostituzione quando lo ritenete opportuno.
L'unico controllo da effettuare è che il certificato di root non cambi. In caso contrario, vi preghiamo di contattarci all’indirizzo psd2@cedacri.it
, per consentirci di verificare se il certificato di root è supportato dalla nostra infrastruttura e nel caso censirlo.
Se cambia il GURN, è necessario ripetere la procedura di registrazione presente nel documento Procedura Tpp Onboarding
Sì, effettuando l'onboarding con il nuovo certificato sarà comunque possibile utilizzare i consensi ancora validi impiegando il vecchio certificato ed i clientId e clientSecret ottenuti con l'onboarding effettuato in precedenza.
API
Si tratta della versione dell’API PSD2 pubblicate da Cedacri. Nella documentazione tecnica di ogni specifica versione Cedacri, reperibile qui
, è riportata la versione Berlin Group a cui fa riferimento.
Sì, le nostre API consentono di operare sia su account corporate che privati, negli scope AIS e PIS.
Sì, non vi è limite al numero di access token validi per ciascun utente. Se doveste autorizzare un secondo token, il primo rimarrebbe comunque valido.
LIVE: La durata degli access token dipende dallo scope a cui sono associati:
- per lo scope AISP la durata è di 180 giorni
- per lo scope PISP la durata è di 180 giorni
- per lo scope CISP la durata è illimitata
SANDBOX: La durata degli access token dipende dallo scope a cui sono associati:
- per lo scope AISP la durata è di 180 giorni
- per lo scope PISP la durata è di 180 giorni
- per lo scope CISP la durata è illimitata
- per lo scope AISP la durata è di 180 giorni
- per lo scope PISP la durata è di 180 giorni
- per lo scope CISP la durata è illimitata
SANDBOX: La durata degli access token dipende dallo scope a cui sono associati:
- per lo scope AISP la durata è di 180 giorni
- per lo scope PISP la durata è di 180 giorni
- per lo scope CISP la durata è illimitata
Chiamando una qualsiasi API con un access token scaduto, si riceverà in risposta un 401 Unauthorized e nel response body il link per inizializzare il procedimento per la validazione dell'access token.
Il protocollo che utilizziamo nelle nostre API è l’OAuth2 (Authorization Code Grant flow). L’utente deve effettuare il login su una pagina Cedacri dedicata, mostrata durante le procedure previste dall’OAuth2, come richiesto dall’Autenticazione Redirect OAuth2.
Il campo transactionStatus riporta lo stato corrente in cui si trova il pagamento. In particolare:
- RCVD - La richiesta di pagamento è stata ricevuta dall'ASPSP
- ACTC - La richiesta di pagamento è stata convalidata sintatticamente e semanticamentica dall'ASPSP (si tratta dello stato in cui si trova il pagamento prima della SCA dispositiva)
- ACSP - E' stata eseguita la SCA dispositiva da parte del PSU
- ACSC - La transazione è stata completata sul conto del debitore
- ACCC - La transazione è stata completata sul conto del creditore
- RJCT - La transazione è stata respinta
- CANC - Il pagamento è stato cancellato dal PSU (valido solo per pagamenti periodici e futuri)
TROUBLESHOOTING
Con un consenso AISP valido e solo nel caso di chiamate offline (non generate esplicitamente dai PSU), è consentito il recupero di transazioni con data fino a 90 giorni precedente la data del giorno in cui viene effettuata la richiesta.
No, l'attuale implementazione dello standard PSD2 non permette di generare un access token legato a scope differenti.
Sì, l'operazione può essere eseguita utilizzando l'API Updated a TPP registration (PUT /tpp/{uuid}) descritta nella documentazione reperibile qui
.
Sì, l'operazione può essere eseguita utilizzando l'API Updated a TPP registration (PUT /tpp/{uuid}) descritta nella documentazione reperibile qui
.
Il paymentId restituito è un identificativo associato al pagamento ma non corrisponde al numero di CRO.
Le specifiche Cedacri dell’API payments, consentono di indicare la data desiderata in cui effettuare il pagamento attraverso il campo requestedExecutionDate, non è invece supportato il campo requestedExecutionTime. Per questo motivo i pagamenti con data futura vengono eseguiti nella data richiesta ma ad un’orario fisso, corrispondente alle 06:30 della timezone ‘Europe/Rome’ (UTC+1).
Generalmente l’errore in questione è dovuto all’errata valorizzazione in fase di chiamata del campo redirect_uri nella query string del link di autorizzazione SCA. Il redirect Uri infatti deve corrispondere necessariamente a quello configurato in fase di registrazione o aggiornato successivamente tramite apposita chiamata all'API Updated a TPP registration.