Banca d’Italia in un nuovo report pubblicato pochi giorni ha affrontato la tematica dell’evoluzione dell’open banking evidenziando le criticità legate alle infrastrutture, all’innovazione ed alla sicurezza.
Il dibattito si è incentrato in particolare sul ruolo svolto dalle terze parti nei servizi di pagamento analizzando l’impatto sui dati personali degli utenti e sulla sicurezza informatica dei sistemi.
La direttiva PSD2
La Direttiva PSD2, è una normativa europea, la quale ha regolamentato i servizi di pagamento all’interno dell’Unione Europea. La direttiva ha previsto l’accesso dei fornitori di terze parti ai dati bancari dei clienti; tuttavia, tale operazione compiuta da questi soggetti comporta anche alcuni rischi in termini di sicurezza informatica, che devono essere attentamente gestiti per proteggere i dati dei clienti
Ad oggi, nei servizi di open banking, tutti gli operatori di settore hanno cercato di superare i rischi di natura informatica ricorrendo a strumenti tecnologici quali le Application Programming Interface (API) e l’autenticazione tokenizzata. L’introduzione di questi nuovi strumenti ha mitigato di fatto i limiti di natura informatica e tecnica migliorando anche l’equilibrio delle responsabilità nei confronti dei clienti (ad esempio, la previsione di modelli di autenticazione crittografata libera le terze parti dalle problematiche di gestione degli account e della gestione delle credenziali degli utenti).
Digital Banking: tutti i dati del 2022 e cosa aspettarsi per il futuro
L’introduzione dei nuovi servizi di pagamento ha implicato la modifica delle condizioni normative, tecniche ed economiche che regolavano le relazioni tra gli elementi della catena dei pagamenti richiedendo misure atte a garantire la sostenibilità dell’equilibrio globale del sistema.
Banca d’Italia nella sua ultima pubblicazione sul tema indica tre direzioni verso cui queste misure devono essere volte, pertanto è necessario: i) definire un quadro normativo chiaro per tutti i soggetti coinvolti nella prestazione dei servizi di pagamento, ii) promuovere standard di mercato e sedi di confronto stabili tra le parti interessate, iii) adeguare le modalità di monitoraggio e svolgere attività di supervisione da parte delle Autorità di controllo, in modo da essere sempre aggiornati sui nuovi rischi e/o vulnerabilità.
I principali rischi
La direttiva PSD2 definendo il nuovo quadro non entra però nel merito dei rischi che si possono presentare nella gestione dei dati degli utenti da parte dei terzi soggetti nell’ambito dei servizi in questione.
Il principale rischio associato all’accesso dei dati bancari da parte dei terzi soggetti riguarda la sicurezza informatica dei dati dei clienti. L’accesso ai dati bancari, abbiamo detto, viene effettuato principalmente attraverso API sicure e standardizzate, ma non tutte le terze parti potrebbero avere le risorse o le competenze tecniche per garantire l’utilizzo di API sicure rispettando determinati standard. Pertanto, utilizzando strumenti non adatti, si potrebbe compromettere la sicurezza dei dati e la privacy dei clienti in quanto potrebbero essere esposti a vulnerabilità ed attacchi informatici.
Inoltre, l’accesso ai dati bancari da parte dei fornitori terzi potrebbe creare anche problemi di responsabilità; poiché, di norma nel caso di operazioni svolte con l’intermediazione della terza parte l’onere della corretta esecuzione dell’operazione grava sull’istituto bancario e non in capo al terzo soggetto. Questo potrebbe creare difficoltà nell’attribuzione delle responsabilità in caso di frodi o di attacchi informatici.
Un altro rischio associato all’accesso dei dati bancari riguarda poi la gestione dei consensi dei clienti per l’accesso ai dati bancari. In tal caso, il legislatore, con la PSD2, ha adottato un approccio c.d. “prescrittivo”; in breve, ha imposto agli istituti bancari di condividere i dati dei clienti – previo espresso consenso del cliente – solo con quei terzi attori debitamente autorizzati dalle autorità nazionali.
Al fine di mitigare questi rischi, le banche monitorano attentamente l’accesso ai dati bancari dei clienti da parte dei terzi soggetti, per garantire che detto accesso venga effettuato solo con il consenso dei clienti; inoltre, gli intermediari attivano costantemente campagne di educazione per la clientela sui rischi associati alla condivisione dei dati bancari con terze parti non autorizzate.
La PSD2 e il GDPR
Il tema dell’utilizzo/sfruttamento dei dati personali va analizzato anche in relazione alle interconnessioni tra la normativa sui servizi di pagamento e la regolamentazione privacy. La PSD2 stabilisce che i dati raccolti durante la prestazione dei servizi di pagamento non possono essere impiegati da terze parti per scopi diversi da quelli necessari al fine di garantire tali servizi. Quindi, è fondamentale che gli intermediari acquisiscano correttamente il consenso del cliente finale, distinguendo tra quelli richiesti dalla PSD2 per consentire agli intermediari che offrono servizi di pagamento di accedere ai dati dell’utente e quelli necessari ai sensi del GDPR per permettere la divulgazione delle informazioni estratte o il loro utilizzo per scopi diversi da quelli del servizio di pagamento, ad esempio per la cessione alle c.d. “quarte parti”.
Il tema è da tempo all’attenzione della comunità nazionale e internazionale. In particolare, rilevano le linee guida EDPB che forniscono indicazioni sull’applicazione del GDPR a tali nuovi servizi di pagamento, affrontando alcune questioni di intersezione con la normativa settoriale relative al trattamento di categorie particolari di dati e ai consensi richiesti al cliente finale.
Conclusioni
Per concludere, l’open banking rappresenta un paradigma introdotto recentemente nel mercato europeo ed italiano che pone diversi punti di attenzione per la vigilanza bancaria e finanziaria. È fondamentale per le autorità di vigilanza seguire l’evoluzione del fenomeno per meglio comprendere e mitigare i rischi che esso comporta. Dovremmo tenere in considerazione l’ipotesi di una crescita esponenziale futura di questi servizi, insieme alle già complesse nuove interconnessioni che sono state stabilite tra gli intermediari finanziari nonché tra questi ultimi e gli altri operatori non soggetti a vigilanza. L’ampliamento delle esposizioni a minacce tecnologiche potrebbe essere più che proporzionale, rivelando una componente sistemica, legata alle crescenti interazioni tra gli operatori coinvolti.
Ciò detto, finora non sono emerse particolari criticità per il settore; tuttavia, la tutela della clientela sarà influenzata non solo dalle modalità innovative con cui verranno offerti i servizi di pagamento e finanziari, ma anche dall’affermarsi di politiche commerciali e di modelli di business basati sulla convivenza di molteplici operatori che collaborano per la definizione e l’offerta dei nuovi servizi.
