Direttiva PSD2: a che punto siamo con l’attuazione e cosa resta da fare

Con la seconda direttiva europea sui servizi di pagamento, PSD2 (Payment Services Directive), il mercato bancario si è aperto allo sviluppo di nuovi modelli commerciali e di relazione nell’ambito dei quali si innestano servizi innovativi che sfruttano le infrastrutture e i sistemi esistenti. Vengono inoltre rafforzate le misure di sicurezza nell’ambito dei servizi di pagamento online, grazie all’introduzione di nuove modalità di autenticazione del cliente (SCA) e autorizzazione dei pagamenti online.

Sono mesi in cui il mercato si prepara alla piena attuazione della direttiva, prorogata al 30 dicembre 2020 (termine ultimo di adeguamento delle banche).

E’ un buon momento per fare un punto su quello che c’è da sapere riguardo l’attuazione della direttiva e i nodi da sciogliere in tema di equilibrio della regolamentazione e di cooperazione e competizione delle banche con il mondo Fintech.

Cos’è la PSD2

La PSD2 (Payment Services Directive) è la seconda direttiva sui servizi di pagamento^[1] che, entrata in vigore nell’Unione Europea il 13 gennaio 2016, con termine di recepimento negli Stati Membri due anni dopo, si inserisce nell’ambito degli interventi di modernizzazione del quadro legislativo del mercato europeo dei pagamenti al dettaglio, volti a sviluppare sistemi di pagamento elettronico sicuri, efficienti, competitivi ed innovativi per consumatori, imprese ed esercenti.

Gli ambiti di maggiore novità della PSD2 rispetto alla prima direttiva sui servizi di pagamento (PSD1) sono relativi alle nuove procedure di sicurezza per l’accesso al conto online ed i pagamenti elettronici e ai nuovi servizi di pagamento offerti nell’area dell’e-commerce e dello shopping online dalle banche e da nuovi operatori di mercato.

Il 13 gennaio 2018 è stato pubblicato sulla Gazzetta ufficiale il D. lgs. 15 dicembre 2017, n. 218 di attuazione della PSD2 e di adeguamento delle disposizioni interne al Regolamento (UE) n. 751/2015 sulle commissioni interbancarie sulle operazioni di pagamento basate su carta (Interchange Fees Regulation – IFR), entrato in vigore il giorno stesso^[2].

La PSD2 demanda all’Autorità Bancaria Europea (European Banking Authority – EBA) la definizione di un ampio corpus di normativa secondaria (norme tecniche di regolamentazione o Regulatory Technical Standards – RTS, norme tecniche di implementazione o Implementing Technical Standards – ITS, orientamenti o Guidelines), tra i quali ha rilievo in particolare il Regolamento delegato (UE) 2018/389 della Commissione del 27 novembre 2017 (di seguito, Regolamento), pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 13 marzo 2018, che integra la PSD2 con riferimento alle norme tecniche di regolamentazione in materia di autenticazione forte del cliente (Strong Customer Authentication – SCA) e di standard aperti di comunicazione comuni e sicuri (Common Secure Communication – CSC) tra prestatori di servizi di pagamento di radicamento del conto (Account Servicing Payment Service Providers – ASPSP) e prestatori che offrono servizi di disposizione di ordine di pagamento (Payment Initiation Service Providers – PISP), servizi di informazione sui conti (Account Information Service Providers – AISP) e servizi di pagamento che emettono strumenti di pagamento basati su carta (Card Issuer Service Providers – CISP).

Il Regolamento è entrato in vigore il 14 marzo 2018 e ha trovato applicazione il 14 settembre 2019. In esso sono specificati e dettagliati:

• i requisiti dell’autenticazione forte del cliente;
• le esenzioni dall’applicazione dell’autenticazione forte sulla base del livello del rischio connesso al servizio prestato, dell’importo e/o della frequenza dell’operazione, del canale di pagamento;
• i requisiti di riservatezza e integrità delle credenziali di sicurezza personalizzate;
• i requisiti di standard aperti di comunicazione comuni e sicuri ai fini dell’identificazione, dell’autenticazione, della notifica e della trasmissione di informazioni, nonché dell’attuazione delle misure di sicurezza, tra i diversi prestatori di servizi di pagamento coinvolti (cioè ASPSP, PISP, AISP, CISP).

Le principali novità introdotte dalla PSD2

La prima novità risiede nell’offerta di nuovi servizi di pagamento, regolamentati dalla PSD2:

• servizi di disposizione di ordini di pagamento online (Payment Initiation Services – PIS) che consentono di avviare un pagamento online tramite un prestatore di servizi di pagamento diverso da quello presso il quale si detiene il conto,
• servizi di informazione sui conti di pagamento online (Account Information Services – AIS) in base ai quali si possono ottenere informazioni aggregate su uno o più conti online detenuti anche presso istituti diversi
• servizi di conferma disponibilità fondi previsti nel caso di pagamenti effettuati con carte di debito emesse da un operatore diverso rispetto a quello presso il quale si detiene il conto (cioè il CISP).

Nuovi operatori regolamentati – PISP/AISP/CISP – forniscono quindi servizi su porzioni della catena di pagamento, accedendo a informazioni sui conti online dei clienti. I prestatori di servizi di pagamento di radicamento del conto devono rendere tali informazioni accessibili mediante interfacce dedicate (c.d. Application Programming Interface – API) oppure tramite l’interfaccia in uso da parte dell’utente opportunamente modificata, come previsto dal Regolamento.

La comunicazione tra le parti

La seconda novità riguarda il rafforzamento delle misure di sicurezza nell’ambito dei servizi di pagamento online. Per rendere le transazioni online più sicure, aumentando la fiducia dei clienti e stimolarne quindi l’utilizzo, anche a fronte dell’introduzione di nuovi servizi e nuovi soggetti, è stata ritenuta necessaria la predisposizione di maggiori presidi di sicurezza. Per questo, dal 14 settembre 2019 sono state introdotte nuove modalità di autenticazione del cliente (SCA) e autorizzazione dei pagamenti online.

In pratica, la PSD2 introduce l’obbligo per le banche e per gli altri prestatori di servizi di pagamento di implementare sistemi di autenticazione a due o più fattori di diverso tipo. Username e password da sole non sono più sufficienti per l’accesso ai conti online o per eseguire un pagamento e devono quindi essere affiancate almeno da un ulteriore elemento di autenticazione di diverso tipo, come ad esempio l’impronta digitale o l’utilizzo di un device personale come lo smartphone. Inoltre, per le transazioni a distanza si aggiunge un ulteriore codice univoco che collega dinamicamente importo e beneficiario. La sfida per gli operatori è garantire ai pagamenti digitali questo livello di sicurezza superiore senza compromettere la facilità d’uso per l’utente.

I fattori di sicurezza nell’autenticazione forte

Il titolare del conto per accedere al conto online o effettuare un pagamento tramite carta o bonifico deve usare almeno due tra i tre fattori di sicurezza previsti dal Regolamento.

A che punto siamo?

Il 14 settembre 2019 è stata una data fondamentale per la PSD2: la data di applicazione del Regolamento e, quindi, di piena attuazione della direttiva. A livello nazionale, tutti i prestatori di servizi di pagamento nel corso del 2019 sono stati impegnati a conformarsi alle nuove regole previste dalla PSD2 entro il 14 settembre scorso seguendo le istruzioni emanate nel corso del tempo dalla Banca d’Italia, la nostra Autorità centrale competente (National Competent Authority – NCA).

Per quanto concerne i nuovi servizi disciplinati dalla PSD2 e la relativa comunicazione sicura tra ASPSP da una parte e PISP/AISP/CISP dall’altra, il mondo bancario italiano ha condotto un notevole sforzo di coordinamento convergendo su poche soluzioni di natura cooperativa per lo sviluppo delle interfacce dedicate tramite API. Rispetto ad altri paesi europei pertanto l’Italia risulta tra quelli che maggiormente agevolano l’interazione tra le diverse tipologie di prestatori di servizi di pagamento.

Per quanto riguarda la SCA, con specifico riferimento ai pagamenti con carta, gli operatori – sia a livello nazionale sia a livello europeo – hanno segnalato alle Autorità difficoltà nell’individuazione e nell’implementazione nei tempi previsti di adeguati fattori di sicurezza in particolare per i pagamenti remoti con carta. Pertanto, le Autorità europee (EBA e Commissione europea), prendendo atto delle difficoltà segnalate dagli operatori, incluse quelle riguardanti la realizzazione delle procedure idonee all’uso della SCA da parte degli esercenti online, hanno deciso di concedere un periodo di tempo aggiuntivo, per le sole transazioni online con carta, per l’adozione dei nuovi sistemi. Ciò al fine di evitare rallentamenti nello sviluppo del commercio online.

La Banca d’Italia ha confermato l’adozione a livello nazionale di questo margine di flessibilità concesso dall’EBA, la quale ha fissato il 31 dicembre 2020 come termine ultimo entro il quale tutti gli operatori a livello europeo dovranno aver completato il pieno adeguamento ai requisiti di SCA per le operazioni online con carta. Gli operatori interessati sono quindi ora alle prese con la predisposizione dei piani di attività da presentare alla NCA, che dovranno essere completati al massimo entro il 31 dicembre 2020 ed includere anche iniziative di comunicazione e di preparazione della clientela.

Proprio con riferimento alle iniziative di comunicazione, anche in considerazione degli auspici espressi dalle Autorità europee di favorire l’informazione sulle novità introdotte dalla PSD2, nell’ambito del progetto “Trasparenza semplice” dell’ABI, banche e Associazioni dei consumatori facenti parte del Consiglio Nazionale dei Consumatori e degli Utenti (CNCU) aderenti all’iniziativa hanno realizzato una apposita infografica dal titolo “Come cambiano i pagamenti online con la PSD2”, con l’obiettivo di rappresentare in modo semplice gli aspetti di principale interesse per i consumatori, quali l’adozione della SCA ed i nuovi servizi regolamentati dalla PSD2, disponibile sul sito internet dell’ABI^[3] e diramata attraverso i canali di comunicazione delle Associazioni dei consumatori.

Inoltre, l’ABI, in collaborazione con alcune associazioni di categoria degli esercenti, ha recentemente finalizzato una ulteriore infografica sulla PSD2, indirizzata agli esercenti e mirata a rappresentare in modo semplice gli aspetti di principale interesse per questi ultimi (in particolare, la SCA e i servizi dispositivi). Anche queste infografica è resa disponibile sul sito internet dell’ABI^[4] e tramite i canali di comunicazione delle associazioni di categoria degli esercenti che hanno collaborato al progetto.

Cosa ci si attende per il futuro?

Il lavoro di costruzione delle API non si è esaurito con l’attuazione della PSD2 il 14 settembre 2019, ma ci si attende un continuo aggiornamento con lo sviluppo di nuove funzionalità. A tal fine occorre realizzare uno scenario competitivo che dia impulso all’innovazione ma è fondamentale anche stimolare la ricerca di soluzioni di mercato coordinate in tutti i settori.

Il nuovo quadro normativo apre nuove opportunità alle banche, offrendo l’occasione di ripensare i modelli commerciali e di aggiungere nuove aree di offerta. La banca può infatti proporsi a sua volta come fornitore dei nuovi servizi e offrire servizi di aggregazione a utenti che detengono conti in altre banche, sia nel campo della tesoreria e del cash pooling per le imprese, sia nel campo dei pagamenti al dettaglio, contendendo questo nuovo spazio di mercato. O, ancora, può utilizzare la tecnologia oggi disponibile per progettare e offrire servizi innovativi e personalizzati, aggregando dati provenienti anche da fonti non bancarie e interconnettendo in tempo reale operatori di altri settori, anche in un quadro di accordi e relazioni con altri partner.

Il mercato si sta muovendo verso la cosiddetta “economia aperta dei dati”, il cui elemento caratterizzante sarà proprio il valore insito nei dati stessi che potranno essere scambiati a livello cross-settoriale, con le dovute accortezze in termini di consenso informato. La Commissione europea mostra un’attenzione crescente all’uso e all’accesso ai dati. Alcune iniziative sono state già intraprese nel 2018 (cfr. Comunicazione della CE «Verso uno spazio comune europeo dei dati»), sono stati creati appositi gruppi di lavoro in materia, e l’open banking/open finance/open data strategy figurano tra le priorità del prossimo futuro.

Pensando al futuro, un altro tema importante è quello della cooperazione e della competizione delle banche con il mondo Fintech. Secondo l’ultimo Rapporto ABI Lab (2019) oltre il 60% delle banche in Italia ha già avviato iniziative in collaborazione con le Fintech. Questo perché sono molte le aree di complementarietà. Le Fintech hanno processi più rapidi, soluzioni tecnologiche, velocità di reazione al mercato e flessibilità. Le banche hanno capitali, informazioni, clientela, cultura nella gestione delle regole e dei rischi. Ci sono quindi i margini per una collaborazione efficiente. Certamente ci sono anche aree di competizione. Ma ciò che è necessario è che “le regole siano uguali per tutti”, un principio valido per quanto riguarda la competizione sia con gli operatori più piccoli sia con i più imponenti GAFA (Google, Apple, Facebook, Amazon).

Su questo fronte c’è ancora strada da fare. Il quadro regolatorio deve essere chiaro e garantire parità di condizioni. Servono norme commisurate non al soggetto ma all’attività svolta, secondo il principio “stesso rischio, stessa regola”. Si deve mirare ad un giusto equilibrio di regole che garantisca un “piano di gioco livellato” senza per questo bloccare ma, al contrario, rilanciando l’innovazione.

___________________________________________________________________

1. Direttiva UE 2015/2366 che abroga la direttiva 2007/64/CE (PSD1). ↑
2. L’attuazione della PSD2 e del Regolamento IFR nel nostro ordinamento è realizzata attraverso interventi normativi sui seguenti provvedimenti legislativi: a) D. lgs. 1°settembre 1993, n. 385 (Testo unico bancario – TUB); b) D. lgs. 27 gennaio 2010, n. 11, recante attuazione della PSD1; c) D. lgs. 18 agosto 2015, n. 135, recante attuazione dell’articolo 11 del Regolamento (UE) n. 260/2012 del 14 marzo 2012 che stabilisce i requisiti tecnici e commerciali per i bonifici e gli addebiti diretti in euro (c.d. Regolamento SEPA) e disposizioni sanzionatorie per le violazioni del Regolamento (CE) n. 924/2009 relativo ai pagamenti transfrontalieri nella Comunità. ↑
3. https://www.abi.it/DOC_Mercati/Trasparenza/Trasparenza-semplice/Progetto%20trasparenza%20semplice/INFOGRAFICA%20PSD2-cliente.pdf ↑
4. https://www.abi.it/DOC_Mercati/Sistemipagamento/Direttiva-europea-sui-servizi-di-pagamento/Direttiva-europea-sui-servizi-di-pagamento/08_Infografica%20sulla%20PSD2%20per%20gli%20esercenti.pdf ↑