Pubbl. Mer, 27 Lug 2022
Open api, psd2 e il parere tecnico dell´European Banking Authority
In data 23 giugno 2022 l’EBA ha pubblicato un parere e una relazione in risposta alla Call for Advice della Commissione europea sulla revisione della Direttiva (UE) 2015/2366 riguardante i servizi di pagamento (PSD2). Nella sua risposta, l’European banking authority presenta più di duecento proposte che contribuirebbero allo sviluppo del mercato unico dei pagamenti al dettaglio dell’UE e garantirebbero un’applicazione armonizzata e coerente dei requisiti legali in tutta l’UE.
Sommario: 1. Premessa; 2. Opportunità di funzionamento; 3. Il parere tecnico dell’EBA.
1. Premessa
Payment Service Directive, nella sua seconda veste (PSD 2), è la Direttiva europea 2015/2366 relativa ai servizi di pagamento nel mercato interno, entrata in vigore nel gennaio 2016 (abrogando la Direttiva 2007/64/CE - PSD) e recepita dal Parlamento italiano l’11 dicembre 2017[1], la sua attuazione, iniziata nel gennaio 2018, si è completata solamente nel settembre 2019.
Per intenderci, la PSD2 è una disposizione, voluta dall’UE, che pone le fondamenta giuridiche per un mercato unico dei pagamenti in tutta Europa, volto a stabilire servizi di pagamento innovativi e sicuri per gli Stati Membri. La normativa, che regola le attività di nuovi player, i famosi Third Party Provider, ha come obiettivi principali la creazione di un mercato competitivo integrato ed efficiente, che metta al tempo stesso al centro la protezione dei consumatori finali. È opportuno evidenziare, comunque, che la direttiva in esame non definisce, solamente, nuovi schemi, ma rappresenta anche un segmento fondamentale d’innovazione per l’intero settore.
L’oggetto della PSD2 definisce quelli che sono i diversi PSP (IP, IMEL, banche), la trasparenza delle condizioni e i requisiti informativi per i servizi di pagamento ed i rispettivi diritti e obblighi degli utenti, nonché dei prestatori di servizi di pagamento in relazione alla prestazione del servizio.
Ulteriori sezioni, della medesima direttiva, afferiscono agli ambiti di applicazione e alle c.d. esclusioni, come pure alle definizioni (di fondamentale importanza per comprendere i destinatari). Con riferimento ai suddetti prestatori dei servizi di pagamento, la PSD2 rende espliciti diversi assetti: prescindendo da una serie di requisiti in ordine al capitale, in materia tutelare e ad una serie di responsabilità, compaiono anche le autorizzazioni che gli interessati devono ottenere per erogare i servizi di pagamento, le potenziali esenzioni, l’andamento per la trasmissione delle informazioni di pagamento al pagante ed al beneficiario, nonché i dettagli sull’esecuzione delle operazioni.
Grande risalto viene, poi, riconosciuto alla tutela dei dati degli utenti e al riconoscimento che essi devono effettuare per condurre a buon esito determinate transazioni. Questo peculiare focus raffigura uno degli aspetti più importanti di questo aggiornamento della direttiva, come pure uno dei più tormentati.
2. Opportunità di funzionamento
Nella seconda versione della PSD vengono estesi e riqualificati gli intenti della Direttiva 2007/64/Ce del 2007, i quali possono essere sintetizzati in tre aspetti, i primi due intrinsecamente connessi: incrementare la concorrenza nel mercato dei servizi di pagamento, sostenendo l’entrata di nuovi attori dall’esterno: il c.d. nuovo “Level playing field”; realizzare un mercato più integrato e proficuo: il c.d. “Open api”; ed infine, sostenere la sicurezza delle informazioni e dei riferimenti dei consumatori finali: la c.d. “Strong customer authentication”.
Come accennato, il primo riguarda l’ampliamento del “level playing field”, ossia il limite esterno di competizione degli operatori dei digital payments, consentendo l’emersione di strumenti innovativi e assecondando la diffusione di nuovi soggetti, i c.d. TPP (Third Party Payment Services Provider)[2]. Tale fattispecie di players ha, quale scopo ultimo, infatti, quello di rinvigorire l’agone (apportando un più alto rendimento del settore) superando le difficoltà di un mercato talvolta ristagnante. Tuttavia, è opportuno sottolineare come la competizione non sia l’unica via: tali soggetti, sono abilitati, invero, all’adozione di ulteriori strategie in un’orizzonte di cooperazione o coopetizione con i tradizionali player, quali IMEL, banche ed istituti di pagamento.
Nella direzione del secondo obiettivo della direttiva, sarebbe necessario discutere della “apertura” dei conti correnti verso soggetti ulteriori rispetto all’istituto bancario presso il quale è depositato il conto. Per intenderci, la PSD2 stabilisce che gli istituti di credito e banche consentano la visione di informazioni o operazioni di pagamento inviabili dai conti correnti dei loro utenti, dopo aver, chiaramente, ottenuto la loro autorizzazione ad ulteriori tre soggetti che erogano differenti servizi. Ci si riferisce agli AISP (Account Information Service Provider), quei soggetti, cioè, che avrebbero la possibilità di accedere alle informazioni relative al conto dei clienti delle banche ed in grado di studiare l’atteggiamento di spesa dell’utente, oppure mettere insieme i dati raccolti in un’unica piattaforma. I PISP (Payment Initiation Service Provider), invece, avrebbero il permesso a dare ossequio ad ordini di pagamento dal conto dell’utente ed inviare pagamenti on-line o in strutture fisiche. Ed infine, il CISP (Card Issuing Service Provider), i quali consentirebbero all’utente di servirsi di una carta di pagamento di un istituto diverso da quello di appartenenza e che si assocerebbe direttamente sul conto corrente proprio.
L’apertura, o meglio, la condivisione in parola, si verifica mediante le c.d. Open Api, ossia, le API (Application Programming Interface), che le banche mettono a disposizione dei Third Party Payment Services Provider per dar seguito alle attività sopra descritte. Per API si intende un insieme di funzioni e procedure che consentono ad un’applicazione di accedere a funzionalità, dati e/o audience di altri sistemi o servizi digitali. Un’ API raggiungibile da chiunque è detta "aperta" e può essere definita appunto Open API.
I servizi ai quali è consentito l’accesso dalla normativa sono principalmente: l’ Account Information, che consente di aver accesso ai propri conti bancari, mediante applicazioni differenti da quelle bancarie; il Payment Initiation, che consente di disporre un ordine di pagamento dal proprio conto attraverso altre applicazioni ed, infine, il Fund Confirmation, con cui si può verificare l’esistenza di eventuali fondi posti a garanzia dell’importo richiesto per effettuare un pagamento.
Alcuni istituti di credito hanno già provveduto ad accrescere la rosa di funzionalità fruibili, erogando ulteriori API rispetto a quelle congegnate dalla PSD2, catalogabili in cinque categorie: Payment, consentono trasferimenti di denaro da un conto all’altro; Ci si riferisce, poi, alle c.d. Consumer, le quali darebbero la possibilità di identificare un dato cliente; alle Bank, che offrono informazioni sulla dislocazione territoriale degli ATM e delle filiali; alle Finance, ossia, quelle che offrono la possibilità di procurarsi il tasso di cambio valuta in tempo reale o, ancora, di proporre una polizza assicurativa a chi compra un dato prodotto; ed infine alle Business, ovvero, quelle API che informano dettagliatamente sulle transazioni del conto bancario aziendale o, magari, permettono di integrarsi con la blockchain dell’istituto di credito per registrare o ritrovare delle transazioni.
L’ascesa delle API aperte ha, certamente, ampliato il panorama concorrenziale dei servizi finanziari. Il più immediato beneficio per le banche è, senz’altro, quello di poter mettere a disposizione dei propri clienti un’esperienza particolareggiata. Si pensi al caso di BBVA, che dal 2019 ha dato seguito al suo API market[3], un vero e proprio negozio schiuso agli sviluppatori esterni, con potenzialità di accesso alle info dei conti e di sottoporre ad inizializzazione pagamenti e spostamenti di denaro. Nel nostro Paese, invece, la maggior parte delle banche si è approcciata all’Open API con un progetto consorziale il “CBI Globe”, la piattaforma internazionale che semplifica il collegamento tra i PSP di tutta Europa tramite API, consentendo di sviluppare servizi fintech evoluti in risposta alle crescenti esigenze della clientela corporate e retail[4].
Per quanto attiene, infine, al terzo proposito della PSD2, la direttiva pone un forte accento sulla tutela dei dati degli utenti. In questa direzione, è stato sviluppato un modo ulteriore di identificare l’utente che procede ad un pagamento. Dal dicembre 2020 i soggetti coinvolti nell’offerta di servizi di pagamento hanno dovuto attivare necessariamente la Strong Customer Authentication (SCA), vale a dire il riconoscimento “forte” che i consumatori devono eseguire nel qual caso pongano in essere un pagamento con un dispositivo elettronico. Gli elementi che il cliente deve osservare perché il pagamento possa essere realizzato sono almeno due, fra i successivi tre: “Something you know”, ossia quell’elemento che solo il cliente può conoscere (password, PIN, etc.); “Something you have”, dunque, quel qualcosa che solo il cliente possiede (smartphone, token bancario, etc.), e “Something you are”, cioè, qualcosa che esclusivamente il cliente può essere (riconoscimento facciale, impronta digitale). Il dispositivo congegnato, in aggiunta, incrementa la sicurezza dando luogo ad un codice inedito per ogni transazione che viene realizzata, non fondato su una logica squisitamente temporale come per i codici OTP dei token hardware bancari, i quali consentono teoricamente la possibilità di effettuare più di una transazione alla volta fintanto che la OTP sia attiva.
3. Il parere tecnico dell’EBA
Il 23 giugno 2022 l'Autorità bancaria europea (ABE) ha risposto alla richiesta di consulenza della Commissione europea sulla revisione della direttiva afferente ai servizi di pagamento (PSD2)[5]. La risposta dell'ABE assume la forma di un parere e di una relazione, volta ad offrire proposte per contribuire allo sviluppo del mercato dei pagamenti al dettaglio dell'UE.
La PSD2 contiene una clausola di revisione all'art. 108, che richiede alla Commissione di riferire sull'applicazione e l'impatto della direttiva ai colegislatori (il Parlamento europeo e il Consiglio), la Banca centrale europea e il Comitato economico e sociale europeo. A tal proposito, il 20 ottobre 2021 la Commissione ha presentato all'ABE una richiesta di consulenza in merito alla revisione della PSD2. L'obiettivo della richiesta di consulenza è che la Commissione raccolga prove sull'applicazione e l'impatto della PSD2, includendo i vantaggi e le sfide che potrebbero essere sorte, e che l'ABE identifichi le aree in cui potrebbero essere appropriate modifiche alla PSD2.
Segnatamente il progetto dell’EBA punta ad incrementare la concorrenza, agevolare l’innovazione, tutelare i fondi e i dati dei consumatori, caldeggiare l’emersione dei servizi di semplice utilizzo e anticipare l’esclusione dall’accesso ai servizi di pagamento, come pure tutelare un’applicazione coerente ed armonizzata dei requisiti legali in tutta l’Unione.
L’autorità bancaria ha notato come se da un lato alcuni propositi della PSD2 abbiano cominciato a prendere corpo, dall’altro si ravvisano, invece, ancora delle questioni aperte.
I cambiamenti proposti riguarderebbero: la possibile “fusione” della Direttiva sulla moneta elettronica e la PSD2; il chiarimento dell’estensione dell’autenticazione forte dell’utente (SCA) e le transazioni coinvolte; il contrasto ai nuovi pericoli per la sicurezza degli avventori, come le frodi d’ingegneria sociale, nelle quali si è indotti con artifizi a dar seguito ad una transazione di pagamento; lo scioglimento dei nodi e delle preoccupazioni relative agli approcci di autenticazione (ad esempio basati su smartphone) che hanno portato all’esclusione di determinati gruppi della società dall’utilizzo dei servizi di pagamento online; la risoluzione delle questioni e degli ostacoli relativi all’erogazione di servizi di invio di ordini di pagamento (PIS) e d’informazione relativa ai conti (AIS), inclusi i progetti per i fornitori di AIS di adottare le proprie SCA ai rispettivi clienti, in luogo di assegnare alle procedure d’autenticazione delle banche; la possibilità di consentire ai clienti di tener fermo il controllo delle proprie informazioni; sostenere lo sviluppo di interfacce di alta qualità in tutta l’UE; il passaggio da “Open banking” a “Open finance” (o altrimenti l’espansione dall’accesso ai dati dei conti di pagamento verso l’accesso ad altri tipi di dati finanziari) e le opportunità e le potenziali sfide ad esso associate, sulla base dell’esperienza PSD2; il superamento delle carenze di applicazione in relazione all’attuazione e all’applicazione di SCA per le transazioni di e-commerce basate su carte e alla rimozione degli ostacoli alla fornitura di AIS e PIS; l’opposizione alle pratiche di riduzione del rischio ingiustificate da parte delle banche che colpiscono gli istituti di pagamento e di moneta elettronica. Infine, ulteriore intenzione dell’Autorità, sarebbe l’adeguamento dei requisiti prudenziali, in particolare in relazione al capitale iniziale, ai fondi propri, all’impiego dell’assicurazione per la responsabilità civile professionale, al progetto di risanamento e liquidazione per gli istituti di pagamento significativi, come pure, all’eventuale vigilanza sui gruppi di consolidamento.
[1]Direttiva europea sui servizi di pagamento, in www.abi.it
[2] How to navigate the fallback mechanism exemption in PSD2?, di Patrice Fritsch, 22 marzo 2019, in www.ey.com
[3] BBVA API Market, where open banking means opportunities, in www.bbvaapimarket.com
[4] CBI Globe, che cos’è?, in www.cbiglobe.com
[5] EBA replies to European Commission’s call for advice on the review of the Payment Services Directive, 23 giugno 2022, in www.eba.europa.eu