PSD2, Collegamento Dinamico & Autenticatori FIDO
La Direttiva sui Servizi di Pagamento (PSD2) rivista rappresenta un'evoluzione significativa nella regolamentazione dei pagamenti in Europa, aggiornando il quadro PSD originale del 2007. Questa direttiva mira a creare un mercato dei pagamenti europeo più integrato, rafforzare le misure di sicurezza, proteggere i consumatori e promuovere l'innovazione aprendo l'infrastruttura bancaria a terze parti. Con la piena attuazione avvenuta tra il 2018 e il 2020, la PSD2 ha ridefinito radicalmente il modo in cui istituzioni finanziarie, fornitori di servizi di pagamento e consumatori interagiscono. Questo articolo esplora i componenti chiave della PSD2, i requisiti di attuazione, le misure di sicurezza, l’impatto sui diversi stakeholder e le sfide e opportunità che presenta nel panorama in evoluzione dei servizi finanziari.
Comprendere gli Obiettivi Fondamentali e il Quadro Giuridico della PSD2
La PSD2 aggiorna e rafforza le norme dell’UE stabilite dalla Direttiva originale sui Servizi di Pagamento adottata nel 2007. È entrata in vigore il 12 gennaio 2016 e gli Stati membri dell'UE hanno avuto tempo fino al 13 gennaio 2018 per recepirla nel diritto nazionale. La direttiva è amministrata dalla Commissione Europea per regolamentare i servizi di pagamento e i fornitori di servizi di pagamento in tutta l’Unione Europea e lo Spazio Economico Europeo.
Gli obiettivi principali della PSD2 sono chiaramente definiti: contribuire a un mercato dei pagamenti europeo più integrato ed efficiente; garantire una concorrenza equa tra i fornitori di servizi di pagamento includendo nuovi attori; rendere i pagamenti più sicuri e protetti; e migliorare la protezione per i consumatori e le imprese europee. In sostanza, la PSD2 sostiene l’innovazione e la concorrenza nei pagamenti al dettaglio rafforzando allo stesso tempo la sicurezza delle transazioni e la protezione dei dati dei consumatori.
Il quadro giuridico della PSD2 è suddiviso in due sezioni principali. Le "regole di mercato" descrivono quali tipi di organizzazioni possono offrire servizi di pagamento, inclusi istituti di credito (banche), istituti di moneta elettronica e la nuova categoria di "istituti di pagamento" con proprie regole di regime prudenziale. Le "regole di condotta aziendale" specificano i requisiti di trasparenza per i fornitori di servizi di pagamento, inclusi commissioni, tassi di cambio, riferimenti alle transazioni e tempi massimi di esecuzione, oltre a diritti e obblighi sia per i fornitori che per gli utenti.
La PSD2 è supportata da standard tecnici regolamentari sviluppati dall'Autorità Bancaria Europea in collaborazione con la BCE. Questi standard coprono l’autenticazione forte del cliente, standard aperti comuni e sicuri di comunicazione, segnalazione degli incidenti e misure di sicurezza per i rischi operativi e di sicurezza. Questi elementi lavorano insieme per creare un quadro normativo completo che regola la modernizzazione dei servizi di pagamento in tutta Europa.
Autenticazione Forte del Cliente (SCA): Requisiti e Attuazione
Al centro della PSD2 si trova il concetto di Autenticazione Forte del Cliente (SCA), una misura di sicurezza progettata per ridurre le frodi e migliorare la sicurezza delle transazioni di pagamento online. La SCA richiede ai fornitori di servizi di pagamento di implementare l’autenticazione multifattoriale per i pagamenti elettronici e l’accesso ai conti, aumentando significativamente gli standard di sicurezza nel panorama europeo dei pagamenti.
Secondo la direttiva, l’autenticazione del cliente è considerata "forte" quando si basa sull’uso di due o più elementi indipendenti appartenenti alle seguenti categorie: conoscenza (qualcosa che solo l’utente conosce, come una password o un PIN), possesso (qualcosa che solo l’utente possiede, come una carta o un dispositivo di autenticazione), e inerenza (qualcosa che l’utente è, come l’impronta digitale o il riconoscimento vocale). Questi elementi devono essere indipendenti, il che significa che la compromissione di uno non compromette l’affidabilità degli altri.
Per le transazioni remote come i pagamenti online, i requisiti di sicurezza vanno ancora oltre richiedendo un collegamento dinamico all’importo specifico della transazione e al conto del beneficiario. Questo fornisce una protezione aggiuntiva riducendo i rischi in caso di errori o attacchi fraudolenti. L’approccio più ampiamente adottato per verificare l’identità dei titolari di carta secondo le linee guida SCA è il 3D Secure 2.0, che migliora l’esperienza utente riducendo i passaggi aggiuntivi normalmente richiesti per l’autenticazione.
Vi sono tuttavia diverse esenzioni dai requisiti SCA progettate per bilanciare sicurezza e praticità. Queste includono le transazioni di basso valore (inferiori a €30), le transazioni a basso rischio (basate su una valutazione del rischio in tempo reale), le transazioni ricorrenti dello stesso importo verso lo stesso beneficiario e le transazioni verso beneficiari fidati che i clienti hanno precedentemente autorizzato. I fornitori di servizi di pagamento possono richiedere queste esenzioni durante l’elaborazione dei pagamenti, ma la decisione finale spetta alla banca del titolare della carta.
Open Banking e Fornitori Terzi di Servizi di Pagamento Secondo la PSD2
La PSD2 apre il mercato dei pagamenti dell’UE ai fornitori terzi di servizi di pagamento richiedendo alle banche di fornire accesso alle informazioni sui conti dei clienti e alle funzionalità di avvio del pagamento tramite API (Application Programming Interface) aperte. Questo cambiamento fondamentale da sistemi bancari chiusi a sistemi aperti ha favorito la nascita di un nuovo ecosistema finanziario competitivo e integrato, spesso definito "Open Banking".
La direttiva copre specificamente tre tipi di servizi forniti da Fornitori Terzi (TPP): servizi di iniziazione del pagamento, servizi di informazione sui conti e strumenti di pagamento basati su carta. I servizi di iniziazione del pagamento aiutano i consumatori a effettuare pagamenti online e informano immediatamente i commercianti dell’avvio del pagamento, permettendo la spedizione immediata dei beni o l’accesso ai servizi. I servizi di informazione sui conti forniscono ai consumatori e alle imprese una panoramica della loro situazione finanziaria consolidando le informazioni di diversi conti di pagamento detenuti presso vari fornitori. Gli strumenti di pagamento basati su carta permettono ai fornitori terzi di richiedere conferma della disponibilità dei fondi dal fornitore di servizi di pagamento che gestisce il conto.
La PSD2 richiede che tutti questi fornitori terzi di servizi di pagamento siano autorizzati e regolamentati dalle autorità competenti. Gli Stati membri devono assicurare che i fornitori di servizi di pagamento che gestiscono conti (principalmente banche) non ostacolino o blocchino l’uso di questi servizi per i conti da loro gestiti. L’accesso può essere negato solo se il fornitore terzo non è autorizzato o se vi è il sospetto di frode. È fondamentale che per ogni transazione venga ottenuto il consenso esplicito del pagatore.
Questo modello di open banking ha dato potere alle aziende fintech di innovare e offrire prodotti e servizi finanziari personalizzati. Grazie all’accesso ai dati dei clienti e all’infrastruttura bancaria tramite API, questi nuovi attori possono fornire una visione integrata di più conti finanziari, semplificare i processi di pagamento e sviluppare strumenti di gestione finanziaria innovativi che prima erano impossibili con il sistema bancario chiuso.
Requisiti Tecnici e API: L’Infrastruttura Dietro la PSD2
Le API (Application Programming Interfaces) rappresentano la spina dorsale tecnologica per l’attuazione dei requisiti della PSD2. Queste interfacce permettono una comunicazione sicura tra banche e fornitori terzi, consentendo lo scambio di dati finanziari e istruzioni di pagamento sulla base del consenso del cliente. Il successo dell’attuazione della PSD2 dipende fortemente dallo sviluppo di API robuste, sicure e standardizzate.
In base alla PSD2, le banche e gli altri fornitori di servizi di pagamento che gestiscono conti devono offrire almeno un’interfaccia dedicata per l’accesso ai dati dell’open banking. Queste interfacce devono rispettare specifici requisiti di prestazione e funzionalità per garantire un servizio coerente e affidabile per i fornitori terzi. Gli standard tecnici regolamentari richiedono inoltre la disponibilità di un ambiente di "sandbox" in cui i fornitori terzi possono testare le loro applicazioni prima della messa in produzione.
Il Berlin Group, un’iniziativa paneuropea per l’interoperabilità dei pagamenti, ha sviluppato NextGenPSD2, uno standard API europeo aperto, comune e armonizzato che consente ai fornitori terzi di accedere ai conti bancari secondo quanto previsto dalla PSD2. Questo standard mira a semplificare per gli operatori dei pagamenti l’ottenimento del consenso dei clienti per accedere ai loro conti e avviare pagamenti. Molte banche hanno adottato questo standard, sebbene permanga una certa frammentazione tra le implementazioni nazionali.
L’infrastruttura tecnica deve inoltre supportare solide misure di sicurezza, tra cui la crittografia dei dati sensibili, l’identificazione sicura delle parti coinvolte e la protezione contro le frodi e le minacce informatiche. Per identificarsi in modo sicuro, i fornitori terzi devono utilizzare certificati qualificati definiti da eIDAS per l’autenticazione dei siti web e sigilli elettronici per le comunicazioni tra attori del settore finanziario. Questi certificati assicurano che solo entità autorizzate possano accedere ai dati dei clienti e avviare pagamenti.
Tutela dei Consumatori e Rafforzamento dei Diritti Tramite la PSD2
Uno degli obiettivi centrali della PSD2 è rafforzare la tutela dei consumatori e i loro diritti nel contesto dei pagamenti digitali. La direttiva include diverse disposizioni pensate per offrire ai clienti un maggiore controllo sui propri dati finanziari e protezioni più solide contro le frodi e le transazioni non autorizzate.
In caso di transazioni non autorizzate, la PSD2 rafforza la tutela richiedendo il rimborso immediato all’utente del servizio di pagamento. L’utente non è responsabile se non era possibile per lui essere a conoscenza della perdita derivante da furto o appropriazione indebita del suo strumento di pagamento, come avviene in caso di violazioni dei dati o attacchi hacker. In altri casi, come la perdita o il furto del portafoglio, l’utente può essere ritenuto responsabile fino a un massimo di €50, a condizione che abbia rispettato l’obbligo di notificare il fornitore e non abbia agito con negligenza o in modo fraudolento.
La direttiva vieta inoltre ai commercianti di addebitare commissioni aggiuntive ai consumatori per determinati metodi di pagamento. Questo divieto di sovrapprezzo si applica quando sia la banca del consumatore sia il fornitore di servizi di pagamento del commerciante si trovano nello Spazio Economico Europeo, e il consumatore utilizza carta di debito, carta di credito, addebito diretto o bonifico. Anche quando il divieto non si applica, qualsiasi sovrapprezzo imposto non può superare il costo sostenuto dal commerciante per accettare quel metodo di pagamento.
La PSD2 offre ai clienti maggiore trasparenza e controllo sui propri dati finanziari. I clienti devono fornire un consenso esplicito prima che terze parti possano accedere alle informazioni dei loro conti, e hanno il diritto di revocare tale consenso in qualsiasi momento. Per aiutare i clienti a gestire queste autorizzazioni, i fornitori di servizi di pagamento che gestiscono conti sono tenuti a fornire una "dashboard" integrata nell’interfaccia utente, che permetta agli utenti di monitorare e controllare quali fornitori terzi hanno accesso ai loro dati.
Impatto della PSD2 su Istituzioni Finanziarie e Modelli di Business
La PSD2 ha costretto le banche tradizionali a ripensare la propria posizione e i modelli di business a fronte della crescente concorrenza e delle mutate aspettative dei clienti. Richiedendo alle banche di offrire accesso ai dati dei clienti e funzionalità di avvio dei pagamenti a fornitori terzi, la PSD2 ha creato sia sfide sia opportunità per le istituzioni finanziarie consolidate.
Uno degli impatti più significativi è la crescente pressione sui prezzi e sui margini. Con fornitori di servizi di pagamento tecnologicamente agili che sfruttano l’accesso automatizzato ai conti dei clienti, la concorrenza si intensifica, in particolare nell’ambito dei pagamenti account-to-account, che potrebbero minacciare le tradizionali attività legate alle carte. In un grande mercato europeo, la minaccia rappresentata da nuovi fornitori di soluzioni account-to-account potrebbe mettere a rischio tra €50 milioni e €100 milioni di ricavi bancari.
Le banche si trovano di fronte a una scelta strategica. Possono diventare fornitori di utilità di prodotti bancari commoditizzati, riducendosi essenzialmente a gestori di bilancio con interazioni minime con i clienti. In alternativa, possono cogliere l’opportunità di trasformarsi in fornitori innovativi di servizi digitali, sfruttando le relazioni esistenti con i clienti, la fiducia e l’enorme quantità di dati per sviluppare nuove proposte di valore. Molte banche stanno perseguendo questa seconda strategia, vedendo la conformità alla PSD2 come parte di una più ampia trasformazione digitale.
Le istituzioni più lungimiranti stanno sviluppando nuovi modelli di business che traggono vantaggio dall’ecosistema dell’open banking. Questi includono la creazione di portali API che consentono a terze parti di costruire servizi utilizzando l’infrastruttura della banca, lo sviluppo di servizi di aggregazione dei conti che offrono ai clienti una vista consolidata delle proprie finanze su più fornitori, e la creazione di ecosistemi di servizi finanziari e non finanziari che rispondono a una più ampia gamma di bisogni dei clienti. Ad esempio, alcune banche hanno lanciato piattaforme che combinano i propri prodotti con i servizi dei partner fintech, creando un’esperienza di servizio finanziario completa e integrata.
Tempistiche di Attuazione della PSD2 e Principali Traguardi
Il percorso verso l’attuazione della PSD2 è stato un processo metodico durato diversi anni, con numerosi traguardi che hanno segnato l’adozione graduale di questa regolamentazione trasformativa. Comprendere questa cronologia aiuta a contestualizzare la natura evolutiva della regolamentazione dei servizi di pagamento in Europa.
La storia inizia con la Direttiva originale sui Servizi di Pagamento (PSD), entrata in vigore nel 2007. Questa prima direttiva mirava a creare un mercato dei pagamenti unificato nell’Unione Europea e regolamentare i servizi di pagamento. Tuttavia, con l’evoluzione del contesto digitale, in particolare con la diffusione degli smartphone e dello shopping online, è diventata evidente la necessità di un aggiornamento normativo.
Nel luglio 2013, la Commissione Europea ha presentato una proposta per una seconda Direttiva sui Servizi di Pagamento (PSD2) per affrontare i limiti del quadro originale e rispondere alle nuove tecnologie e metodi di pagamento. Il 25 novembre 2015, il Parlamento Europeo ha adottato la direttiva, che è entrata in vigore il 12 gennaio 2016.
Gli Stati membri dell’UE avevano tempo fino al 13 gennaio 2018 per recepire la PSD2 nelle proprie leggi nazionali, segnando la prima fase dell’attuazione pratica. Tuttavia, gli standard tecnici più trasformativi – in particolare quelli relativi all’autenticazione forte del cliente e alla comunicazione sicura – sono stati pubblicati successivamente nella Gazzetta Ufficiale dell’Unione Europea il 13 marzo 2018.
Questi standard tecnici regolamentari dovevano entrare in vigore il 14 settembre 2019, creando un periodo di transizione durante il quale i fornitori di servizi di pagamento potevano offrire servizi secondo la PSD2 senza essere ancora legalmente obbligati a implementare tutte le misure di sicurezza. A causa delle difficoltà di attuazione, l’Autorità Bancaria Europea ha successivamente concesso una proroga della scadenza per l’autenticazione forte del cliente fino al 31 dicembre 2020.
Durante questo periodo di attuazione, le istituzioni finanziarie e i fornitori terzi hanno lavorato per sviluppare l’infrastruttura tecnologica necessaria, in particolare le API, per consentire la condivisione sicura dei dati e l’avvio dei pagamenti. Entro il 14 marzo 2019, tutte le istituzioni finanziarie che offrivano soluzioni API dovevano renderle disponibili per test esterni da parte di fornitori terzi, aggiungendo un altro traguardo importante al percorso di attuazione.
Sfide, Opportunità e Futura Evoluzione della Regolamentazione dei Servizi di Pagamento
Sebbene la PSD2 abbia introdotto importanti innovazioni nel panorama dei pagamenti europeo, la sua attuazione non è stata priva di sfide. Le istituzioni finanziarie hanno affrontato notevoli ostacoli tecnologici nello sviluppo di API sicure ed efficienti che rispettassero i requisiti normativi. Molte banche hanno dovuto aggiornare sistemi legacy e investire in nuove infrastrutture digitali, con costi significativi. La complessità dell’implementazione dell’autenticazione forte del cliente mantenendo al contempo un’esperienza utente fluida è stata particolarmente impegnativa, con preoccupazioni legate all’aumento dell’abbandono del carrello negli acquisti online.
Nonostante queste difficoltà, la PSD2 ha creato grandi opportunità di innovazione nel settore dei servizi finanziari. Le aziende fintech hanno sfruttato l’open banking per sviluppare nuovi servizi che offrono ai consumatori un maggiore controllo sulla propria vita finanziaria, da strumenti di gestione personale del denaro a opzioni di pagamento semplificate. Per le imprese, soprattutto le PMI, la PSD2 ha abilitato nuove soluzioni per la gestione della liquidità, l’accesso multi-conto e l’elaborazione più efficiente dei pagamenti.
Guardando al futuro, l’evoluzione della regolamentazione dei servizi di pagamento probabilmente si baserà sul fondamento stabilito dalla PSD2. Infatti, la Commissione Europea ha già annunciato l’intenzione di sviluppare la PSD3, che modificherà e modernizzerà l’attuale direttiva. Questa nuova iterazione mira a risolvere le sfide rimanenti e far progredire ulteriormente il settore finanziario nell’era digitale. Il futuro regolamento includerà probabilmente misure rafforzate contro le frodi, una comunicazione più efficace verso i consumatori e un ulteriore affinamento del quadro dell’open banking.
Vi è inoltre un impatto globale da considerare, poiché i regolatori di tutto il mondo stanno adottando approcci simili all’open banking e ai servizi di pagamento. Paesi come Australia, Brasile e Singapore hanno già implementato o stanno sviluppando propri quadri normativi ispirati alla PSD2. Ciò suggerisce una tendenza verso una maggiore standardizzazione globale dei servizi di pagamento, con la potenziale creazione di un ecosistema unificato per i pagamenti transfrontalieri in futuro.
Con il continuo sviluppo tecnologico, in aree come blockchain, intelligenza artificiale e valute digitali, la regolamentazione dei servizi di pagamento dovrà adattarsi per affrontare nuove opportunità e rischi. L’esplorazione da parte della Commissione Europea dell’Euro Digitale e delle relative normative indica che il panorama regolamentare continuerà a evolversi insieme all’innovazione tecnologica, cercando sempre il giusto equilibrio tra sicurezza, concorrenza e tutela dei consumatori.
