La PSD2 cambierà il nostro rapporto con la banca

pagamenti

Abbiamo intervistato Marco Bellezza, avvocato esperto in fintech e digital dello studio Portolano Cavallo

Ci puoi ricordare cos'è la PSD2?

Con l'acronimo PSD2 ci si riferisce alla Payment Services Directive 2, ovvero la Direttiva UE 2015/2366 che è stata emanata dal legislatore comunitario con l'intento, da un lato, di favorire una più stretta armonizzazione delle regole esistenti nei diversi Paesi europei e dall'altro, di agevolare lo sviluppo di servizi di pagamento digitali. 

Cos'è successo nel corso dell'ultimo anno? C'è stata qualche novità?

Sul fronte comunitario la European Banking Authority (EBA), autorità di regolazione di secondo livello, sta provvedendo ad emanare gli standard tecnici e la regolamentazione di dettaglio come richiesto dalla PSD2. In particolare a Marzo è stata pubblicata la versione finale delle norme tecniche di regolamentazione in tema di autenticazione forte dei clienti e comunicazione sicura ai sensi PSD2. Sul fronte nazionale dando seguito alla delega contenuta nella legge di delegazione europea il Governo nella seduta n.44 del 15 settembre scorso ha approvato uno schema di decreto legislativo di recepimento anche della PSD2 dando così il via all'iter di approvazione definitiva. 

Il 13 gennaio 2018 la normativa dovrebbe entrare in vigore, cosa succede dal punto di vista pratico?

Entro il 13 gennaio l'Italia, come gli altri Paesi europei, deve introdurre nell'ordinamento interno norme che siano in linea con quanto previsto dalla PSD2. Come anticipato il Governo ha presentato uno schema di decreto legislativo che nel recepire la PSD2 interviene sul Testo Unico Bancario e sul decreto legislativo 11/2010 che ha recepito la prima direttiva sui servizi di pagamento. L'approvazione definitiva del decreto comporterà notevoli innovazioni nello scenario normativo nazionale sui servizi di pagamento allineandosi alle previsioni della PSD2.

Sono in molti ad attendersi uno slittamento dell'entrata in vigore della normativa, sei dello stesso avviso?

Sinceramente no. Penso che avendo il Governo presentato in settembre lo schema di decreto si potrà arrivare ad una definitiva emanazione nel termine previsto dalla Direttiva.

Qual è il rischio più grosso che corrono le banche che non si faranno trovare pronte all'appuntamento?

Tra le tante novità introdotte dalla PSD2 (autenticazione forte dei clienti, sicurezza, responsabilità, esclusioni) la più significativa è, senza dubbio, il tentativo di aprire il mercato a nuovi servizi digitali che svolgono attività a valore aggiunto complementari ai servizi di pagamento. Mi riferisco ai servizi di disposizione di ordine di pagamento e ai servizi di informazioni sui conti svolti da operatori terzi. Le banche, previo consenso espresso da parte degli utenti, saranno tenute a dare accesso al conto di pagamento o alle informazioni ivi contenute a questi nuovi soggetti, salvo specifiche esclusioni. Il rischio più grande lo corrono, quini, le banche che adotteranno un approccio passivo rispetto al nuovo scenario di mercato che si sta aprendo che richiede un nuovo protagonismo del mondo bancario. Insomma si è ad un bivio: le banche possono essere meri giacimenti di dati utilizzati da operatori terzi per fornire i propri servizi o protagoniste dell'innovazione. In questa seconda direzione tanti operatori italiani si stanno attivando per sfruttare al meglio le occasioni offerte dalla PSD2.

È vero che la PSD2 spianerà la strada a nuovi player come Amazon, Google, ecc.?

Certamente la direttiva aprirà il mercato a nuovi operatori e con riferimento, ad esempio, al settore del commercio elettronico con i servizi di disposizione di ordine di pagamento tenderà a favorire una relazione completa tra l'operatore e-commerce e i consumatori che comprenda anche la fase di pagamento. In questa direzione si comprende l'interesse delle grandi imprese tecnologiche che nella fase attuale non appare comunque limitato al solo ambito dei servizi di pagamento. 

Cosa sono i TPP (Third Party Providers)?

Nel disegno della PSD2 i TPP sono i fornitori di servizi di disposizione di ordine di pagamento e servizi di informazioni sui conti. I primi forniscono un servizio che dispone l'ordine di pagamento relativamente ad un conto tenuto da un altro prestatore di servizi. I secondi forniscono informazioni su uno o più conti di pagamento detenuti da terzi prestatori di servizi di pagamento al fine di consentire agli utenti una migliore gestione delle proprie finanze personali. 

Che requisiti formali devono avere le società per poter utilizzare le API messe a disposizione dalle banche?

In ambito informatico, per agevolare la scrittura del codice da parte degli sviluppatori, alcune procedure "standard" vengono raggruppate in un set di strumenti specifici che corrispondono a parti di un programma, le cosiddette librerie, che uno sviluppatore può utilizzare per abbreviare il proprio lavoro. Le API (Application Programming Interface) si collocano in questo contesto, semplificando il dialogo e lo scambio di informazioni tra diverse applicazioni. I TPP saranno soggetti al medesimo regime autorizzatorio cui sono sottoposti gli altri prestatori di servizi di pagamento e inoltre dovranno stipulare una polizza assicurativa per la responsabilità civile o altra garanzia analoga per assicurare il risarcimento di eventuali danni arrecati ai prestatori di servizi di radicamento del conto o agli utenti dei propri servizi. Un regime regolamentare più leggero è previsto, infine, per i prestatori che svolgano unicamente un servizio di informazione sui conti.