Diventa operativa dal 14 settembre 2019 la direttiva PSD2 sui servizi di pagamento che introduce, per gli istituti di pagamento e di moneta elettronica, una serie di novità in tema di digitalizzazione con impatti nei rapporti tra le banche ed i propri clienti, tra cui le imprese. In particolare, le novità riguardano gli standard di sicurezza informatica per l’autenticazione online e di protezione dei dati della clientela, nonché l’obbligo di consentire l’accesso ai dati dei clienti ai Third Party Providers - TPP, i fornitori di servizi di pagamento diversi dal tradizionale canale bancario. Quali sono le novità operative per i pagamenti on line?

A partire dal 14 settembre 2019 diventa operativa la direttiva 2015/2366/UE (PSD2) sui servizi di pagamento che introduce una serie di novità in tema di digitalizzazione dei pagamenti, accessibilità e sicurezza delle transazioni, recependo gli sviluppi più recenti del mercato e creando una cornice valida per future innovazioni di servizio.

La direttiva è stata recepita dal provvedimento 23 luglio 2019 della Banca d’Italia recante nuove "Disposizioni di vigilanza per gli istituti di pagamento e gli istituti di moneta elettronica”, che sostituisce il precedente provvedimento del 17 maggio 2016, pubblicato nella Gazzetta Ufficiale n. 193 del 19 agosto 2019.

Le novità riguardano in particolare l’obbligo di consentire l’accesso ai dati dei clienti ai Third Party Providers (TPP), nonché gli standard di sicurezza informatica (cybersecurity) e di protezione dei dati della clientela (Strong Authentication). Per quest’ultima è stata prevista una proroga rispetto alla data del 14 settembre su richiesta degli istituti in ritardo negli adempimenti PSD2.

Una modifica sostanziale riguarda inoltre i requisiti di capitale di istituti di pagamento (IP) e istituti di moneta elettronica (IMEL), che diventano più stringenti venendo di fatto assimilati a quelli richiesti agli istituti bancari dalla disciplina Capital Requirement Regulation (CRR).

Molti istituti si sono già da tempo allineati alle previsioni della PSD2, ma le disposizioni sono un passaggio necessario per dare rigore formale ad una serie di obblighi in capo agli istituti coinvolti. Vediamo nel dettaglio le novità introdotte.

Agli istituti di pagamento e agli istituti di moneta elettronica come detto, si applica la disciplina sui fondi propri prevista ai sensi del CRR, con lo scopo di migliorare ed accrescere la stabilità dell’intero sistema di cui i soggetti fanno parte.

Come per le banche, i fondi propri dell’istituto sono suddivisi in capitale di classe 1 (Tier1) e capitale di classe 2 (Tier2). Il capitale di garanzia deve essere composto prioritariamente da capitale di classe 1 e di questo almeno il 75% in common equity Tier1, cioè capitale di rischio puro. Il restante 25% può essere composto da debito Tier1 e/o strumenti ibridi.

Il capitale di classe 2 non deve invece superare un terzo dell’ammontare del capitale di classe 1. Sia Tier1 che Tier2 sono composti da elementi positivi e negativi e la loro computabilità è ammessa in relazione alla qualità patrimoniale riconosciuta a ciascuno di essi.

Sono esclusi dalla disciplina sui requisiti di capitale gli istituti che prestano in via esclusiva il servizio di informazione sui conti o di disposizione di ordini di pagamento, ovvero quelli che la disciplina PSD2 identifica come Payment Initiation Service Provider (PISP) ed Account Information Service Provider (AISP), ovvero i Third Party Provider (TPP).

I PISP sono operatori esterni al sistema bancario, autorizzati a fornire servizi di pagamento ponendosi in posizione intermedia tra il pagatore e il suo conto di pagamento online. Tramite un PISP il pagatore potrà disporre il pagamento online a favore di un terzo beneficiario, addebitando il proprio conto corrente senza passare per il proprio online banking.

Grazie agli AISP, invece, il cliente potrà ricevere attraverso una piattaforma online informazioni anche aggregate su tutti i propri conti di pagamento, anche se intrattenuti con diverse banche.

Tali soggetti sono tuttavia obbligati, pena la mancata autorizzazione ad operare, a stipulare una polizza di assicurazione della responsabilità civile professionale o analoga garanzia per i danni arrecati al prestatore di servizi di pagamento di radicamento del conto o all’utente dei servizi di pagamento.

Tra le maggiori novità introdotte vi è proprio l’inserimento delle procedure relative ai prestatori di servizio di informazione sui conti correnti (AISP) e di disposizione di ordini di pagamento (PISP).

Una delle linee guida messe a punto dalla Banca d'Italia prevede infatti l'obbligo da parte degli istituti di credito di rendere disponibili i rapporti dei clienti, attraverso una piattaforma informatica sicura, ai TPP allo scopo autorizzati dai titolari dei rapporti, così come previsto dalla direttiva PSD2. Gli istituti mettono a disposizione delle terze parti almeno l'IBAN, i dati anagrafici e lo stato del conto corrente.

La novità importante risiede tuttavia nella previsione di esenzione del cosiddetto fall-back.

Facciamo un passo indietro. La direttiva PSD2 prevede l’obbligo di predisporre un meccanismo di emergenza, una sorta di backup in caso di malfunzionamento del sistema, denominato “interfaccia di fall-back”, che permetta comunque alle terze parti di accedere alle informazioni dei rapporti del cliente per continuare ad erogare i propri servizi. Sulla predisposizione di questo meccanismo il sistema bancario è in ritardo e già si pone qualche problema di compliance.

Il regolatore ha preso atto della difficoltà oggettiva e ha così previsto alcuni casi specifici di esenzione, a patto che l’interfaccia sia stata testata e abbia dato prova di corretto funzionamento.

Tema di forte impatto che viene esteso anche agli istituti di pagamento (IP) e agli istituti di moneta elettronica (IMEL) è quello della sicurezza informatica. La possibilità di effettuare pagamenti elettronici e online infatti porta con sé la necessità di una maggior attenzione alla sicurezza.

La direttiva PSD2 definisce criteri di sicurezza più stringenti e nuovi standard per l’autenticazione online (Strong Customer Authentication). L’autenticazione è basata cioè sull’uso contestuale di almeno due dei seguenti tre elementi:

- Knowledge, qualcosa che solo l’utente conosce (ad esempio password, PIN);

- Possession, qualcosa che solo l’utente ha (ad esempio una chiavetta o Token);

- Inherence, qualcosa che solo l’utente è (ad esempio l’impronta digitale).

Si parla perciò di autenticazione a due fattori, che è già stata adottata dalla maggior parte degli istituti per rendere la fruizione dei servizi di pagamento sempre più sicura e ridurre al minimo il rischio di truffa. Si pensi ad esempio alla necessità del codice pin per i pagamenti con carta di credito o ai sistemi di doppia identificazione introdotti nei pagamenti online.

Tra gli altri presidi di sicurezza vi è peraltro l’eliminazione del cosiddetto token, ovvero il generatore di password istantanee, a favore di metodi più sicuri di autenticazione, come il cellulare.

In materia di autenticazione forte tuttavia solo alcuni istituti si sono conformati per tempo, mentre altri sono indietro nella realizzazione delle infrastrutture necessarie per venire incontro alle nuove misure. In funzione di ciò Banca d’Italia, su autorizzazione dell’EBA, ha concesso la possibilità a chi ne facesse richiesta di prorogare i termini per consentire il completamento degli interventi necessari anche oltre il cutoff del 14 settembre.

Infine, restando in materia di sicurezza, IP ed IMEL dovranno introdurre policy specifiche in materia di rischi e frodi, che definiscono le procedure e i presidi per garantire la sicurezza del sistema informatico e dei dati della clientela e individuano i responsabili ITC e le loro funzioni. Le policy dovranno essere aggiornate annualmente, con disposizioni dettagliate sull’archivio e l’accesso dei dati sensibili dei clienti.

Vi è l’obbligo di segnalare in maniera tempestiva eventuali incidenti come disservizi massivi, furti di dati e frodi, che possono compromettere l’integrità del sistema.

La direttiva PSD2 segna una svolta concreta nei servizi di pagamento poiché dà il là al cosiddetto Open Banking. Già adesso banche e terze parti condividono le informazioni dei clienti che ne facciano richiesta sulla base di convenzioni ad hoc tra le parti, ma ciò che cambia con le nuove norme è l’obbligatorietà di questa funzione.

Ogni volta che un cliente decide di condividere le proprie informazioni bancarie con una terza parte, che sia un’altra banca o un altro fornitore di servizi, l’istituto non ha la facoltà bensì l’obbligo di rendere disponibili online tali informazioni attraverso una piattaforma dedicata.

Diverse nuove realtà del settore Fintech si stanno affacciando sul mercato, alcune si stanno già affermando ad esempio nel settore dei pagamenti istantanei e c’è spazio per un’estensione del business di alcune grosse realtà affermate nei business online. Di certo il sistema dei pagamenti al dettaglio è destinato ad un’evoluzione rapida e i provider tradizionali, banche e poste in primis, si scontreranno con una realtà molto più competitiva.

Effetto quasi scontato sarà la varietà di scelta per l’utente e la riduzione dei costi. La direttiva prevedeva tra le altre cose dei limiti fissi ai costi per i sistemi di pagamento. Fissava ad esempio le commissioni massime sui pagamenti con carta.

L’impressione tuttavia è che tali limiti previsti espressamente, seppur utili per accelerare il trend in atto, sarebbero stati comunque superati dal normale processo di mercato.

Fonte: http://www.ipsoa.it/documents/impresa/banche/quotidiano/2019/09/14/pagamenti-digitali-maggiore-sicurezza-conti-bancari-costi-ridotti