di Andrea VIVOLI
Nella storia recente sono poche le innovazioni regolamentari capaci di indurre un vero e proprio break strutturale nella gestione del business bancario, come nel caso della seconda direttiva in materia di servizi di pagamento (Dir. UE n. 2366/2015, c.d. PSD2)(1).
Neanche l’overreaction delle Autorità di vigilanza alla crisi finanziaria del 2008, con le nuove regole sul capitale (da Basilea III in avanti), ha indebolito la posizione dominante delle banche nella relazione con i clienti. Anzi, le disposizioni di volta in volta introdotte accrescevano le barriere all’entrata per chi desiderava proporsi come concorrente credibile nella proposta di servizi finanziari alternativi a quelli bancari.
Certo, è innegabile l’emersione del fenomeno Fintech e i rilevanti investimenti effettuati per fornire prodotti finanziari innovativi da parte di soggetti non bancari, capaci di intercettare fasce di clientela come i “millennials” per i quali la facilità d’uso conta più del marchio. Solo nel 2019, secondo un recente rapporto di KPMG, gli investimenti nel settore Fintech sono stati pari a 135 miliardi di dollari a fronte di 2.600 operazioni (cfr. Il Sole 24 Ore 11.7.2020).
Altrettanto evidente è il proliferare di strumenti di pagamento e di investimento radicalmente alternativi ai circuiti finanziari tradizionali, con un deciso incremento del numero di portafogli digitali attivi su blockchain (blockchain wallets) passati dagli 8,95 milioni del settembre 2016 ai 50,71 milioni di giugno 2020 (fonte Statista)(5). In termini di valore, il sesto rapporto PWC(6) sul mondo delle Initial Coin Offering (ICO) e delle Security Token Offering (STO) ci mostra come tra il 2016 e il 2019 il volume raccolto sia stato pari a 31,1 miliardi di dollari a fronte di 2.093 operazioni.
Tuttavia, entrambi i fenomeni (Fintech e criptoattività) sono market-driven: rispondono a precise esigenze di mercato e non derivano da una scelta regolamentare a monte ponendosi, piuttosto, in termini antagonisti.
Diversamente, nel caso della PSD2, la scelta del legislatore comunitario è stata quella di innescare un processo volto alla creazione di un mercato unico dei pagamenti elettronici al dettaglio integrato, sicuro, competitivo e aperto, ponendo le premesse per l’open banking.
Tutte le banche europee devono infatti consentire l’accesso ai conti di pagamento dei propri clienti che hanno rilasciato un consenso esplicito a terze parti qualificate, opportunamente identificate (cc.dd. Third Party Providers – TPP), per eseguire disposizioni di pagamento ovvero acquisire e rielaborare le informazioni sui saldi e sui movimenti effettuati.
In altre parole, la PSD2 ha ridefinito il passaggio da un paradigma banco-centrico ad uno centrato sul cliente (Payment Service User).
Dal 14 settembre 2019, l’accesso avviene nel rispetto delle regole tecniche di cui al Regolamento Delegato (UE) 2018/389 del 27 novembre 2017(2), definite dall’Autorità Bancaria Europea (European Banking Authority – EBA) per l’autenticazione forte (Strong Customer Authentication – SCA) e gli standard aperti, comuni e sicuri di comunicazione (Common and Secure Communication – CSC) in base ai quali i TPP possono accedere ai conti, tramite interfacce (XS2A – Access to Account) predisposte dalle banche e basate prevalentemente su Open API (Application Programme Interfaces) ovvero software che consentono di autenticare e automatizzare il dialogo tra le parti in relazione ai diversi servizi messi a disposizione dalla banca presso la quale è radicato il conto di pagamento (cc.dd. risorse “esposte”).
Lo scenario competitivo prefigurato nel novembre 2015 dalla PSD2 ha richiesto 5 anni per giungere alla sua piena definizione, essendo stata prorogata al 31 dicembre 2020 l’obbligatorietà della Strong Customer Authentication anche per i pagamenti online effettuati con carta.
Nel corso degli ultimi mesi, l’incessante ricerca di modelli di business redditizi ha indotto un significativo e, per certi versi rivoluzionario, ampliamento dell’offerta di servizi di pagamento accessibili in mobilità da parte degli utenti bancari, con banche di grandi e piccole dimensioni che hanno avviato collaborazioni con partner tecnologici nazionali ed esteri in modo da proporsi, esse stesse, come TPP rispetto alle banche concorrenti.
D’altronde, il denaro che potrà movimentato anche tramite terze parti oppure oggetto di analisi per una più efficiente e informata gestione finanziaria è notevolmente cresciuto. Il lockdown indotto dalla pandemia da covid-19 è stato un “acceleratore” potente e inatteso, che ha favorito non solo il maggiore ricorso alle transazioni online ma anche l’incremento delle somme disponibili sui conti correnti. In Italia a marzo 2020 sono stati depositati 17 miliardi di euro (+254% rispetto allo stesso mese del 2019) mentre il totale dei depositi detenuti dalle famiglie presso le banche dell’Eurozona a maggio 2020 si attestava a 8.030 miliardi di euro, di cui 4.620 miliardi disponibili a vista.
Sotto il profilo regolamentare, sono molteplici le analisi condotte a più livelli per approfondire i profili innovati della PSD2, tra le quali segnalo i pregevoli contributi contenuti nel Quaderno di ricerca giuridica della Banca d’Italia n. 87 del settembre 2019(3).
Sotto il profilo tecnico, è invece interessante comprendere se, e fino a che punto, l’eldorado annunciato di un sistema “open” che favorisce innovazione e concorrenza a vantaggio dei titolari di conti di pagamento sia veramente raggiunto oppure servono ulteriori interventi.
Rileva, da questa prospettiva, la capacità dei TPP di accedere in maniera efficiente ai conti dei clienti, in modo che non vi siano frizioni ed ostacoli che rallentino o, addirittura impediscano, una esperienza d’uso soddisfacente, avendo presente che le transazioni online con carta fallite o abbandonate presenta una incidenza ancora elevata, pari al 20% del totale di quelle avviate.
In argomento, l’Autorità Bancaria Europea ha pubblicato il 4 giugno 2020 una Opinion(4) sugli ostacoli riscontrati nell’applicazione delle richiamate regole tecniche (Regulatory Technical Standards – RTS) in materia di SCA e CSC.
Se, come l’esperienza insegna, “the devil is in the details” occorre allora dare uno sguardo più da vicino agli schemi operativi e alle regole tecniche per misurare quale sia la distanza da colmare per realizzare appieno la portata innovativa e rivoluzionaria dell’open banking e i relativi impatti sulle strategie delle banche.
OPEN BANKING: GLI ATTORI E I PROCESSI
La tumultuosa innovazione nel settore dei pagamenti digitali anche da parte di soggetti non regolamentati, ha portato il legislatore europeo ad adottare un approccio inclusivo, volto ad attrarre nell’orbita della vigilanza anche prestatori di servizi di disposizione di ordini di pagamento (Payment Initiation Service – PIS) e di servizi di informazione sui conti (Account Information Service – AIS) che operavano al di fuori del perimetro stabilito dalla Direttiva 2007/64/UE (c.d. PSD1). In tale contesto, le banche di radicamento del conto accessibile online sono definite come Account Servicing Payment Service Provider (ASPSP).
Nel caso dei prestatori di servizi di disposizione di ordini di pagamento, come riportato anche nei “considerando” 27 e 29 della PSD2, il legislatore ha tenuto conto degli sviluppi registrati successivamente all’adozione della direttiva 2007/64/CE nel settore dei pagamenti tramite Internet a supporto del commercio elettronico, mediante software specializzati in grado di interporsi tra il sito web del commerciante e la piattaforma di online banking della banca per disporre bonifici.
Tali servizi, di cui all’art. 66 della PSD2, assicurano al beneficiario (venditore) che il pagamento è stato disposto, in modo da finalizzare la consegna dei beni o l’esecuzione di servizi senza indebiti ritardi. Si tratta di soluzioni a basso costo per i commercianti e i consumatori, favorendo gli acquisti online anche senza carte di pagamento.
Nel nuovo contesto di attività riservata e vigilata, le modalità di funzionamento dei PISP sono riassunte nella seguente infografica.
I servizi informativi sui conti, come previsto dal considerando 28 della PSD2, forniscono invece all’utente di servizi di pagamento informazioni online aggregate su uno o più conti di pagamento, detenuti presso altri prestatori di servizi di pagamento, a cui si ha accesso mediante interfacce online predisposte dalle banche.
L’utente di servizi di pagamento può così disporre immediatamente di un quadro generale della sua situazione finanziaria in un dato momento in conformità a quanto stabilito dall’art. 67 della direttiva, come riepilogato di seguito.
Il dialogo tra TPP e banche avviene, come anticipato, utilizzando le interfacce XS2A predisposte su base non discriminatoria da queste ultime, assicurando l’accessibilità a tutte le forme di autenticazione già previste per i propri clienti e senza che siano frapposti ostacoli. In assenza di iniziative cooperative (cfr. infra) ogni banca è legittimata ad esporre i servizi sulla base di propri protocolli tecnici che possono essere diversi da quelli utilizzate dalle altre (evidenziati con colori diversi nell’infografica precedente).
Oltre ai PISP e agli AISP vi è una terza categoria di “terze parti” costituite dai CBPIIs (card based payment instrument issuers), limitatamente allo svolgimento del servizio di conferma della disponibilità di fondi: a questi prestatori la direttiva riconosce il diritto di avere conferma immediata da parte della banca dove è radicato il conto del pagatore circa la disponibilità dell’importo richiesto per l’esecuzione di un’operazione di pagamento, a condizione che il conto sia accessibile online e il pagatore, prima della richiesta di conferma, abbia fornito al prestatore di servizi di pagamento di radicamento del conto il consenso esplicito a dare risposta a tale richiesta, come previsto dall’art. 65, comma 1, lett. a), b), c) della PSD2. In questo caso, non si tratta di un servizio di pagamento a sé stante ma di un’attività ancillare prestata da chi offre strumenti di pagamento basati su carta.
I servizi PIS e AIS prestati al di fuori del recinto regolamentare rappresentavano una minaccia per l’integrità del sistema dei pagamenti, sul piano della tutela dei consumatori, della sicurezza, della concorrenza e del corretto trattamento dei dati personali.
Le stesse modalità utilizzate in passato dai TPP per accedere ai conti dei clienti risultavano rischiose basandosi sulla tecnica dello screen scraping mediante la quale i fornitori di servizi utilizzavano le credenziali di accesso al conto online del cliente (dietro sua autorizzazione) agendo come se fosse il cliente stesso ad accedere (senza, pertanto, identificarsi come soggetti terzi).
Una volta stabilita la connessione, gli strumenti di scraping acquisivano i dati disponibili sui conti in un database esterno per essere successivamente analizzati e rielaborati da applicazioni di gestione delle finanze personali o di riconciliazione degli incassi con il fatturato. Tale modalità di accesso ha sollevato critiche sia per le inefficienze connesse all’esperienza d‘uso del cliente (quali la ridotta velocità di esecuzione e l’instabilità della connessione) sia per le criticità relative all’assenza di presidi di sicurezza volti ad assicurare l’autenticità e l’integrità delle informazioni acquisite, ferme restando tutte problematiche circa il trattamento dei dati personali.
L’attuale regime di autorizzazione e vigilanza, comunque proporzionato ai rischi associati alle diverse operatività, è volto proprio ad evitare accessi non autorizzati ai conti di pagamento o utilizzi fraudolenti delle credenziali dei clienti in modo che il mercato dei pagamenti digitali possa crescere e consolidarsi a livello paneuropeo.
Alla luce di questa panoramica sui servizi, occorre scendere ancora più nel dettaglio dei protocolli informatici che disciplinano il dialogo tra i TPP e le banche per capire dove si annida il demone dell’inefficienza.
1/3
Intervento del Dott. Andrea VIVOLI – Consulente Aziendale. Esperto in vigilanza bancaria e antiriciclaggio
Le considerazioni espresse nell’articolo sono riconducibili esclusivamente all’Autore e non impegnano in alcun modo le Istituzioni con le quali sussistono rapporti di collaborazione.
LEGGI QUI l’articolo successivo 2/3, PSD2 a che punto siamo? Capire dove si annida l’inefficienza
LEGGI QUI l’articolo successivo 3/3, PSD2 a che punto siamo? Come coglierne i benefici
Per approfondimenti e normative, consultare i seguenti link e/o riferimenti:
(1) Direttiva UE 2015/2366, Servizi di Pagamento nel mercato intern (PSD2)
(2) Regolamento Delegato UE 2018/389, Autenticazione e Standard di Comunicazione
(5) Number of Blockchain wallet users globally 2016-2020 – Statista
(6) ICO / STO Report Spring 2020 Edition – PWC
