PSD2 e open banking: no, non è tutto libero

Dallo scorso 13 gennaio è in vigore il Decreto legislativo 218/2017 che ha recepito la seconda direttiva sui servizi di pagamento (PSD2) del 25 novembre 2015.

La direttiva PSD2 e la disciplina delle Interchange Fee (Regolamento UE 2015/751 del 29 aprile 2015) compongono, in maniera distinta ma complementare, ciò che viene definito “Pacchetto Pagamenti”.

La finalità è triplice: garanzia di maggiore sicurezza (inclusa la sicurezza informatica) dei pagamenti elettronici, armonizzazione e rafforzamento delle procedure di autenticazione e creazione di un mercato unico integrato dei servizi di pagamento.

Con l’intento di colmare un vuoto normativo, la PSD2 ha così aperto la strada al cd. open banking, rendendo l’accesso ai dati dei conti correnti gestiti dagli istituti bancari certamente più semplice per i nuovi operatori di mercato (Third Party Payment Services Provider o TPP).

Sono due, in particolare, le tipologie di TPP:

a. PISP (Payment Initiation Service Provider o, nella versione italiana, “prestatore di servizi di disposizione di ordine di pagamento”): si frappongono tra il pagatore e il suo conto corrente online e danno impulso al pagamento a favore di un terzo beneficiario. Il pagatore può quindi disporre un pagamento online, mediante addebito diretto sul proprio conto corrente (senza, pertanto, doversi appoggiare, in ipotesi, a gestori di carte di credito);

b. AISP (Account Information Service Provider o “prestatore di servizi di informazione sui conti”): consente agli utenti di collegarsi a più conti bancari loro intestati per recuperare informazioni di cui l’utente necessita per diverse ragioni. Ad esempio, gli utenti potranno ricorrere agli AISP per avere una visione d’insieme e immediata della propria situazione finanziaria, analizzare le proprie abitudini di spesa, pianificare le esigenze finanziarie future in modo facile e immediato.

Ecco allora che la tecnologia sottostante a qualsiasi tipo di servizio digitale riveste un ruolo cruciale: si pensi ai software alla base di piattaforme digitali informatiche o a potenziali brevetti a tutela di determinate tecnologie innovative e sofisticate che, per definizione, costituiscono monopolio esclusivo del titolare.

Ma non si stava parlando di open banking?

Chiariamolo subito: open banking non significa tana libera tutti

Le banche dovranno semplicemente (…) mettere a disposizione dei PISP e degli AISP le interfacce per consentirne l’autenticazione (eventualmente anche attraverso certificati qualificati ai sensi del Regolamento eIDAS n. 910/2014) e permettere di comunicare in maniera sicura con il sistema informatico bancario. Ciò al fine di fornire i servizi di informazione sui conti o di consentire all’utente di disporre operazioni di pagamento.

Come avviene?

L’EBA (European Banking Authority) ha l’incarico di elaborare gli standard tecnici (RTS — Regulatory Technical Standards) per individuare ed assicurare le modalità di effettiva implementazione dei dettami della PSD2.

Attenzione però: non è (almeno per ora) uno standard effettivo. Al momento si tratta di requisiti minimi di compliance.

Per fare un esempio, gli RTS sulla Strong Customer Authentication and common and secure communication dispongono che il prestatore di servizi di pagamento di radicamento del conto (i.e. le banche) debba, come si è detto, consentire ai TPP di autenticarsi e consentire le operazioni richieste ai sensi della PSD2.

MA le RTS non identificano con precisione le caratteristiche tecniche dell’interfaccia. Esse si limitano a fornire una serie di requisiti “minimi” che l’interfaccia deve possedere ai fini della compliance.

Una volta adeguatosi ai requisiti tecnici minimi prescritti dalla PSD2, ciascun istituto bancario sarà chiamato a compiere una scelta strategica molto precisa in materia di Information Technology (e proprietà intellettuale): potrà abbracciare in pieno la filosofia dell’open banking, aprendo i propri sistemi ai player del mercato anche oltre i requisiti minimi (e ponendosi, pertanto in un’ottica collaborativa con i TPP); oppure potrà adottare una filosofia difensiva, limitandosi alla compliance normativa e concentrandosi su sistemi IT chiusi e proprietari (con una posizione competitiva con i TPP); o, ancora, potrà adottare un approccio mediato, situandosi in qualsiasi punto tra questi due estremi.

Qualunque sia il modello adottato da ciascun istituto bancario, la corretta contrattualizzazione del rapporto tra banca e TPP sarà di fondamentale importanza.

Licia Garotti