Anche se ormai l’estate si è conclusa, l’autunno che si avvicina si annuncia come bollente, almeno per quanto riguarda l’ambito dei pagamenti digitali interni all’Unione Europea.
Fuor di metafora, il 14 settembre 2019, entra in vigore ufficialmente anche in Italia, la Direttiva Europea n. 2366 del 2015, nota anche come PSD2, che è l’acronimo di Payment Services Directive 2, andando ad arricchire il contesto normativo già delineato circa dieci anni fa dalla normativa precedente, ovvero la Direttiva n. 64 del 2007.
Questa data è di importanza fondamentale, dal momento che segna il secondo, ancor più rilevante, intervento del legislatore europeo all’interno di un settore così strategico come quello dei pagamenti online.
Del resto, già in un precedente articolo era stata sottolineata l’importanza di quest’ambito per l’intera economia europea, sia per le prospettive di crescita dello stesso, sia per il ruolo chiave che lo sviluppo e la diffusione del settore dei pagamenti online hanno rispetto ad ogni altra area di business. Ma, a ben vedere, c’è di più.
L’applicazione della Direttiva n. 2366/2015 segna, infatti, un cambio di passo notevole per l’Italia e per tutta l’Europa in generale, dal momento che, come vedremo tra poco, il legislatore europeo ha camminato sul solco della direttiva precedente, conservandone in un certo senso i principi ispiratori ma “potenziandone”, se possibile, gli effetti, introducendo diverse importanti novità, i cui effetti si vedranno sul medio termine non solo sul funzionamento del mercato ma anche sulle modalità di consumo dei cittadini.
Per poterne parlare coerentemente occorre prima fare una breve premessa.
Cos’è la PSD2?
La PSD2, come detto, è una Direttiva Europea, ovvero una legge approvata dal Parlamento Europeo, la quale, una volta recepita secondo le norme attuative, diventa vincolante ed efficace al pari di una legge nazionale.
In particolare, la 2366/2015 ha come campo di applicazione il settore dei servizi di pagamento digitali, dunque un ambito che si pone a metà tra il settore finanziario e il settore bancario, poiché i principali (anche se non più unici) operatori di tale settore sono appunto istituti di credito.
All’interno di questo ambito, la direttiva PSD2, così come quella precedente, individua una serie di regole e requisiti che devono essere rispettati da tutti coloro che operano nel settore, in termini, ad esempio, di sicurezza, trasparenza e condizioni di servizio.
Così facendo, il legislatore è sicuro che il mercato dei pagamenti sia omogeneo e il trattamento dei clienti sia armonizzato all’interno di tutti gli Stati Membri. Questo, tra l’altro, permette un miglior controllo da parte delle autorità garanti centrali e, nello stesso tempo, evita che ci siano delle storture o delle zone d’ombra in cui si possano mettere in atto comportamenti temerari o scorretti.
Sebbene tale finalità uniformatrice sia alla base della PSD2, così come lo era anche della PSD1, a ben vedere, ci sono altri scopi perseguiti dal legislatore europeo con questa normativa.
A detta di alcuni osservatori, infatti, l’obiettivo principale della Direttiva 2366/2015 è, in realtà, un altro, ovvero quello di favorire ulteriormente la diffusione e lo sviluppo di servizi di pagamento digitali sempre più avanzati e raffinati, anche in chiave di appetibilità economica.
In base a ciò che emerge dal testo di legge, per perseguire questo risultato il legislatore sfrutta sostanzialmente tre leve:
- l’armonizzazione normativa del settore;
- la competizione fra i diversi strumenti di pagamento disponibili;
- un più forte e accentrato sistema di protezione e sicurezza in favore dei clienti.
Vediamo ora, in concreto, quali sono le misure messe in campo per realizzare questi tre punti.
Armonizzazione normativa: limiti più ampi e definiti per un mercato unico
Tra i suoi effetti principali, la Direttiva 2366/2015 prevede la rimodulazione di quelli che sono gli ambiti applicativi della PSD1, che, di fatto, vengono estesi sia in termini oggettivi che soggettivi.
Per quanto riguarda l’ambito oggettivo di applicazione, la direttiva PSD2 prevede infatti l’estensione degli obblighi di trasparenza e correttezza informativa, già presenti nella PSD1, a tutte le transazioni cosiddette “one leg”, in cui cioè anche solo uno dei due Prestatori di Servizi di Pagamento si trova nel territorio dell’Unione Europea, indipendentemente da quale sia la valuta in cui avviene la transazione di pagamento.
A questo si aggiunga che la PSD2 ha rivisto anche il perimetro delle deroghe (il cosiddetto “negative scope”) definendo in modo più stringente quali sono i casi di esclusione degli obblighi previsti dalla Direttiva.
È il caso, ad esempio, degli agenti commerciali, per i quali la Direttiva 2366/2015 modifica quanto era previsto dall’articolo 3, lettera b, della PSD1, secondo cui gli obblighi previsti dalla legge non si applicavano “[…] alle operazioni di pagamento dal pagatore al beneficiario effettuate tramite un agente commerciale autorizzato a negoziare o a concludere la vendita o l’acquisto di beni o servizi per conto del pagatore o del beneficiario […]”.
Adesso, invece, è previsto che la deroga si applichi, ma a condizione che l’agente agisca per conto del solo pagatore o del solo beneficiario; se, invece, l’agente agisce per entrambi, allora lo stesso può beneficiare della deroga solamente se non entra in possesso dei fondi dei clienti in nessun momento.
Un altro caso particolarmente interessante di rimodulazione della deroga è quella che riguarda gli strumenti a spendibilità limitata come, ad esempio, le carte petrol, fidelity (dove è associata una funzionalità di pagamento), carte di pagamento per il trasporto pubblico, buoni pasto, buoni sociali e buoni regalo. Per tutti questi strumenti, il legislatore europeo, in realtà, è intervenuto al fine di evitare alcuni effetti elusivi legati all’interpretazione che si faceva della PSD1 su questo punto.
Per fare questo, la direttiva PSD2 dispone una serie di obblighi e requisiti da rispettare, in modo da evitare comportamenti in frode alla legge.
Tra questi, ad esempio, c’è l’obbligo per il prestatore, che è convinto di ricadere nella fattispecie oggetto di deroga, di informare e consultarsi con l’autorità competente prima dell’avvio dell’attività, nel caso in cui il volume d’affari previsto superi una soglia determinata –in particolare, un milione di Euro di media al mese, su base di dodici mesi.
Per quanto riguarda, invece, l’ambito di applicazione soggettivo della normativa, la Direttiva 2366/2015 allarga la platea di soggetti che devono rispettare le disposizioni della PSD2, includendo anche player non bancari ed allargando così lo spazio di mercato dei pagamenti digitali.
Più soggetti per un mercato più competitivo
L’aumentata estensione dell’applicazione soggettiva della Direttiva già rivela quale altra misura innovativa contiene la PSD2 per garantire, questa volta, una maggior competizione all’interno del settore dei pagamenti online.
Il riferimento è all’introduzione delle “Terze Parti”, altrimenti dette Third Party Payment Services Provider (o anche solo semplicemente TPP), che sono in sostanza i soggetti abilitati a prestare servizi di accesso ai conti, diversi dalle banche o da altri istituti di credito in generale.
In particolare, ne potranno esistere di due tipi:
- i Payment Initiator Service Provider (PISP), che potranno offrire un servizio di pagamento in cui l’ordine viene fatto su richiesta del cliente relativamente ad un conto di pagamento detenuto presso un altro prestatore di servizio di pagamento;
- gli Account Information Services Provider (AISP), che sono invece coloro che potranno offrire un servizio di informazione relativo allo stato di uno o più conti di pagamento detenuti dal cliente di servizi di pagamento presso uno o più prestatori di servizi di pagamento.
Questa è forse una delle novità più dirompenti di tutta la nuova normativa europea.
A ben vedere, infatti, il legislatore ha preso una decisione di importanza epocale, che fino a qualche anno fa era addirittura inconcepibile: aprire, cioè, il mercato a nuovi soggetti, i quali, forti di questa riconosciuta “dignità legale”, potranno operare sui conti correnti degli utenti, gestendo in prima persona trasferimenti di denaro e avendo accesso ad una serie di informazioni che prima erano conservate gelosamente dai player istituzionali.
Questo darà innegabilmente una forte spinta a tutto il mercato, portando all’interno dell’agone soggetti che prima ne erano esclusi, si spera a beneficio sia degli utenti finali che della qualità media del servizio offerto.
I primi effetti positivi, in tal senso, si stanno già profilando: è, infatti, notizia recente la nascita ufficiale di un’organizzazione no profit, la FoEF (Future of European Fintech), per mano di un gruppo di aziende Fintech europee – la ETPPA – con lo scopo di assistere le Terze Parti in tutte le sfide legate all’applicazione della PSD2 e di garantire una competizione sana ed equa nella fornitura dei servizi digitali di pagamento tra questi e i player tradizionali.
Ovviamente la direttiva PSD2 mira a creare proprio questi meccanismi virtuosi di mercato, ma non si può negare che un’apertura del genere porta con sé anche alcune criticità, soprattutto in termini di sicurezza e tracciabilità nella gestione dei dati. Per ovviare a questo problema, la Direttiva 2366/2015 ha previsto che tali TTP debbano ottenere l’autorizzazione a prestare i servizi, a seguito di una verifica di idoneità, svolta dall’Autorità nazionale di competenza, che nel caso italiano è la Banca d’Italia.
A questo si aggiunge l’obbligo, da parte di ogni Stato membro, di istituire un registro pubblico che indichi i servizi per i quali l’istituto di pagamento è autorizzato o per quelli per cui sono state concesse determinate esenzioni. Tutte queste informazioni andranno poi a confluire nel Registro Elettronico Centrale dell’EBA, in modo tale che chiunque voglia possa accedervi e conoscere senza difficoltà tutte le informazioni relative ai soggetti autorizzati.
Inoltre, ogni autorizzazione viene rilasciata a condizione che il soggetto richiedente possegga un’assicurazione per la responsabilità civile professionale di importo minimo stabilito dall’EBA stessa, valida in tutti i territori in cui si offrono i servizi.
Una sicurezza rafforzata: SCA e il nuovo sistema 3D secure
Come detto sopra, per stimolare la diffusione dei sistemi digitali di pagamento in tutta Europa, la terza leva che il legislatore utilizza, assieme all’armonizzazione della normativa e all’introduzione di nuovi soggetti nel contesto competitivo, è la sicurezza.
Del resto, si parla pur sempre di dati finanziari personali, molto sensibili, che possono essere maneggiati da più soggetti all’interno di una stessa transazione. Per questo, il tema della sicurezza è quasi un elemento sotteso a tutte le componenti della PSD2, che pure vi si sofferma specificamente introducendo una serie di concetti chiave da ricordare.
Per prima cosa, la Direttiva 2366/2015 introduce il concetto di “Autenticazione forte del cliente” – o anche SCA, ovvero Strong Customer Authentication – che diventerà obbligatoria per tutte le aziende che forniscono i servizi finanziari di cui si è detto.
La SCA è un sistema di sicurezza aggiuntivo che permette di riconoscere ed autenticare in modo univoco il cliente, così da ridurre al minimo la possibilità di essere vittima di operazioni fraudolente commesse da terzi.
Essa richiede che chiunque voglia accedere ad un conto online o disporre di un pagamento digitale debba autenticarsi usando almeno due di tre strumenti, classificati come “conoscenza” (usando, ad esempio una password o un PIN personale), “possesso” (tramite un token fisico o mobile che genera automaticamente una chiave) e, infine, “inerenza” (come ad esempio il riconoscimento facciale o dell’impronta digitale).
In sostanza, la PSD2 chiede a tutte le aziende legate ai servizi di pagamento online di implementare questo sistema di protezione nel contesto di alcune operazioni che possono essere svolte dall’utente, come l’accesso al conto di pagamento online, la disposizione di un pagamento elettronico (in questo caso prevedendo degli elementi che colleghino in maniera dinamica l’operazione al beneficiario o all’importo specifico) e, in generale, qualsiasi azione compiuta a distanza che possa comportare un rischio di frode nei pagamenti.
Nota interessante: l’Autenticazione Forte predisposta dal soggetto autorizzato deve superare determinati standard tecnici di sicurezza elaborati dall’EBA stessa.
Anche in questo caso sono previste delle deroghe all’obbligo appena descritto e riguardano soprattutto le transazioni ricorrenti o quelle con un importo basso (inferiori a 30 Euro) o in cui il beneficiario del pagamento sia un soggetto ritenuto affidabile.
Sempre nell’ottica di aumentare la sicurezza delle operazioni, la Direttiva 2366/2015 ha spinto in maniera decisiva per l’aggiornamento e il miglioramento del 3D Secure, ovvero del servizio finalizzato ad aumentare il livello di sicurezza delle transazioni che trasferisce la responsabilità dai commercianti alle banche.
In particolare, la PSD2 prevede l’introduzione obbligatoria a partire dal 14 settembre 2019 della 3D Secure 2.0, per migliorare la navigazione dell’utente, il quale prima della riforma rischiava, da un lato, di essere tratto in inganno dall’aspetto della pagina di reindirizzamento che sembrava simile a quelle usate per i siti di phishing e, dall’altro, si trovava a dover ricordare innumerevoli password in caso di possesso di più carte.
Malfunzionamenti, frode informatica e clonazione
In chiusura è bene segnalare un’ulteriore novità, che contribuisce a restituire una visione più completa del nuovo impianto normativo costruito dalla direttiva PSD2.
La Direttiva 2366/2015 è intervenuta a regolare i casi in cui l’utente finale si trovi ad essere vittima di malfunzionamenti, frode informatica e clonazione. Sebbene non ci si voglia addentrare nella materia, che purtroppo non è stata semplificata a sufficienza dal legislatore europeo, i dati da sottolineare sono due.
Da un lato, la Direttiva sembra andare incontro all’utente, riducendo la franchigia a suo carico a seguito di operazioni di pagamento non autorizzate, dovendo lo stesso rispondere solo per un importo limitato a 150 Euro.
Dall’altro lato, sebbene sia previsto che, in caso di operazione di pagamento eseguita non correttamente, l’onere della prova ricada sul prestatore di servizi di pagamento o, se utilizzato, sul prestatore di servizi di disposizione di ordine di pagamento, restano tuttavia delle zone d’ombra nel caso in cui la responsabilità di tali soggetti non sia facilmente attribuibile o distinguibile.
Dal momento che, infatti, “la prestazione di servizi di disposizione di ordine di pagamento non è subordinata all’esistenza di un rapporto contrattuale a tale scopo tra i prestatori di servizi di disposizione di ordine di pagamento e i prestatori di servizi di pagamento di radicamento del conto”, può non esserci di fatto un testo contrattuale a cui fare riferimento e questo potrebbe rendere necessario lo svolgimento di un’istruttoria, che rappresenterà certamente un costo di gestione notevole per tutti gli attori in campo.
Appare chiaro chela PSD2 contiene in sé degli elementi di chiara novità, anche se è facile prevedere che non solo l’applicazione della normativa non sarà senza problematiche sul piano tecnico, ma anche che per la natura stessa dell’ambito di interesse, il legislatore europeo sarà chiamato presto ad intervenire con misure correttive e chiarificatrici.
Scarica l’eBook e scopri tutto quello che c’è da sapere sulla Direttiva Europea PSD2 ed un esempio virtuoso da cui prendere ispirazione.