Deloitte, i punti aperti della Psd2

L’aggiornamento della direttiva sui servizi di pagamento (Psd2) si pone l’obiettivo di contribuire allo sviluppo del mercato dei pagamenti elettronici dell’Unione europa all’interno del quale i consumatori, gli operatori retail e i fornitori dei servizi a pagamento avranno la possibilità di godere dei vantaggi offerti dal mercato interno Ue. In particolare le regole operative di questa nuova “community” si propongono di:

1. stimolare il grado di competizione attraverso la promozione di metodi innovativi di pagamento. Ossia: imporre obblighi di supervisione anche per i fornitori di sistemi di pagamento non tradizionali (pagamenti e-commerce); ridurre le barriere all’entrata per alcune tipologie di fornitori dei servizi di pagamento; spingere le banche a permettere l’accesso alle infrastrutture delle loro Third Party Provider (Tpp) attraverso Api standardizzate (Application Programming Interfaces);

2. proteggere i consumatori e rafforzare la loro sicurezza nell’uso dei sistemi di pagamento: fornire costi di transazione più trasparenti e vietare l'applicazione di un "sovrapprezzo" al cliente nel caso in cui questi effettui pagamenti elettronici; migliorare le procedure di autenticazione e le misure volte alla protezione dei dati; incrementare il livello di tutela e di protezione dei clienti nel caso in cui si verifichi un pagamento non autorizzato.

1. La Psd2 introduce due differenti tipologie di Tpp: il Payment Initiation Service Provider (Pisp) e l'Account Information Service Provider (Aisp). Alle banche viene richiesto di consentire l'accesso dei Tpp ai loro sistemi di back-end; nel primo caso seguendo le richieste di inizializzazione in merito alle operazioni di pagamento, nel secondo facendo riferimento alle richieste di informazioni relative ai conti detenuti dai loro clienti (con la loro autorizzazione).

2. La Psd2 richiede l'applicazione delle c.d. misure di strong customer authentication (Sca), ovvero misure che devono essere implementate ogni volta che, in occasione nell'esecuzione di transazioni di pagamento tramite istituti finanziari tradizionali o Tpp, l'utente: accede all’account online, effettua una transazione di pagamento elettronico, esegue una qualsiasi operazione, attraverso canali remoti che sottendono un rischio di frode o abuso.

Queste misure richiedono l'utilizzo di almeno tre fattori indipendenti: conoscenza (domanda di sicurezza, password), possesso (token, dispositivo personale o “digi-pass"), ereditarietà (impronte digitali, dati retina).

Il processo di implementazione della direttiva Psd2 ha avuto un percorso complesso. Uno dei passaggi fondamentali è stato la pubblicazione dei Regulatory Technical Standards (Rts) sulla Strong Customer Authentication (Sca) e sulla Common Secure Communication (Csc), avvenuta il 13 marzo 2018; mentre il 13 giugno 2018 l'Eba ha inoltre pubblicato il suo parere circa l’implementazione dell'Rts su Sca e Csc.

La definizione dell’Rts e le opinioni ad esso connesse sono elementi fondamentali del framework della direttiva Psd2, ma questi documenti aprono importanti questioni.

Il testo degli Rts verrà applicato a partire dal 14 settembre 2019, ma già a partire dal 14 marzo 2019 gli Account Servicing Payment Service Providers (Aspsp) dovranno rendere disponibili le specifiche tecniche relative alle loro interfacce di accesso ai Tpp e dovranno svolgere, sugli stessi Tpp, il cd. “test environment” volto a verificare le applicazioni che i Tpp utilizzeranno per offrire servizi.

L'Rts specifica solamente che gli Aspsp devono essere in grado di garantire che le loro interfacce rispettino gli standard di comunicazione emessi dalle organizzazioni internazionali o europee.

La Commissione, riconoscendo che la mancanza di requisiti dettagliati potrebbe determinare problemi applicativi, ha proposto la creazione dell’Application Programming Interface Evaluation Group (Apieg) volto a valutare le caratteristiche delle Api in modo da garantire che queste siano conformi a quanto definito dalla Psd2 e dagli altri regolamenti applicabili (come ad es. General Data Protection Regulation – Gdpr).

Le raccomandazioni emesse dall'Apieg sono preposte a sviluppare pratiche comuni di mercato tra gli Stati membri Ue al fine di ridurre i tempi e i costi di implementazione per gli attori coinvolti.

Il regolamento europeo sulla protezione dei dati generali (Gdpr), che è diventato esecutivo a partire da maggio 2018, delinea due domande aggiuntive riguardanti la Direttiva Psd2.

1. La prima è relativa all'identificazione del soggetto responsabile dell’ottenimento del consenso dei clienti per permettere alle banche di condividere le proprie informazioni di pagamento coi Tpp. La Psd2 prevede che i Tpp abbiano la possibilità di accedere in modo diretto alle informazioni relative all'account di pagamento del cliente, a condizione che abbiano ottenuto l’esplicito consenso, utilizzando l'infrastruttura delle banche per facilitare la fornitura di servizi di informazione di pagamento o di avvio.

Ottemperando la Gdpr, le banche risultano responsabili sia dell'elaborazione dei dati relativi ai loro clienti che delle finalità e delle modalità in cui i dati personali vengono processati e condivisi. Psd2 aggiunge dei requisiti preposti alla protezione dei dati partendo dalla consapevolezza che ai Tpp è consentito accedere alle informazioni solamente per finalità specifiche "esplicitamente richiesti dal cliente" legate alla fornitura di informazioni in merito all'account o ai servizi di attivazione del pagamento.

Pertanto, considerando questi requisiti interagenti, sembra che mentre i Tpp avvieranno probabilmente un processo di protezione del consenso dei clienti che comprende la sicurezza del consenso stesso e l’utilizzo dei dati, le banche rimarranno responsabili per la conferma e l’ottenimento del consenso direttamente dai propri clienti.

L'Eba, inoltre, nelle sue recenti opinioni/commenti ha evidenziato la sua convinzione relativamente al fatto che, se un Aisp o un Pisp fornisce servizi a un Payment Service User (Psu) sulle basi di un contratto firmato da entrambe le parti, gli Aspsp non devono verificarne il consenso. È sufficiente che l’Aisp e il Pisp possano affidarsi alle procedure di autenticazione fornite dagli Aspsp al Psu nel momento in cui si tratta dell'espressione di un consenso esplicito. Dal nostro punto di vista, non risulta chiaro come le banche possano verificare la volontà dei loro clienti e come gli obblighi contrattuali coinvolgeranno la banca. In questo senso figura desiderabile una dichiarazione congiunta di Eba e Edpb.

2. Altro punto d'attenzione è determinare cosa identifica i "dati di pagamento sensibili". L’Rts relativo a Sca e Csc nella Psd2 stabilisce che le banche devono fornire agli Aisp le stesse informazioni rese disponibili al cliente nel momento in cui questi accede direttamente alle informazioni del proprio account, nel caso in cui tali informazioni non includano "dati di pagamento sensibili". Sfortunatamente, né l'Rts né la Psd2 definiscono il significato di "dati sensibili di pagamento", lasciando così alla discrezione delle banche il compito di determinare quali essi siano.

La Gdpr definisce i dati personali, che conseguentemente protegge, come qualsiasi informazione relativa a una persona fisica identificata o identificabile. Consente anche agli Stati membri della Ue di specificare le proprie regole relative a "il trattamento di categorie speciali di dati personali (" dati sensibili "), definiti come quei dati personali che rilevano origini razziali o etniche, opinioni politiche, credenze religiose o convinzioni filosofiche, appartenenza sindacale, trattamento di dati genetici e dati biometrici.

Il rischio, in assenza di ulteriori dettagli in merito a tale definizione, è che la regola/requisito sarà interpretato in modo meno restrittivo, facilitando l'accesso a informazioni aggiuntive e non necessarie per gli scopi indicati negli standard nella norma, aumentando il rischio di non conformità.

Figura necessario ottenere da parte delle autorità di regolamentazione ulteriori indicazioni in merito alle modalità in cui le imprese possano riconciliare i requisiti previsti dalla Psd2 e dal Gdpr, sia nel periodo provvisorio che in quello seguente. Risulta auspicabile che le aziende gestiscano i programmi di implementazione Gdpr e Psd2 in modo coordinato, tenendo conto del condizionamento reciproco.

D'altra parte, con l'Rts finalizzato e il calendario delle scadenze di attuazione chiarito, le aziende dovrebbero procedere rapidamente, chiarendo il loro posizionamento strategico e quindi procedendo alla progettazione e implementazione delle loro interfacce di comunicazione, sulle soluzioni Sca e sulla definizione dei modelli operativi per la gestione dell'interazione con Tpp. Tutti questi punti consentiranno alle aziende di affrontare un ambiente competitivo in rapida evoluzione come quello attivato da Psd2.

(a cura di Deloitte)