Cos’é la PSD2
La direttiva dell’UE 2015/2366 (Payment Service Directive 2 – PSD2) è una nuova legge Europea che ha come oggetto il mercato dei pagamenti nell’Unione. È un’evoluzione della direttiva 2007/64/CE (Payment Service Directive – PSD).
Photo by Web Hosting on Unsplash
FinTech e Europa
Il settore FinTech non ha avuto fin’ora molto successo in Europa a differenza del mercato Americano. Molti strumenti non avevano la possibilità di funzionare qui a causa della mancanza di API per la connessione agli istituti bancari.
Attori come Intuit, con Mint sono presenti da tempo in America e permettono l’aggregazione dei dati economici presenti su diversi account per avere una visione d’insieme e per l’automazione di alcuni scenari.
In Italia (ed in Europa), purtroppo, questo é stato impossibile fino ad ora per la mancanza di interfacce macchina di comunicazione con la banca. Alcuni soggetti, come Yolt hanno aggirato il problema utilizzando l’accesso utente e “visualizzando” i dati presenti nella pagina, ma il risultato é spesso instabile e lento.
Tutto questo sarà un ricordo, con l’adeguamento delle banche alla nuova direttiva sarà possibile accedere ai dati bancari tramite interfacce dedicate.
I cambiamenti
Deloitte delinea chiaramente il perimetro della normativa nel suo ottimo documento di approccio al nuovo sistema.
Essa consiste in 6 cambiamenti fondamentali:
- La PSD 2 include nello scope le cosiddette «one leg out» transactions in tutte le divise. Per la precedente PSD I il perimetro era limitato alle transazioni in Euro.
- Invece di effettuare i pagamenti direttamente dalla propria banca, PSD 2 consente a player terzi di effettuare un pagamento attraverso un Payments Initiation Service Provider (PISP), che trasmette le istruzioni alla banca detentrice del conto del payer.
- PSD 2 definisce un nuovo set di regole per aprire l’accesso a terze parti alle informazioni relative ai conti necessarie per effettuare un pagamento, favorendo il ruolo degli account aggregators (AISP).
- PSD 2 introduce nuovi requisiti di sicurezza riguardanti l’accesso ai conti, i pagamenti elettronici e che impongono severe linee guida per l’implementazione da parte degli AISP e dei PISP.
- Viene posto un cap alle interchange fees pari allo 0.2% e 0.3% del valore della transazione rispettivamente per le carte di debito e per le carte di credito.
- Ulteriori trasposizioni della SEPA in legge: in PSD 2 la regolamentazione riguardante il diritto di refund per gli SDD è armonizzata con le direttiva SEPA.
I punti 2 e 3 sono senz’altro i più interessanti dal punto di vista dell’innovazione. Essi delineano una certa apertura alle nuove tecnologie da parte degli strumenti bancari che avverrà su due fronti:
- la lettura dei dati finanziari da parte di soggetti terzi;
- la possibilità da parte di soggetti terzi di agire come “intermediari” per i pagamenti digitali.
I nuovi attori
PSD2 delinea quindi la presenza di due nuovi attori, Third Party Players (TPP), nel mercato finanziario.
I TPP sono suddivisi in:
- Account Information Services Providers (AISP);
- Payment Initiation Service Providers (PISP).
Un soggetto AISP autorizzato può chiedere il permesso all’utente di connettersi al conto corrente bancario e utilizzarne le informazioni per fornire un servizio.
Le attività registrate come AISP sono autorizzate alla sola lettura delle informazioni bancarie. Possono perciò solo recuperare le informazioni ma non spostare denaro per conto del cliente.
Servizi e strumenti che generalmente possono essere offerti da un AISP sono:
- confronto di costi, gestione statistica di entrate e uscite;
- velocizzazione dell’accesso a prodotti finanziari come prestiti, mutui o investimenti.
Un soggetto PISP può chiedere il permesso all’utente per connettersi al conto corrente bancario ed effettuare pagamenti al suo posto.
Ci sono diversi motivi per i quali questo può essere utile, come:
- applicazioni che gestiscono automaticamente spese ricorrenti e risparmi;
- applicazioni che garantiscono al cliente di non superare un budget per, ad esempio, evitare gli interessi sullo scoperto.
La sicurezza prima di tutto
I TPP, dovranno seguire le stesse regole dei fornitori di servizi di pagamento tradizionali per poter operare. Si dovrà pertanto procedere con la registrazione e l’autorizzazione da parte delle autorità competenti, che vigileranno sui nuovi soggetti.
L’authority bancaria Europea (European Banking Authority – EBA), ha sviluppato un archivio elettronico in cui verranno registrate tutte le informazioni riguardanti i pagamenti e, nello specifico, sui PISP e gli AISP che avranno l’autorizzazione ad operare in UE nell’ambito della direttiva PSD2. In questo modo sarà il cliente potrà verificare se l’attività a cui sta affidando i sui dati è effettivamente autorizzata ad offrire il servizio.
La direttiva PSD2 é stata poi integrata con il regolamento delegato UE/2018/389 contenente le norme tecniche per l’autenticazione forte del cliente (Strong Customer Authentication – SCA) e gli standard aperti di comunicazione comuni e sicuri (Common and Secure Communication – CSC).
I requisiti di Strong Customer Authentication, ai quali le banche si stanno già adeguando, prevedono la combinazione di almeno due fattori di autenticazione tra i seguenti tre:
- “Knowledge factors” (conoscenza), qualcosa che solo l’utente conosce, ad esempio la password o il PIN;
- “Possession factors” (possesso), qualcosa che solo l’utente possiede, ad esempio uno smartphone o una chiavetta/token;
- “Inherent factors” (inerenza), qualcosa che é l’utente, generalmente i dati biometrici.
I requisiti di Common and Secure Communication sono invece più generici e volti ad assicurare la compatibilità tra i vari istituti e la sicurezza della trasmissione. In particolare ci si riferisce alla normativa ISO 20022 e ci si assicura che ciascuna banca provveda a pubblicare la documentazione per un canale di comunicazione standard e sicuro.
Le opportunità
PSD2 finalmente introduce alcune innovazioni nel comparto finanziario Europeo che permetteranno lo sviluppo del settore FinTech anche da questa parte dell’oceano. Le banche che attualmente non concedono l’accesso alle informazioni memorizzate nei conti dei loro clienti, con la PSD2 dovranno permettere l’accesso ai terzi che dispongono di una licenza e che sono stati autorizzati dal cliente in modo esplicito.
Le possibilità sono molte, alcune in ordine sparso:
- aggregazione di dati a scopo statistico per la finanza personale;
- riconciliazione automatica da parte di gestionali aziendali;
- intermediazione dei pagamenti a scopo di risparmi o gestione del budget.
Per chi volesse approfondire la tematica é disponibile la direttiva completa all’indirizzo: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32015L2366 e le linee guida dell’autorità bancaria Europea all’indirizzo: https://eba.europa.eu/regulation-and-policy/payment-services-and-electronic-money.
Purtroppo, la normativa per diventare AISP o PISP è molto stringente, ben venga se serve a garantire la sicurezza dei clienti, d’altro canto limita molto le possibilità di innovare da parte delle imprese meno strutturate.
Fortunatamente stanno nascendo piattaforme come OpenWRKS che si ripropongono di agire come intermediari per lo sviluppo di soluzioni come quelle elencate sopra da parte di piccoli soggetti.
Credo questa sia una delle evoluzioni piú importanti del settore, almeno fino a quando le criptovalute non troveranno il loro spazio e la blockchain non sarà utilizzata più estensivamente.