Con l’avvio della PSD2, è iniziata in Europa l’era dell’Open Banking, una pietra miliare in un percorso di innovazione e trasformazione che sta scardinando equilibri consolidati nel settore bancario, spinto dalla normativa e dalla disruption digitale. La Payment Service Directive 2, la seconda direttiva sui servizi di pagamento, è un provvedimento che impegna da mesi il settore. Come per il GDPR, la PSD2 ha avuto due momenti chiave: nel gennaio 2018 è entrata in vigore, mentre lo scorso 14 settembre 2019 è diventata efficace.
Si tratta di una misura che ha molteplici obiettivi: accelerare l’innovazione nel settore bancario, sancire che la titolarità dei dati appartiene ai clienti (e non alle banche), disincentivare l’utilizzo del contante, che in Italia è ancora troppo diffuso, e come conseguenza diretta contrastare l’evasione fiscale. Ricordiamo che mentre all’estero i pagamenti digitali raggiungono punte dell’80% del totale, l’Italia è ferma a un 25%, se pure in crescita rispetto agli anni passati.
Con la PSD2 si compie dunque un passo importante per la creazione del mercato unico digitale europeo. Il settore bancario si vede così obbligato ad aprirsi ad altri soggetti e a una concorrenza che non può più arginare arroccandosi sulle proprie posizioni per difendere il consolidato, piuttosto che contrastare l’onda dell’innovazione digitale riducendo costi e commissioni per i propri clienti o spingendo i nuovi servizi di pagamento.
Cosa cambia con la PSD2: accesso ai dati e nuovi attori sul mercato
In sintesi, la direttiva europea obbliga banche e istituti di credito ad aprire il forziere dei propri dati e a condividere le informazioni sui clienti a soggetti terzi (non necessariamente operatori bancari), attraverso le API, un elemento di raccordo fra sistemi informativi ben noto a chi si occupa di ICT. Le API servono appunto a terze parti ad accedere ai conti e ai dati dei clienti ed effettuare operazioni di pagamento per conto del titolare, naturalmente previa autorizzazione, proponendo nuovi servizi innovativi e maggiormente incentrati sulle esigenze del cliente.
In questo mondo aperto, chi acquista maggiore libertà è il cliente, libero di scegliere l’operatore o del servizio di cui avvalersi per effettuare pagamenti o per gestire le proprie finanze. Significa dunque aprire le porte ai nuovi nuovi attori nel panorama finanziario, non solo le startup della finanza, le cosiddette le FinTech, ma anche Amazon e Facebook, società che offrono servizi di pagamento e via dicendo: potranno dunque accedere ai conti e mettersi in competizione con le banche.
Con PSD2 si afferma dunque un principio nuovo rispetto alla titolarità dei dati, che ritorna dalla banca al cliente, che deve dare il consenso al loro utilizzo ai provider dei quali utilizza i servizi.
Più in dettaglio, gli operatori terzi, sono di tre tipologie:
- AISP (Account Information Service Provider): i fornitori di servizi che hanno accesso ai dati sui conti dei clienti, per analizzarne i comportamenti e fare anche da aggregatori dei dati di diversi istituti di credito
- PISP (Payment Initiation Service Provider): società autorizzate aprelevare, sempre previo consenso dell’utente, denaro da un conto per avviare un processo di pagamento
- CISP (Card Issuing Service Provider): prestatori di servizi di pagamento basati su carta. Possono verificare la disponibilità dell’importo per la transazione richiesta ma non possono sapere il saldo del conto del cliente
Come cambiano le regole di sicurezza: la Strong Authentication manda in soffitta le chiavette
Più apertura significa anche più sicurezza. Un sistema aperto, che prevede lo scambio di dati sensibili, richiede protezione elevata contro accessi fraudolenti e minacce di hacker e criminali informatici. Perché il paradigma di PSD2 possa attuarsi, serve rafforzare le misure. Ecco perché con PSD2 entra in gioco la Strong Customer Authentication (SCA), una autenticazione forte richiesta per regolare l’accesso ai conti di pagamento, o autenticazione a due fattori, che richiede la verifica di almeno due informazioni diverse per provare in maniera univoca l’identità dell’utente. L’Autenticazione forte, obbligatoria per pagamenti sopra i 30 euro, identifica in maniera univoca il cliente per proteggerli nell’esecuzione di operazioni di pagamento e prevede una doppia procedura di controllo. Le chiavette, o meglio i token, non possono più essere utilizzate. Ora il codice da digitare è sul cellulare, accessibile dall’app della banca o via sms.
Piùin dettaglio con PSD2, il pagamento avviene attraverso tre fasi:
- Payment Initiation, ovvero disporre un pagamento (su espressa richiesta dell’utente) su un conto gestito da un altro prestatore di servizi
- Account Information, per mettere a disposizione dati relativi ai servizi di payment che un utente ha attivi presso altri servizi di pagamento oltre a quello principale
- Funds Checking, che rappresenta il servizio effettuato da un prestatore di soluzioni di pagamento diverso dalla banca dove il cliente ha attivo il proprio conto e che prevede la possibilità di avere informazioni dalla banca sulla disponibilità di fondi.
La proposta di Confindustria per ridurre il contante
Intanto, da Confindustria arriva una nuova proposta, che va nella direzione di PSD2, ovvero di incentivare l’uso degli strumenti di pagamento digitali disincentivando il contante
La proposta passa attraverso due iniziative:
- un credito di imposta del 2% al cliente che effettua i pagamenti mediante transazioni elettroniche. In questo caso il consumatore dovrebbe accumulare un reddito contabilizzato e comunicato dalla banca di appoggio: il credito di imposta verrebbe applicato al momento della dichiarazione dei redditi;
- introduzione di una commissione in percentuale dei prelievi da sportelli al di sopra di una determinata soglia mensile (1500 euro al mese), una forma di penalizzazione, una “commissione alla fonte da calcolarsi in percentuale del prelievo effettuato, con il cliente che rispettivamente ritirerebbe direttamente la somma al netto della commissione”.
