CON LA PSD2 NUOVI SERVIZI, NUOVI ATTORI E MISURE DI SICUREZZA SI AFFACCIANO SUL MERCATO DEI SERVIZI DEI PAGAMENTI
Circa una settimana fa, la PSD2 (Payment Services Directive 2), seconda edizione della Direttiva UE sui servizi di pagamento nel mercato europeo, è stata approvata in via definitiva dal Consiglio dei Ministri. Ciò fa dell’Italia uno tra i primi Paesi europei ad aver recepito la nuova Direttiva, che entrerà in vigore a partire dal 13 gennaio 2018.
In passato abbiamo già accennato al ruolo che la PSD2 avrà sul sistema dei pagamenti e sui trust services dentro e fuori l’Unione Europea. Oggi cerchiamo invece di descrivere brevemente le principali novità introdotte dalla direttiva per capirne gli obiettivi e i possibili vantaggi per aziende e cittadini.
PERCHÉ UNA DIRETTIVA EUROPEA PER REGOLARE IL MERCATO DEI SERVIZI DI PAGAMENTO?
Quali obiettivi hanno portato il Parlamento e la Commissione Europea, insieme al settore bancario, ad approvare la PSD2?
- la volontà di rilanciare l’economia nell’area EURO con condizioni che favoriscano più alti livelli di concorrenza all’interno del mercato dei pagamenti;
- l’interesse a garantire una migliore protezione ai dati e alle credenziali dei clienti, agli ambienti operativi e alle transazioni;
- la necessità di rispondere alle sollecitazioni di nuovi operatori interessati a entrare nel mercato dei servizi di pagamento con nuovi servizi.
E, di fatto, la PSD2 prevede che il mercato dei pagamenti europeo si arricchisca di nuovi attori e nuovi servi, che alcuni degli attuali servizi di pagamento vengano estesi ai nuovi operatori e che le ultime innovazioni in ambito tecnologico siano recepite e applicate per offrire più sicurezza alla clientela.
Vedremo cambiare le abitudini e i modi con cui gli utenti interagiscono con gli attuali Istituti di credito e questi, quando i clienti lo richiederanno, dovranno esser pronti ad aprire gli archivi dei dati personali ed economici della clientela per consentire ai nuovi attori di erogare i propri servizi e ai clienti di servirsene.
Ma vediamo di capire meglio, esaminando caratteristiche e funzioni dei nuovi attori del mercato dei pagamenti europeo introdotti dalla PSD2.
THIRD PARTY PLAYERS, IL MERCATO DEI SISTEMI DI PAGAMENTO SI ARRICCHISCE DI NUOVI ATTORI E SERVIZI
Con la Direttiva PSD2 il mercato dei servizi di pagamento si arricchisce della presenza dei cosiddetti TTP (Third Party Player), che si dividono in tre categorie.
AISP (ACCOUNT INFORMATION SERVICES PROVIDERS)
La funzione degli AISP, Account Information Services Providers, è quella di acquisire e rendere disponibili agli utenti informazioni sui movimenti e sulla disponibilità di conti di pagamento detenuti presso diversi istituti di credito. Offrono quindi un servizio di tipo puramente informativo, assimilabile alla consultazione di un e-wallet basato su più carte emesse da istituti diversi.
Gli AISP, nei soli casi in cui i clienti decideranno di avvalersi dei loro servizi, potranno quindi collegarsi ai conti bancari per recuperare informazioni, analizzare le abitudini di spesa e formulare previsioni sugli orientamenti futuri per fornire servizi collaterali quali: monitoraggio degli investimenti e delle raccomandazioni, categorizzazione della spesa, supporto nel budgeting e nella pianificazione finanziaria.
PISP (PAYMENT INITIATION SERVICE PROVIDERS)
I PISP, Payment Initiation Service Providers, consentono di effettuare dei pagamenti online mettendo in connessione un compratore con un venditore attraverso un software “ponte” tra i due account, senza l’utilizzo di una carta di credito.
Un PISP non detiene direttamente fondi di proprietà dei clienti, ma opera interagendo con le banche, che continueranno a poter essere raggiunte direttamente. Saranno i clienti a decidere quali transazioni di pagamento eseguire attraverso il canale diretto con la banca e quali in modo intermediato in base al tipo di operazione e alle preferenze sull’interfaccia di pagamento da utilizzare.
CISP (CARD-BASED PAYMENT INSTRUMENT ISSUING SERVICE PROVIDER)
Un CISP, Card-based Payment Instrument Issuing Service Provider, potrà emettere carte di debito a valere su conti detenuti presso un altro istituto.
I CISP non deterranno direttamente fondi dei clienti ma potranno interrogare gli istituti che li detengono e verificare la disponibilità per coprire importi precisi di spesa (fund checking).
PIÙ SICUREZZA ALLE TRANSAZIONI DI PAGAMENTO E ALLO SCMABIO DI FLUSSI INFORMATIVI
Con la crescita dei flussi informativi, delle interazioni e delle transazioni, le questioni legate alla sicurezza assumono la massima importanza e la PSD2 non manca di fornire risposte in tal senso. Tutti i fornitori di servizi di pagamento (banche, istituti di pagamento, Third Party Player) dovranno infatti adottare misure di sicurezza documentate, verificate periodicamente e sottoposte a audit da parte di personale qualificato.
La nuova versione del Regulatory Technical Standard (RTS) prevede che:
- in base al livello di rischio ipotizzato, l’ammontare e la ricorrenza della transazione, il canale utilizzato, si ricorra a sistemi di Strong Customer Autentication (SCA), con accertamento dell’identità attraverso due o più strumenti di autenticazione, quando un cliente accede al proprio conto e dispone una transazione di pagamento attraverso un canale remoto che implichi un rischio di frode;
- siano adottate misure volte a garantire la riservatezza e l’integrità delle credenziali degli utenti;
- le comunicazioni tra banche, TPP, ordinanti e beneficiari, siano basate su standard aperti, comuni e sicuri.
Per quanto riguarda i Third Party Players (AISP, PISP e CISP), questi avranno accesso alle sole informazioni utili all’erogazione dei propri servizi, sulla base di un mandato per uno specifico conto o di una richiesta individuale. Dovranno identificarsi per interagire con gli Istituti di credito e potranno scambiare dati solo tramite soluzioni sicure e comunicazioni cifrate. In questo senso i trust services avranno un ruolo importante entro i nuovi scenari creati dalla PSD2.
20 dicembre 2017