Èdi pochi mesi la pubblicazione del decreto legislativo di recepimento della direttiva UE, altrimenti conosciuta come PSD2 (acronimo di Payment Services Directives 2). La direttiva si inserisce nel progetto europeo di sviluppo ed armonizzazione di un mercato dei pagamenti sempre più ampio ed integrato, che raccolga e regolamenti l’attività dei Prestatori di servizi di Pagamento (PSP) - quali le banche - e di nuovi operatori, nel quadro di una più estesa attenzione alla sicurezza dei servizi di pagamento e alla tutela degli utenti.
L’esigenza di un nuovo quadro normativo è figlia di una accelerazione registrata negli ultimi anni per frequenza d’uso e volumi dell’industria globale dei pagamenti e delle modalità con cui gli utilizzatori di servizi di pagamento si servono di internet e di e-commerce, di tecnologie POS, digitali e mobile, wallet digitali, di sistemi contactless, in sintesi di una tecnologia di servizio per le loro abitudini di spesa.
Una delle novità salienti di PSD2 è rappresentata dall’obbligo in capo ai PSP di prevedere specifiche sempre più stringenti per consentire ad un utente la gestione degli accessi al suo conto on line, di disporre un operazione di pagamento elettronico o più in generale di svolgere le attività on line di consultazione e pagamento nei nuovi contesti definiti “ecosistemi digitali”, rispetto ai quale tuttavia sono necessari presidi per contenere i rischi di frode.
La normativa impone - dal 2019 - maggiori tutele nell’identificazione dell’utente, vincolata alla presenza di almeno due o più elementi indipendenti tra loro:
• un identificativo (per es. PIN o Password) conosciuto solo dall’utente
• la disponibilità di uno “strumento” (per es. un token, una carta, ecc.) posseduto solo dall’utente
• una caratteristica distintiva che identifichi in modo esclusivo l’utente (per es. la voce, l’impronta digitale, ecc.).
Questi elementi combinati tra loro concorreranno a comporre la cd “SCA” (Strong Customer Authentication”), al cui utilizzo dovranno uniformarsi tutti i prestatori di servizi di pagamento. L’Autorità Bancaria Europea (EBA) in collaborazione con la Banca Centrale Europea ha recentemente pubblicato per la “SCA” l’insieme delle specifiche norme tecniche di attuazione.
Sempre nell’ottica di una maggior tutela dell’utente, la direttiva impone altresì nuove e più stringenti modalità di gestione delle richieste di rimborso per operazioni non autorizzate e sulle segnalazioni di frode perpetrate a danno dei correntisti.
Il Gruppo Banco Desio ha da tempo messo a disposizione degli utenti dei canali digitali la “secure call”, una modalità di autorizzazione delle disposizioni di pagamento già conforme alla nuova normativa e che consente ad oggi un maggiore presidio dei rischi di frode. Sono in corso le attività per introdurre anche l’autorizzazione tramite impronta digitale e riconoscimento facciale tramite dispositivi mobili.
Ma come accennato in apertura, la direttiva PSD2 nel prefigurare i nuovi scenari del mercato bancario europeo dei sistemi di pagamento, ha voluto si definirne e regolamentarne gli assetti, ma anche delineare le nuove opportunità di servizio, il ruolo e le attività di nuovi operatori. Nuovi servizi, infatti, potranno essere erogati da prestatori di servizi di pagamento anche non bancari (definiti dalla direttiva “TPP” (Third Parties Providers) che potranno frapporsi tra l’utente che deve effettuare un pagamento ed il suo conto corrente on line, avviando direttamente il pagamento a favore del beneficiario (per esempio un esercizio commerciale). Oppure potranno consentire al cliente che accede al suo conto on line di richiedere – per il loro tramite – informazioni aggregate (inquiry saldo/ movimenti, per esempio) su altre banche presso le quali il cliente intrattiene rapporti. Oppure ancora effettuare pagamenti tramite una carta emessa a valere su più conti del pagatore, magari intrattenuti presso altre banche.
L’operatività di questi nuovi soggetti (i TPP citati), terzi rispetto alle banche, tramite i quali il cliente potrà agire sui propri conti, avverrà tramite specifiche autorizzazioni delle competenti autorità dello Stato membro di insediamento del TPP ed abiliterà quest’ultimo ad operare in tutti gli Stati membri. Un “Registro Elettronico Centrale” - curato direttamente dall’Autorità Bancaria Europea (EBA) - gestirà tutti questi soggetti esterni, autorizzati ad operare come istituti di pagamento.
Alle aziende di credito la direttiva impone di mettere a disposizione di questi nuovi operatori apposite interfacce informatiche tramite cui operare sui conti correnti detenuti dal cliente presso la banca, per quei servizi (inquiry saldo/movimenti, disposizione di pagamento) offerti alla propria clientela in modalità on-line (per esempio con l’home banking fornito dalla banca). Per quanto ovvio, sarà il cliente in assoluta autonomia a scegliere se e di quale TPP avvalersi e quali servizi utilizzare.
Gli scenari che si aprono con la direttiva PSD2, con le novità introdotte, appaiono ampi e complessi e di notevole impatto. Per gli istituti di credito – come per le società emittenti di carte - si è già aperta una fase di adeguamento procedurale e tecnologico di notevole portata, cui seguiranno inevitabilmente in un futuro prossimo venturo scelte di natura strategica su nuovi modelli di business e nuove partnership. E per i clienti, maggiori garanzie in termini di sicurezza, nuove opportunità di accesso ad un mercato dei pagamenti sempre più articolato, efficiente e competitivo.
Per il Gruppo Banco Desio i rinnovati servizi a supporto di tali operatività (nuova piattaforma di home banking e mobile banking, sviluppo di partnership strategiche, ecc.), uniti ai maggiori presidi per i rischi connessi all’operatività dispositiva nei canali digitali rappresentano una priorità su cui si continua ad investire in collaborazione con l’outsourcer informatico di riferimento CEDACRI.
EN
IT