PSD3 e PSR post-trilogo: la nuova architettura europea dei pagamenti entra nella fase decisiva

Che cosa consentono davvero di leggere, oggi, i testi post-trilogo di PSD3 e PSR finalmente resi accessibili?

La pubblicazione dei testi di compromesso relativi agli Interinstitutional Files 2023/0209(COD) e 2023/0210(COD) segna un passaggio essenziale nell’iter della nuova disciplina europea dei servizi di pagamento.

Per la prima volta dopo la chiusura politica dei triloghi, è possibile osservare con maggiore precisione l’assetto regolatorio verso cui si stanno orientando la nuova PSD3 e il regolamento di accompagnamento PSR.

È su questa base, ancora non definitiva ma ormai sufficientemente strutturata, che può essere avviata una prima analisi delle aree di maggiore rilevanza strategica: dall’interplay tra PSD3/PSR e MiCAR nei pagamenti in moneta elettronica tokenizzata, incluse le stablecoin EMT-based, alla Strong Customer Authentication; dalla prevenzione delle frodi all’open banking, dall’interoperabilità ai virtual IBAN, fino ai nuovi obblighi che intercettano technical service provider, ECSPs, circuiti, processor, piattaforme e altri soggetti della catena digitale del pagamento.

L’analisi proposta in questo contributo deve però essere letta per ciò che è: una valutazione previsionale, fondata sui testi post-trilogo oggi disponibili e sulla competenza tecnico-interpretativa dell’autore, non una ricostruzione definitiva del futuro assetto normativo.

Finché PSD3 e PSR non saranno approvati nei successivi passaggi formali da Parlamento europeo e Consiglio e non verranno pubblicati nella loro versione finale, ogni lettura resta necessariamente soggetta a conferma, affinamento e possibile rimodulazione.

Proprio per questo, il valore dei testi post-trilogo non consiste nel chiudere l’analisi, ma nell’aprirla su basi finalmente concrete.

La direzione di marcia appare già leggibile: l’impianto legislativo unionale per i pagamenti digitali non si limita più ad aggiornare la PSD2, ma tende a costruire un ecosistema regolatorio nel quale sicurezza, trasparenza, interoperabilità, responsabilità e accesso diventano obblighi distribuiti lungo l’intera catena del valore.

Dalla proposta del 2023 ai testi post-trilogo del 2026: perché questo passaggio conta

Quando la Commissione europea ha presentato, il 28 giugno 2023, il Payment Services Package, il messaggio era già chiaro: la PSD2 aveva aperto il mercato, ma non era più sufficiente per governarlo.

L’open banking aveva prodotto risultati disomogenei, le frodi si erano spostate verso social engineering e impersonation, le piattaforme digitali avevano assunto un ruolo crescente nella catena dei pagamenti, gli operatori non bancari avevano incontrato ostacoli nell’accesso ai conti e alle infrastrutture, mentre la moneta elettronica e i crypto-asset iniziavano a convergere in modo sempre più evidente.

Da quella proposta sono nati due strumenti distinti ma complementari: la nuova direttiva sui servizi di pagamento e moneta elettronica, PSD3, destinata a sostituire PSD2[1] ed EMD2[2] sul piano autorizzativo e prudenziale; e il nuovo Payment Services Regulation, PSR, destinato a fissare regole di condotta direttamente applicabili in tutta l’Unione.

Il percorso legislativo è stato lungo. Dopo l’esame tecnico avviato nel 2023, il Parlamento europeo ha adottato i propri report iniziali nel 2024; dopo le elezioni europee, la commissione ECON ha confermato il mandato negoziale. Nel giugno 2025 il Coreper ha concordato il mandato del Consiglio; i triloghi sono iniziati il 9 luglio 2025 e il trilogo politico finale si è tenuto a Strasburgo il 26 novembre 2025. I testi di compromesso sono poi stati oggetto di consultazione silenziosa nel marzo 2026, con l’obiettivo di procedere verso l’accordo in seconda lettura.

Il dato politico è importante, ma quello regolatorio lo è ancora di più. Il compromesso post-trilogo mostra che il legislatore europeo non intende soltanto rendere più sicuri i pagamenti. Intende ridefinire chi è responsabile, chi deve cooperare, chi deve dare accesso, chi deve rendere trasparenti costi e dati, chi può restare fuori perimetro e a quali condizioni.

In questo articolo, esaminiamo 15 aree di rilevanza strategica (già oggetto di un precedente report a firma dello stesso autore dell’8 novembre 2025 scritto per l’Osservatorio Innovative Payments del Politecnico di Milano) alla luce dei testi resi disponibili il 22 aprile 2026:

1. Pagamenti e stablecoin in moneta elettronica (PSD3/PSR – MiCAR interplay)
2. Strong Customer Authentication (SCA)
3. Prevenzione delle frodi
4. Protezione dei fondi dei clienti (Funds Safeguarding Rules)
5. Nuovo perimetro di deroga (LNE, commercial agent)
6. Nuove definizioni (TSPs, ECSPs, Processor, Circuiti di pagamento)
7. Outsourcing
8. Electronic Communication Service Providers (ECSPs)
9. Interoperabilità
10. Nuovi poteri di vigilanza e sanzionamento
11. Divieto di surcharge generalizzato
12. Trasparenza delle commissioni
13. Open Banking
14. Buy Now Pay Later (BNPL)
15. Virtual IBANs

Pagamenti e stablecoin in moneta elettronica: l’EMT entra nel PSR quando funziona come pagamento

Il primo snodo riguarda gli Electronic Money Tokens, ossia gli EMT disciplinati dal MiCAR. Il compromesso post-trilogo adotta una logica funzionale: l’EMT non è attratto nel PSR perché è un token o perché circola su infrastruttura DLT, ma perché può essere usato come “funds” per eseguire payment transactions.

Il punto, ancorché sottile, è dirimente. La mera custodia di EMT resta, in linea di principio, nel perimetro MiCAR.

Anche il trasferimento diretto tra due self-hosted addresses, senza intermediari né dal lato del pagatore né dal lato del beneficiario, resta assimilabile a uno scambio disintermediato. Ma quando un custodial wallet consente all’utente di trasferire EMT a terzi, e soprattutto a merchant per pagare beni o servizi, la funzione può diventare quella di execution of payment transactions.

La conseguenza strategica è che alcuni wallet custodial che permettono al possessore delle chiavi privati di disporre di EMT, possono avvicinarsi molto a payment accounts o payment instruments. Se consentono invio e ricezione di fondi da e verso terzi, accesso online, ordini di pagamento e pagamenti verso merchant, non potranno essere letti soltanto come crypto custody. Dovranno confrontarsi con SCA, trasparenza delle fees, responsabilità per operazioni non autorizzate, regole sui limiti e, ove ricorrano i presupposti, accesso open banking.

Il messaggio è chiaro: MiCAR governa la natura del token e l’emissione; PSD3 e PSR intervengono quando l’EMT entra in una catena intermediata di pagamento.

Strong Customer Authentication: meno elusione, più ciclo di vita del pagamento

La SCA non viene reinventata, ma resa più robusta e meno aggirabile.

La struttura a due o più elementi, fondati su knowledge, possession e inherence, resta centrale. Tuttavia, il PSR chiarisce meglio quando la SCA deve intervenire: accesso online al payment account, disposizione di un ordine di pagamento elettronico e azioni remote che possono implicare rischio di frode o abuso.

Il punto più interessante è che la SCA esce dal solo momento del checkout. Diventa presidio dell’intero ciclo di vita digitale del rapporto che il prestatore di servizi di pagamento ha in essere con il proprio cliente, al tempo stesso utente del servizio di pagamento offertogli: token provisioning, creazione o sostituzione di strumenti tokenizzati, aumento dei limiti di spesa, cambio password, modifica dei dati di contatto, accesso tramite TPP, gestione dei mandati MIT e ricorso a tecnologie biometriche.

Per wallet provider, issuer, acquirer, PISP, AISP e TSP (Technical Services Provider), questo significa che l’autenticazione forte non può più essere trattata come un adempimento puntuale. Deve essere integrata con transaction monitoring, dynamic linking, gestione delle esenzioni, accessibilità degli strumenti e outsourcing tecnico.

La SCA diventa, in altre parole, una infrastruttura regolatoria. Non basta dimostrare che l’utente abbia autenticato l’operazione; occorre dimostrare che il sistema di sicurezza fosse coerente con il rischio concreto della transazione e del contesto digitale in cui essa è stata generata.

Prevenzione delle frodi: dalla responsabilità del PSP alla responsabilità di ecosistema

La riforma cambia profondamente il modo in cui l’impianto legislativo unionale dei pagamenti digitali guarda alla frode. Non si tratta più soltanto di operazioni non autorizzate in senso classico. Il PSR prende atto che molte frodi moderne manipolano l’utente, inducendolo a disporre un pagamento apparentemente volontario: impersonation fraud, spoofing, smishing, vishing, business e-mail compromise, invoice redirection.

Il transaction monitoring diventa quindi un obbligo centrale. Il PSP (Payment Services Provider) del pagatore deve monitorare prima dell’esecuzione; il PSP del beneficiario deve monitorare prima che i fondi siano messi a disposizione del beneficiario. Questa estensione al lato beneficiario è particolarmente rilevante, perché molte frodi si riconoscono osservando pattern di ricezione, mule accounts, beneficiari seriali o flussi anomali.

La SCA, da sola, non chiude più il discorso. Un pagamento può essere autenticato e tuttavia fraudolento se l’utente è stato manipolato. Il PSP dovrà poter dimostrare di avere applicato monitoring, verifica del beneficiario, eventuale sospensione dell’operazione e corretta gestione del reclamo.

La prevenzione delle frodi diventa così una funzione core, integrata con DORA[3], AML (Anti Money Laundering), GDPR, ePrivacy, open banking, SCA, comunicazione con i clienti e cooperazione con soggetti esterni al perimetro finanziario.

Protezione dei fondi dei clienti: safeguarding come presidio prudenziale e competitivo

La PSD3 rafforza la disciplina di safeguarding dei fondi ricevuti dagli istituti di pagamento. La logica resta quella già nota: gli istituti di pagamento non sono banche, non possono raccogliere depositi e i fondi degli utenti devono essere protetti in caso di insolvenza dell’istituto.

La novità non sta solo nella conferma dei metodi di segregazione o copertura assicurativa/garanzia, ma nella maggiore precisione del criterio di protezione. L’istituto deve salvaguardare l’importo corrispondente al claim dell’utente. Questo è cruciale nei modelli complessi: acquiring, settlement netto, chargeback, staged wallet (p.e. esempio PayPal o Satispay), pagamenti su marketplace (come ad esempio quelli su Amazon), virtual IBANs e schemi nei quali il denaro ricevuto in un dato momento non coincide perfettamente con l’esposizione economica verso gli utenti.

Rilevante è anche il trattamento dei conti di regolamento (settlement) presso i cc.dd. sistemi di pagamento designati (p.e. T2 o TIPS nell’Eurosistema). Se gli istituti di pagamento vogliono competere nei pagamenti istantanei e partecipare più direttamente alle infrastrutture, devono poter detenere liquidità in settlement accounts senza perdere la protezione dei fondi, purché siano rispettate segregazione, riconciliazione e protezione contro i creditori.

La segregazione dei fondi non è quindi solo una regola prudenziale. È una condizione di fiducia, continuità operativa e parità competitiva rispetto agli intermediari bancari.

Nuovo perimetro delle deroghe: meno arbitraggio su LNE e Commercial Agent Exemptions

Il compromesso restringe le zone grigie. Le esclusioni restano, ma vengono rese più selettive, più sorvegliate e meno disponibili per modelli che, nella sostanza, svolgono funzioni di pagamento.

La Commercial Agent Exclusion (CAE) viene ricondotta alla sua funzione originaria. L’agente commerciale deve agire per conto del solo pagatore o del solo beneficiario, non di entrambi, e deve avere un reale margine di negoziazione o il potere effettivo di concludere la vendita o l’acquisto. La piattaforma che opera su entrambi i lati controlla il checkout, incassa e trasferisce fondi difficilmente potrà schermarsi dietro una qualifica contrattuale di agente.

La Limited Network Eexclusion (LNE), a sua volta, viene preservata per strumenti realmente chiusi o specific-purpose. Non basta avere una rete contrattualizzata di esercenti: occorre che la rete sia effettivamente limitata, oppure che lo strumento sia utilizzabile per una gamma molto ristretta di beni o servizi. Il messaggio per gift card, welfare wallet, fuel card, programmi fedeltà e marketplace verticali è netto: la deroga richiede una business model analysis sostanziale, non una mera “ingegneria contrattuale” (ci sia consentita questa definizione …).

Nuove definizioni: il PSR diventa il dizionario funzionale della value chain

Una delle innovazioni più strutturali riguarda il lessico giuridico. PSD3 e PSR non aggiornano soltanto alcune definizioni; ridefiniscono la catena del valore dei pagamenti digitali.

Il PSR distingue Payment Services Providers (PSPs), Technical Services Providers (TSPs), Electronics Communication Services Providers (ECSPs), payment system operators, payment scheme operators, processing entities, OEM di dispositivi mobili, hosting providers, Very Large Online Platforms (VLOPs) quali ad esempio Alibaba, AliExpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Instagram, LinkedIn, X, Zalando, Very Large Online Search Engines (VLOSE)[4] tra cui Bing o Google, e altri soggetti che incidono sul pagamento pur non essendo necessariamente PSP.

Il punto è che non tutto ciò che abilita un pagamento diventa servizio di pagamento. Un TSP che supporta tecnicamente un PSP senza detenere fondi può restare fuori dall’autorizzazione PSD3. Ma ciò non significa irrilevanza regolatoria: se fornisce e verifica elementi SCA, se controlla componenti tecniche essenziali, se incide sull’interoperabilità o se non supporta correttamente l’applicazione della SCA, può essere attratto da obblighi specifici PSR.

La distinzione tra perimetro autorizzativo e perimetro funzionale diventa quindi centrale. Il mercato dei pagamenti non è più regolato solo chiedendo “chi è il PSP?”, ma anche “chi controlla la funzione critica?”.

Outsourcing: esternalizzare non significa trasferire la responsabilità regolatoria

La PSD3 riconosce che i pagamenti innovativi dipendono da cloud provider, processor, authentication provider, gateway, wallet technology provider, agenti, distributori e fornitori ICT. L’outsourcing è quindi ammesso, ma non può consentire di esternalizzare le responsabilità previste dalla dottrina autorizzativa.

Un istituto deve informare l’autorità competente quando esternalizza le funzioni operative relative ai servizi di pagamento. Se si tratta di funzioni operative classificate come importanti, l’outsourcing non deve compromettere il controllo interno, la continuità della compliance o la capacità del supervisore di verificare il rispetto degli obblighi.

Le figure apicali interne restano responsabili. Gli obblighi verso gli utenti restano invariati. L’istituto rimane fully liable per atti di dipendenti, agenti, branches, outsourced entities e soggetti che agiscono per suo conto.

Il PSR, inoltre, aggiunge un tassello specifico sulla SCA: quando un TSP fornisce e verifica elementi di autenticazione forte, il PSP del payer deve stipulare un contratto di outsourcing. È il segnale di una trasformazione più ampia: molti fornitori tecnici non saranno autorizzati come PSP, ma saranno sempre più regolati attraverso contratti, auditing, standard tecnici, responsabilità e accesso da parte delle autorità nazionali competenti (p.e. la Banca d’Italia).

ECSPs: le telco e i provider di comunicazione entrano nell’antifrode dei pagamenti

Gli Electronic Communication Service Providers non diventano PSP e non sono sottoposti a licensing PSD3. Tuttavia, il PSR li attrae nel perimetro funzionale della prevenzione delle frodi.

La ratio è evidente. Molte frodi nei pagamenti non nascono nell’infrastruttura bancaria, ma nei canali di comunicazione: caller ID spoofing, e-mail spoofing, smishing, vishing, manipolazione di numeri telefonici, domini e indirizzi IP.

Se il frodatore riesce a far apparire una chiamata come proveniente dalla banca, il canale di comunicazione diventa parte della catena fraudolenta.

Il PSR impone agli ECSPs misure tecniche e organizzative per rilevare e prevenire l’uso dei propri servizi per impersonation fraud, nel rispetto di GDPR ed ePrivacy e senza monitoraggio generalizzato dei contenuti o di tutto il traffico.

Per i PSP, questa è una novità strategica. La prevenzione delle frodi non potrà più essere costruita solo internamente. Serviranno canali dedicati, information sharing arrangements, procedure di escalation e cooperazione con telco e communication providers. Il rischio economico resta spesso in capo al PSP, ma la prevenzione diventa necessariamente intersettoriale.

Interoperabilità: accesso a device, sistemi, schemi e interfacce come condizione di concorrenza

L’interoperabilità è uno dei fili rossi di entrambi i testi pubblicati post-trilogo. Non riguarda solo l’open banking, ma anche mobile devices, sistemi e schemi di pagamento, technical service providers, processor e si rapporta con il Digital Markets Act.

Il PSR impone agli Original Equipment Manufacturers (OEM) di mobile devices e agli ECSPs di consentire a PSP e TSP che agiscono per loro conto l’accesso alle funzionalità hardware e software necessarie per processare ed eseguire pagamenti in modo sicuro e competitivo. Il riferimento non è solo all’NFC, ma anche a Secure Elements, biometric APIs, terminal kernel, e componenti necessarie alla protezione di chiavi, PIN e dati biometrici.

L’accesso deve avvenire a condizioni fair, reasonable and non-discriminatory. Gli OEM e gli ECSPs possono imporre misure di sicurezza, ma solo se strettamente necessarie, proporzionate e giustificate.

Il messaggio competitivo è chiaro: chi controlla il dispositivo, il sistema operativo, l’interfaccia o lo schema non può usare tale controllo per rendere meno contendibile il mercato dei pagamenti. L’autorizzazione formale di un PSP non basta, se poi l’accesso tecnico alle componenti essenziali è negato o degradato.

Nuovi poteri di vigilanza e sanzionamento: meno forum shopping, più enforcement effettivo

Il nuovo quadro rafforza sensibilmente i poteri delle autorità. La PSD3 disciplina autorizzazione, vigilanza prudenziale e interventi sugli istituti di pagamento; il PSR armonizza enforcement, reclami, sistemi di ricorso per vie stragiudiziali (ADR – Alternative Dispute Resolution), sanzioni amministrative, pagamenti periodici di penalità e pubblicazione delle misure.

Il legislatore mira a ridurre il forum shopping. Le regole di condotta passano nel regolamento, direttamente applicabile, mentre le autorità nazionali ricevono strumenti più incisivi per richiedere informazioni, condurre ispezioni, imporre rafforzamenti di governance, limitare attività, richiedere più fondi propri, intervenire su outsourcing, prodotti, reti e management.

Le sanzioni possono arrivare ad almeno il 10% del turnover annuo per le persone giuridiche. Il perimetro investigativo si estende anche a TSP, schemi, sistemi, ECSPs, ATM deployers, outsourcers e altri soggetti “funzionalmente” coinvolti.

La compliance non potrà più essere un fascicolo autorizzativo statico. Dovrà essere dimostrabile, auditabile e ricostruibile lungo tutta la catena operativa.

Divieto di surcharge: Account-to-Account e Instant Payments protetti da sovrapprezzi

Il PSR rafforza il divieto di surcharge. Il beneficiario non può richiedere un sovrapprezzo per strumenti di pagamento soggetti alle Interchange Fees regolate dal Regolamento 2015/751, né per i bonifici, inclusi quelli istantanei, e per gli addebiti diretti nell’Unione Europea.

La portata è significativa. Il divieto non riguarda più soltanto larga parte delle carte di credito/debito consumer e i tradizionali strumenti SEPA, ma si estende espressamente ai bonifici e agli addebiti diretti nell’Unione, inclusi i bonifici istantanei. Ciò evita che l’evoluzione verso pagamenti Account-to-Account, iniziative di “pay-by-link” generiche e servizi di Payment Initiation, sia frenata da sovrapprezzi applicati lato merchant.

Non si tratta, però, di vietare tutte le fee del mondo dei pagamenti. Il surcharge è il sovrapprezzo che il commerciante dei beni o servizi addebita al consumatore per l’uso di un determinato strumento. Restano distinte le commissioni applicate dai PSP ai rispettivi clienti.

Per strumenti non coperti dal divieto, il commerciante può ancora applicare una sovratassa, ma entro il limite dei costi diretti sopportati dal medesimo e con informativa chiara prima dell’operazione.

La regola è quindi insieme sia di protezione del consumatore sia politica industriale dei pagamenti: impedire che strumenti efficienti e istantanei vengano penalizzati nel checkout.

Trasparenza delle commissioni: disclosure retail e trasparenza lungo la filiera card-based

La trasparenza delle commissioni viene concentrata nel PSR. Il regolamento rafforza le informazioni verso l’utente su commissioni, conversioni di valuta, prelievi di contante presso gli ATM, scheme fees, single payment transactions, termination fees e additional charges.

Particolarmente rilevante è la disciplina che si applica alle transazioni di pagamento che comportano una conversione di valuta. L’utente deve conoscere i costi e i tassi di cambio prima dell’operazione, con riferimento a un benchmark affidabile. La trasparenza non riguarda solo la fee esplicita, ma anche il mark-up incorporato nel cambio.

Una seconda dimensione riguarda i rapporti fra card schemes, Acquirer e merchant. Il PSR impone maggiore trasparenza su scheme fees e processing fees applicate dagli operatori di circuiti e processing entities agli acquirer. Le fee devono essere classificate e comunicate in modo chiaro e comparabile. Questo punto è meno visibile al consumatore finale, ma molto rilevante per acquirer, merchant e concorrenza nei pagamenti card-based.

L’obiettivo è ridurre l’opacità tariffaria lungo l’intera filiera della monetica. Un mercato può essere formalmente aperto, ma non realmente competitivo se le condizioni economiche di schema e processing sono difficili da comprendere e comparare.

Open Banking: il livello regolamentato resta gratuito, ma si apre ai servizi premium

L’open banking viene rafforzato in modo sostanziale. Il PSR conferma che gli ASPSPs (Account Servicing PSP, come le banche o gli istituti di pagamento) devono consentire l’accesso ai conti di pagamento online da parte dei TPP (Third Party Payments Services Provider) come i PISPs (Payment Initiation Services Provideres) e gli AISPs (Account Information Services Providers), previo consenso dell’utente, senza obbligo di contratto tra ASPSP e TPP e senza l’applicazione di commissioni per l’accesso regolamentato.

Questa gratuità del livello base resta un presidio essenziale. Il legislatore ammette lo sviluppo di APIs “premium”, schemi multilaterali e servizi a valore aggiunto, anche con compensazione, ma impedisce che tali modelli sostituiscano o degradino l’accesso regolamentato.

Le novità più rilevanti riguardano qualità delle interfacce dedicate, data parity con la customer interface, divieto dettagliato di ostacoli, dashboard dei consensi, gestione del withdrawal e maggiore chiarezza sul ruolo degli AISPs che aggregano dati anche per servizi terzi.

La dashboard dei consensi è particolarmente significativa. L’utente deve poter monitorare, ritirare e ristabilire i consensi concessi ai provider di Open Banking. Ma la dashboard non deve diventare uno strumento competitivo dell’ASPSP contro i TPP: niente dark patterns, linguaggio deterrente o design manipolativo.

L’open banking post-trilogo è quindi meno sperimentale e più infrastrutturale. Non vive più solo di accesso teorico, ma di qualità tecnica, continuità, neutralità e governance del consenso.

Buy Now Pay Later: credito al consumo, salvo funzioni di pagamento autonome

Il BNPL viene trattato con una scelta di fondo netta: non è, in sé, un servizio di pagamento. Il suo nucleo economico resta il credito al consumo, soggetto alla disciplina europea sul consumer credit, in particolare alla Direttiva 2023/2225 (cosiddetta CCD II, o seconda direttiva sul credito al consumatore).

Questo non significa, però, che i provider BNPL siano sempre fuori da PSD3 e PSR. Se, oltre alla componente creditizia, svolgono funzioni di pagamento elencate nell’Allegato I della nuova PSD3, entrano nel perimetro dei servizi di pagamento.

Il test non è il brand “BNPL”, ma la funzione: execution of payment transactions, issuing of payment instruments, acquiring, money remittance, payment initiation o emissione di moneta elettronica.

Un modello BNPL può essere puro credito, con pagamento al merchant regolato da un PSP terzo. Ma può anche incorporare acquiring, issuing, wallet, carte virtuali, app o strumenti che consentono al pagatore di iniziare pagamenti. In quel caso la componente payment diventa autonoma.

La conseguenza è una doppia protezione potenziale: CCD II per il finanziamento e PSD3/PSR per il pagamento, lo strumento, la trasparenza, la SCA, la responsabilità e la gestione delle frodi.

Virtual IBANs: riconoscimento funzionale, ma sotto osservazione AML e antifrode

I virtual IBANs non vengono trasformati in una nuova categoria di servizio di pagamento. Il PSR interviene invece sul Regolamento SEPA n. 260/2012 per riconoscere il virtual IBAN come valido payment account identifier quando è richiesto l’uso di un IBAN.

La definizione è funzionale: il virtual IBAN contiene gli elementi ISO propri dell’IBAN e causa la re-direzione dei pagamenti verso un conto di pagamento identificato da un IBAN diverso. È quindi un alias operativo, un routing identifier, non necessariamente il vero conto sottostante.

Il legislatore ne riconosce gli usi legittimi: riconciliazione automatica, cash management, marketplace payments, embedded finance, account receivables automation, payment factories, gestione di sub-account virtuali.

Tuttavia, segnala anche i rischi: AML/CFT, opacità sulla localizzazione del conto, identificazione del beneficiario effettivo, frodi, business email compromise, mule accounts, invoice redirection.

Il virtual IBAN viene legittimato, ma non deregolato. La qualità della mappatura tra virtual IBAN, real IBAN, cliente, beneficiario, conto sottostante e PSP responsabile sarà decisiva. Lo stesso vale per Verification of Payee (VoP), transaction monitoring, safeguarding e trasparenza verso l’utente.

È probabile che questa sia una delle aree più osservate nei prossimi anni. Il compromesso dà certezza giuridica, ma lascia aperta la possibilità di ulteriori misure UE.

Una lettura di sistema: la PSD3 autorizza, il PSR disciplina la condotta

La riforma PSD3/PSR non può essere letta come una semplice PSD2 “rafforzata”.

Il salto è qualitativo. La PSD2 aveva costruito un mercato più aperto, ma ancora centrato prevalentemente su PSP, conti, strumenti e TPP. Il nuovo pacchetto prende atto che il pagamento digitale è ormai una filiera: banche, istituti di pagamento e moneta elettronica, , CASP (Crypto-asset Services Provider ai sensi del MiCAR[5]), wallet provider, processor, TSP, ECSP, piattaforme, schemi, sistemi, OEM, merchant e provider di dati concorrono tutti, in modi diversi, alla sicurezza e all’esecuzione del pagamento.

Da qui deriva il principio regolatorio implicito che emerge da entrambi i testi di proposta PSD3 e PSR post-trilogo: non tutto ciò che abilita un pagamento deve essere autorizzato come PSP, ma tutto ciò che incide in modo critico su sicurezza, accesso, trasparenza o frodi può essere destinatario di obblighi.

È un equilibrio delicato. Da un lato, evita un overreach autorizzativo che potrebbe soffocare innovazione e specializzazione tecnica. Dall’altro, riduce le zone di irresponsabilità funzionale. L’ecosistema dei pagamenti digitali non è più un insieme di compartimenti stagni; è una catena di affidamento regolatorio.

Alcune considerazioni finali in attesa dei testi definitivi

In sintesi, proponiamo cinque considerazioni finali che, in attesa della promulgazione di PSD3 e PSR, riteniamo doveroso offrire al lettore.

Primo: PSD3 e PSR separano più nettamente prudential regulation e conduct regulation. La direttiva governa autorizzazione, vigilanza e safeguarding; il regolamento disciplina in modo uniforme trasparenza, diritti, obblighi, SCA, frodi, open banking, accesso e interoperabilità.

Secondo: il perimetro autorizzativo non coincide più con il perimetro regolatorio. TSP, ECSP, scheme operators, processing entities, OEM, hosting providers e piattaforme possono essere destinatari di obblighi PSR anche se non diventano payment institutions.

Terzo: la frode diventa un rischio di ecosistema. Transaction monitoring, verification of payee, impersonation fraud, cooperazione con ECSPs e piattaforme, rimborso e oneri probatori ridisegnano l’equilibrio tra PSP, utenti e soggetti non finanziari.

Quarto: open banking e interoperabilità diventano infrastrutture concorrenziali. Non basta aprire formalmente l’accesso: occorrono API funzionanti, data parity, assenza di ostacoli, dashboard neutrali, accesso FRAND[6] alle componenti hardware/software e trasparenza sulle fee di scheme e processing.

Quinto: stablecoin EMT, BNPL e virtual IBANs mostrano la direzione della riforma. Il legislatore non regola per etichette, ma per funzioni: custodia, credito, pagamento, acquiring, issuing, account, instrument, routing, safeguarding, accesso e responsabilità.

Conclusioni

La pubblicazione dei testi post-trilogo di PSD3 e PSR non chiude il cantiere dei pagamenti europei. Lo porta, piuttosto, nella fase in cui gli operatori non possono più limitarsi a seguire l’iter legislativo come spettatori.

Il nuovo quadro richiederà mappature funzionali, assessment sui modelli di business, revisione dei contratti con fornitori tecnici, ripensamento delle architetture antifrode, verifica dei wallet, analisi degli strumenti BNPL, ricognizione dei virtual IBANs, adeguamento delle interfacce open banking e rafforzamento della governance sui fondi dei clienti.

Next step

Prima che PSD3 e PSR possano essere letti come diritto vigente, tuttavia, restano alcuni passaggi istituzionali essenziali.

I testi di compromesso dovranno ora completare i passaggi formali dell’iter legislativo, inclusa la revisione giuridico-linguistica dei testi nelle versioni linguistiche ufficiali, prima dell’adozione formale da parte dei colegislatori, della firma e della successiva pubblicazione nella Gazzetta Ufficiale dell’Unione europea (GUUE).

Decorrenza ed entrata in vigore

Dal momento di pubblicazione in GUUE decorreranno i termini rilevanti per l’applicazione del PSR:

• dal ventunesimo giorno successivo alla pubblicazione in GUUE per alcune disposizioni;
• a 21 mesi dall’entrata in vigore per la maggior parte delle disposizioni;
• a 27 mesi per poche altre previsioni del dispositivo unionale) e per il recepimento nazionale della PSD3 in norme di rango primario degli Stati membri (21 mesi).

La differenza tra i due dispositivi legislativi unionali sarà, ancora una volta, decisiva: il regolamento sarà direttamente applicabile negli Stati membri secondo il calendario previsto dal testo finale; la direttiva, invece, richiederà misure nazionali di trasposizione, con conseguente adeguamento delle discipline interne oggi fondate su PSD2 ed EMD2.

Il ruolo di EBA e le normativa secondaria

A valle della pubblicazione in GUUE si aprirà poi una seconda fase, altrettanto importante sul piano operativo: quella degli RTS, delle guidelines e degli strumenti di convergenza regolatoria dell’EBA (European Bankink Authority), destinati a precisare molti profili applicativi su SCA, open banking, safeguarding, outsourcing, deroghe, antifrode e accesso tecnico. È in quella fase che molte delle scelte oggi leggibili nei testi post-trilogo diventeranno architetture di compliance effettive.

La riforma è dunque vicina alla sua configurazione finale, ma non è ancora pienamente conclusa. La direzione, però, è già leggibile: il framework legislativo europeo dei pagamenti non sta più regolando solo chi muove il denaro. Sta regolando l’ecosistema che rende possibile, sicuro, trasparente e contendibile quel movimento.

Ed è qui che PSD3 e PSR mostrano la loro vera ambizione: non aggiornare la PSD2, ma rendere governabile il mercato europeo dei pagamenti digitali nella sua nuova complessità.

Note

[1] DIRETTIVA (UE) 2015/2366 del 25 novembre 2015 relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE.

[2] DIRETTIVA 2009/110/CE del 16 settembre 2009 concernente l’avvio, l’esercizio e la vigilanza prudenziale dell’attività degli istituti di moneta elettronica, che modifica le direttive 2005/60/CE e 2006/48/CE e che abroga la direttiva 2000/46/CE.

[3] REGOLAMENTO (UE) 2022/2554 del 14 dicembre 2022 relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011

[4] I fornitori VLOP e VLOSE sono designati ai sensi dell’articolo 33 del Digital Services Act (Regolamento (UE) 2022/2065).

[5] Regolamento (UE) 2023/1114 del 31 maggio 2023, relativo ai mercati delle cripto-attività e che modifica i regolamenti (UE) n. 1093/2010 e (UE) n. 1095/2010 e le direttive 2013/36/UE e (UE) 2019/1937.

[6] L’accesso FRAND (Fair, Reasonable and Non-Discriminatory, ovvero equo, ragionevole e non discriminatorio) è un principio contrattuale e normativo che garantisce l’accesso a tecnologie essenziali o dati sensibili a condizioni trasparenti e paritarie.