FIDA: la rivoluzione del settore finanziario nell’economia dei dati

In un contesto in cui i dati rappresentano il nuovo oro, il settore finanziario sta vivendo una metamorfosi. La proposta del framework FIDA (Financial Data Access) rappresenta una iniziativa di punta con l’obiettivo di semplificare e garantire la sicurezza nell’accesso ai dati finanziari nell’Unione europea.

Questo contributo, inserito nella serie speciale “PSD3, OPEN FINANCE, EURO DIGITALE“, dedicato dalla redazione di PagamentiDigitali.it alle misure legislative annunciate dalla Commissione europea il 28 giugno 2023 nel campo della finanza digitale, si propone di sondare in profondità il nuovo regolamento FIDA.

L’analisi è rivolta a coloro che guidano l’innovazione e sono chiamati a disegnare le nuove proposte di valore (CINO, CFO, CMO, e COO), con l’obiettivo di chiarire come questo framework sia destinato a trasformare radicalmente il paesaggio finanziario, in un’economia dei dai europea.

L’articolo presenta un inquadramento complessivo della proposta di regolamento e, successivamente, entra nel dettaglio della tassonomia proposta, proponendo un’analisi di dettaglio degli ambiti applicativi entro i quali sono attratte le istituzioni finanziarie e i nuovi Fornitori di Servizi di Informativi Finanziari (i FISP).

Viene proposta una sintesi dei passi necessari e degli obblighi di conformità che i soggetti intenzionati a operare come FISP devono assumere, nella richiesta di autorizzazione presso le competenti autorità nazionali.

Conclude il contributo il riassunto delle dieci disposizioni chiave della proposta di regolamento FIDA, aprendo alle conclusioni finali rivolte a chi, nel settore della digitalizzazione dell’economia, è chiamato a innovare, nel rispetto di una sostenibilità dei modelli di business e in conformità a norme che definiscono un nuovo “level playing field” nel mercato europeo della finanza digitale.

Il FIDA nell’economia dell’accesso

In una prospettiva ampia, all’avviso di scrive è possibile ritenere che FIDA possa collegarsi al pensiero di Jeremy Rifkin, l’economista che ha affermato come l’accesso sia diventato più importante della proprietà nell’economia moderna.

Nel suo libro “The Age of Access“[1] (del 2000), Rifkin sostiene che viviamo in una “nuova economia del network culturale”, dove la condivisione e l’accesso alle risorse sono diventati i fattori principali della creazione di valore.

In questo contesto, l’accesso ai dati finanziari – come facilitato dal FIDA – si trasforma in una risorsa cruciale. In un’epoca in cui i dati sono considerati la “nuova moneta”, l’accesso a tali dati diventa fondamentale per stimolare l’innovazione e guidare la crescita nel settore finanziario.

Allineandosi alle teorie di Rifkin, FIDA si pone l’obiettivo di democratizzare l’accesso ai dati finanziari, promuovendo una maggiore trasparenza e un controllo più efficace da parte dei clienti sulle loro informazioni.

Una società nella quale l’economia dell’accesso è divenuta imperante, i diritti di accesso e la capacità di condividere e utilizzare le risorse in modo efficiente, non disgiunti da un’attenzione (sempre cruciale e necessaria) agli obiettivi di sostenibilità previsti dagli SDG[2], diventano la chiave per il successo economico.

Quindi, proprio come Rifkin aveva previsto il passaggio da un’economia basata sulla proprietà a una basata sull’accesso, FIDA rappresenta un passo fondamentale in questa direzione all’interno dell’industria finanziaria, evidenziando come l’accesso ai dati finanziari stia diventando una risorsa chiave per l’innovazione e la crescita.

Le necessità che determinano il regolamento FIDA

L’industria finanziaria si è scontrata con l’accesso non regolamentato e non supervisionato ai dati dei clienti attraverso interfacce tecniche, talora poco efficienti, sovente non immuni a vulnerabilità cibernetiche. Questo ha sollevato preoccupazioni riguardo la sicurezza dei dati e il controllo del cliente.

L’assenza di regole chiare che regolano la condivisione dei dati, unita agli alti costi dovuti alla non standardizzazione dei formati e dell’infrastruttura tecnica, ha ostacolato la realizzazione del pieno potenziale dei servizi finanziari basati sui dati.

La proposta del nuovo regolamento affronta queste questioni promuovendo un miglior accesso ai dati finanziari dei consumatori e delle aziende, spianando la strada per servizi innovativi attraverso l’aggregazione dei dati.

In tal senso, s’inserisce a pieno titolo nella definizione di un framework europeo per l’Open Finance, prevista nel documento di strategia sulla finanza digitale, diffuso dalla Commissione a settembre 2020

La proposta di regolamento FIDA

FIDA stabilisce un quadro completo per l’accesso responsabile ai dati dei clienti individuali e delle aziende attraverso una miriade di servizi finanziari, estendendo oltre le esistenti disposizioni di Open Banking, proposte con l’attuale PSD2 e ulteriormente incentivate con la nuova PSD3 , con ciò volendo traguardare — almeno nelle intenzioni —, lo sviluppo dell’Open Finance.

Adottando un approccio centrato sul cliente, il regolamento garantisce che i consumatori e le aziende abbiano strumenti efficaci per controllare l’uso dei loro dati finanziari. Inoltre, si allinea con il Regolamento Generale sulla Protezione dei Dati (GDPR[3]) e la proposta di Data Act[4], garantendo la protezione dei dati personali e l’adesione ai principi di condivisione dei dati business-to-business.

L’accesso ai dati previsto dal FIDA

Il nuovo framework FIDA consente ai clienti di accedere ai loro dati detenuti dalle istituzioni finanziarie e dagli altri soggetti attratti nell’ambito soggettivo della proposta di regolamento, attraverso mezzi elettronici senza costi aggiuntivi. Permette altresì ai clienti di concedere l’accesso ai loro dati alle aziende per servizi innovativi.

La proposta del nuovo regolamento obbliga i detentori di dati a rendere i dati dei clienti disponibili agli utilizzatori di dati su richiesta del cliente. Promuove la standardizzazione dei medesimi e dei sistemi di accesso agli stessi, garantendo interfacce di alta qualità, ripartendo i costi di implementazione tra detentori e utilizzatori di dati. Inoltre, stabilisce un chiaro regime di responsabilità e meccanismi di risoluzione delle controversie per affrontare rischi come l’abuso di dati, la criminalità finanziaria o le frodi.

La fiducia del cliente al centro di FIDA

FIDA garantisce un quadro di condivisione dei dati sicuro che dà potere ai clienti, dando loro un controllo significativo sui propri dati.

In tal senso, obbliga altresì i detentori di dati a fornire ai clienti dei cruscotti di permessi dedicati per tracciare e revocare i permessi. Inoltre, impone che tutti gli utilizzatori di dati debbano essere soggetti ad autorizzazione e supervisione, garantendo che solo le aziende regolamentate o i fornitori autorizzati di servizi di informazione finanziaria (FISP) possano accedere ai dati dei clienti.

L’attenzione al GDPR prevista nel FIDA

FIDA è coerente con il Regolamento 2016/679, garantendo che l’elaborazione dei dati personali rispetti le regole generali stabilite dal medesimo. In tale direzione, si rende complementare al GDPR, fornendo diritti di accesso ai dati aggiuntivi e garantendo la sicurezza nell’elaborazione dei dati.

FIDA all’interno del Digital Finance Package

Come dianzi anticipato, FIDA fa parte della Strategia per la Finanza Digitale dell’UE ed è diretto alla creazione di uno spazio europeo per i dati finanziari. In tal senso, oltre a basarsi sugli sviluppi dell’Open Banking ed è coerente con le proposte PSR/PSD3, annunciate dalla Commissione europea nella stessa giornata del 28 giugno 2023.

Il rispetto del principio di sussidiarietà previsto dal FIDA

Il nuovo regolamento in proposta, riconosce che la legislazione sui servizi finanziari è una competenza condivisa tra l’UE e gli Stati membri. Riafferma, pertanto, la necessità di un quadro unificato e di standard tecnici tra gli Stati membri per potenziare la fiducia e consentire l’uso integrato dei dati.

Le iniziative nazionali, ove fossero isolate, comporterebbero alti costi di conformità e la mancanza di standard interoperabili; FIDA mira a risolvere tali criticità creando un quadro armonizzato in tutta l’UE.

Sviluppo degli standard FIDA

FIDA richiede ai detentori di dati e agli utilizzatori di dati di diventare membri di uno schema di condivisione dei dati finanziari, responsabile dello sviluppo di standard per i dati dei clienti e le interfacce di accesso. Questi standard devono essere implementati da tutti i membri dello schema, garantendo uniformità e interoperabilità.

Compensazione ai detentori di dati previsti da FIDA

Sebbene l’accesso ai dati per i clienti sia gratuito, i detentori di dati hanno diritto a una ragionevole compensazione da parte degli utilizzatori di dati per la messa a disposizione dei medesimi. Questa compensazione riflette i costi di costruzione e manutenzione dell’infrastruttura tecnica necessaria per l’accesso ai dati e non è un pagamento per i dati stessi.

Per le piccole e medie imprese (PMI), la compensazione non dovrebbe superare i costi direttamente attribuibili alla singola richiesta di dati.

Il valore dei dati oggetto del FIDA

FIDA comprende i dati che le istituzioni finanziarie (ma non solo) raccolgono, memorizzano ed elaborano durante la loro interazione con i clienti. Ciò include i dati trasmessi (dati forniti dai clienti) e i dati delle transazioni (dati derivanti dalle interazioni con i fornitori di servizi finanziari).

I dati possono essere personali o non personali e riguardano prestiti, risparmi, investimenti, pensioni e assicurazioni sulla vita. Tuttavia, non considera i dati in cui i rischi di esclusione finanziaria superano i benefici, come le valutazioni della solvibilità delle persone fisiche e i dati sull’assicurazione sulla vita, sulla malattia e sulla salute.

A chi si rivolge FIDA

Per promuovere la protezione del consumatore, aumentare la fiducia del cliente e garantire condizioni di parità, è necessario stabilire norme su chi è idoneo ad accedere ai dati dei clienti. Tali norme devono garantire che tutti gli utenti dei dati siano autorizzati e supervisionati da autorità competenti.

Ciò garantisce che i dati possano essere accessibili solo da istituzioni finanziarie regolamentate o da aziende soggette a una specifica autorizzazione come fornitori di servizi di informazioni finanziarie (FISPs), entrambe categorie soggetti al regolamento FIDA (si vedano nel prosieguo di questo articolo le principali definizioni, commentate a favore di una migliore comprensione del regolamento).

Le norme di idoneità per i FISP previste dal FIDA

La proposta di regolamento prevede l’istituzione di nuovi soggetti che possono prestare servizi di informazione finanziaria: i FISP.

Nel prosieguo di questo articolo, presenteremo in sintesi le procedure e i requisiti per chiedere e ottenere l’autorizzazione a operare in qualità di FISP. Ora, limitiamoci a commentare le norme di idoneità e la ratio che le supporta.

Le norme di idoneità sui FISPs sono necessarie per salvaguardare la stabilità finanziaria, l’integrità del mercato e la protezione del consumatore, poiché i FISPs fornirebbero prodotti e servizi finanziari ai clienti dell’Unione e avrebbero accesso ai dati detenuti dalle istituzioni finanziarie, la cui integrità è essenziale per preservare la capacità delle istituzioni finanziarie di continuare a fornire servizi finanziari in modo sicuro e solido.

Tali norme sono inoltre richieste per garantire la corretta supervisione dei FISPs da parte delle autorità competenti in linea con il loro mandato di salvaguardare la stabilità finanziaria e l’integrità nell’Unione, che permetterebbe ai FISPs di fornire in tutta l’Unione i servizi per i quali sono autorizzati.

L’ambito oggettivo di applicazione del FIDA

Presentati gli obiettivi di FIDA e il contesto strategico in cui si colloca la proposta di regolamento diffusa dalla Commissione europea il 28 giugno 2023, veniamo ora ad esaminare in dettaglio l’ambito di applicazione del dispositivo europeo. Ciò ci permetterà di avere una migliore contezza dei soggetti e delle attività attratte nella nuova normativa dal legislatore comunitario.

Il framework FIDA attrae nel proprio ambito oggettivo di applicazione le seguenti categorie di dati dei clienti inerenti ai:

• Contratti di credito ipotecario, prestiti e conti, ad eccezione dei conti di pagamento[5] come definiti nella PSD2, l’attuale Direttiva sui Servizi di Pagamento (UE) 2015/2366, inclusi i dati sul saldo, le condizioni e le transazioni;
• Risparmi, investimenti in strumenti finanziari, prodotti di investimento basati su assicurazioni, cripto-attivi, beni immobili e altri attivi finanziari correlati, così come i benefici economici derivanti da tali attivi[6];
• Diritti pensionistici nei regimi di pensione professionale[7];
• Diritti pensionistici relativi alla fornitura di prodotti pensionistici personali paneuropei[8];
• Prodotti assicurativi non-vita[9], con l’eccezione dei prodotti assicurativi malattia e salute[10];
• Dati che fanno parte di una valutazione della solvibilità di un’impresa, raccolti come parte di un processo di domanda di prestito o di una richiesta di rating di credito.

Oltre l’Open Banking

Sull’esclusione dei conti di pagamento come definiti dalla PSD2 è opportuno condividere alcune precisazioni, poiché, così come è scritta, la norma sembrerebbe poter escludere dall’ambito oggettivo quei dati che, nell’ambito della PSD2, sono alla base dei servizi di Open Banking.

In realtà, come abbiamo chiarito nella prima parte dell’articolo, garantire il controllo del cliente e la fiducia è fondamentale per costruire un quadro efficace di condivisione dei dati nel settore finanziario.

Nell’attuale quadro dell’Unione europea, il diritto di portabilità dei dati del soggetto interessato, in conformità con il Regolamento (UE) 2016/679 (il GDPR), è limitato ai dati personali e può essere esercitato solo laddove sia tecnicamente fattibile trasferire i dati.

L’importanza delle API

I dati dei clienti e le interfacce tecniche nel settore finanziario, oltre ai conti di pagamento, non sono standardizzati, rendendo la condivisione dei dati più costosa. Inoltre, le istituzioni finanziarie sono obbligate per legge a rendere disponibili solo i dati di pagamento dei loro clienti.

Rendere i dati disponibili attraverso interfacce API di alta qualità è essenziale per facilitare un accesso ai medesimi fluido ed efficace. Tuttavia, al di fuori dell’area dei conti di pagamento, solo una minoranza di istituzioni finanziarie che detengono dati, affermano di rendere disponibili gli stessi attraverso interfacce tecniche come le API. In assenza di incentivi per sviluppare tali servizi innovativi, la domanda di mercato per l’accesso ai dati rimane, dunque, limitata.

I dati dei clienti sul saldo, le condizioni o i dettagli delle transazioni relativi a mutui, prestiti e risparmi possono permettere ai clienti di avere una visione migliore dei loro depositi e di soddisfare meglio le loro esigenze di risparmio basandosi sui dati creditizi.

Il regolamento FIDA, quindi, intende coprire espressamente i dati dei clienti oltre ai conti di pagamento definiti nella attuale PSD2. Di conseguenza, deve quindi intendersi che questo regolamento copre l’accesso al saldo, alle condizioni o ai dettagli delle transazioni relativi a contratti di credito ipotecario, prestiti e conti di risparmio, così come i tipi di conti non rientranti nell’ambito della Direttiva (UE) 2015/2366[11].

Attenzione riservata dal FIDA agli AISP

Poiché la condivisione dei dati relativi ai conti di pagamento è regolamentata da un regime diverso stabilito nella PSD2, si è ritenuto  opportuno prevedere, nel Regolamento FIDA, una clausola di revisione per la Commissione, finalizzata a esaminare se l’introduzione delle norme di questo Regolamento influisce sul modo in cui gli AISPs accedono ai dati e se sia opportuno semplificare le norme che regolano la condivisione dei dati applicabili agli AISPs.

L’ambito soggettivo di applicazione del FIDA

Chiarito l’ambito soggettivo di FIDA, veniamo ad analizzare l’ambito soggettivo.

Il regolamento si applica alle seguenti entità quando agiscono come detentori (Data Holder) o utilizzatori di dati (Data User)[12]:

• Istituti di credito;
• Istituti di pagamento, compresi i fornitori di servizi di informazioni sui conti [13](i cosiddetti AISP Account Information Service Providers) definiti dalla attuale PSD2, nonché gli istituti di pagamento esentati ai sensi della PSD2;
• Istituti di moneta elettronica, compresi quelli esentati ai sensi della Direttiva 2009/110/CE (la seconda direttiva sulla moneta elettronica, cosiddetta “EMD2”);
• Imprese di investimento;
• Fornitori di servizi di cripto-attività (o CASP Crypto-asset Services Provider), come definiti dal Regolamento (UE) 2023/1114 (MiCAR),
• Emittenti di cripto-asset definiti dal Regolamento (UE) 2023/1114 (MiCAR) come “ART Asset-referenced Token”;
• Gestori di fondi di investimento alternativi;
• Società di gestione degli organismi di investimento collettivo in valori mobiliari;
• Imprese di assicurazione e riassicurazione;
• Intermediari assicurativi e intermediari assicurativi ausiliari;
• Istituzioni per la previdenza professionale;
• Agenzie di rating del credito;
• Fornitori di servizi di crowdfunding;
• Fornitori di PEPP (prodotti pensionistici personali paneuropei);
• Fornitori di servizi di informazioni finanziarie, o FISP.

Le principali definizioni del FIDA

Al fine di meglio comprendere l’articolato dispositivo regolamentare, proponiamo ora una breve lista delle principali definizioni di FIDA:

• “Consumatore” significa una persona fisica che agisce per scopi diversi dal suo commercio, attività o professione;
• “Cliente” significa una persona fisica o giuridica che utilizza prodotti e servizi finanziari;
• “Dati del cliente” significa dati personali e non personali che vengono raccolti, archiviati e altrimenti elaborati da un’istituzione finanziaria nel normale corso degli affari con i clienti, che copre sia i dati forniti da un cliente sia i dati generati a seguito dell’interazione del cliente con l’istituzione finanziaria;
• “Detentore dei dati”, o “Data Holder”, significa un’istituzione finanziaria diversa da un fornitore di servizi di informazioni sui conti (AISP)[14] che raccoglie, archivia e altrimenti elabora i dati elencati nell’ambito oggettivo di applicazione del regolamento, riportati nei due precedenti paragrafi di questo contributo;
• “Utilizzatore di dati”, o “Data User”, significa qualsiasi delle entità elencate nell’ambito soggettivo di applicazione del regolamento, riportati nei due precedenti paragrafi di questo contributo che, a seguito del permesso di un cliente, ha accesso legittimo ai dati del cliente elencati nell’ambito oggettivo;
• “Fornitore di servizi di informazioni finanziarie”, o “Financial Information Service Provider” (FISP), significa un utilizzatore di dati che è autorizzato ai sensi del regolamento FIDA ad accedere ai dati del cliente elencati nell’ambito oggettivo di applicazione, per la fornitura di servizi di informazioni finanziarie; tale soggetto è, a tutti gli effetti, una delle più importati novità introdotte dal FIDA, di cui tratteremo più avanti;
• “Fornitore di Servizi di Informazioni sui Conti”, o “Account Information Services Provider” (AISP) significa un fornitore di servizi di informazioni sui conti come definito dalla Direttiva (UE) 2015/2366 (l’attuale PSD2); tale soggetto (tutt’altro che nuovo[15]), non deve confondersi con i FISP, laddove (già) regolamentato dalla PSD2 e, nelle proprie attività, limitato alle sole informazioni relative ai conti di pagamento che possono essere accedute, nell’ambito di un servizio di Open Banking;
• “Istituzione finanziaria” (o istituto finanziario), sono gli istituti di credito e i fornitori di prodotti pensionistici personali paneuropei che, ai fini del regolamento FIDA, vengono considerati detentori di dati (Data Holder), utilizzatori di dati (Data User) o entrambi
• “Fornitore di servizi di cripto-attività”, o CASP (Crypto-asset Services Provider), significa un fornitore di servizi di cripto-attività come definiti dal Regolamento (UE) 2023/1114 (MiCAR);
• “Emittente di ART Asset-referenced Token” significa un emittente di ART autorizzato ai sensi del Regolamento (UE) 2023/1114 (MiCAR);
• “Istituto di pagamento” significa un’istituzione di pagamento come definito dalla Direttiva (UE) 2015/2366 (l’attuale PSD2);
• “Istituto di moneta elettronica”, significa un istituto di moneta elettronica come definito dalla Direttiva 2009/110/CE (la seconda direttiva sulla moneta elettronica, altresì nota come “EMD2”).

Attenzione (ancora…) agli AISP

Da una lettura combinata delle definizioni e dell’ambito soggettivo di applicazione, osserviamo come per gli AISP (Account Information Service Providers) definiti dalla PSD2, emerga che possano rientrare nel solo ambito soggettivo di applicazione del regolamento FIDA, ossia vengano considerati solo e unicamente “Utilizzatori di Dati” e non, anche, come “Detentori di Dati”.

Ciò significa che un AISP ha il diritto di poter accedere ai dati di altri “Detentori” (ad esempio gli Istituti di Pagamento o le banche), ma non può essere, a sua volta, considerato un “Detentore”, ergo non ha obblighi di messa a disposizione dei dati a favore di altri “Utilizzatori”.

Analisi della proposta di regolamento FIDA

L’analisi preliminare della proposta di regolamento FIDA, fatta leggendo con attenzione i considerando che precedono il testo di regolamento in proposta, evidenzia una serie di considerazioni cruciali per la trasformazione digitale e finanziaria dell’Unione Europea. Primo fra tutti, il concetto di Economia dei Dati Responsabile, che mira a rendere l’economia dei dati un elemento imprescindibile del mercato interno dell’Unione, sfruttando le tecnologie digitali per produrre nuovi modelli di business e prodotti finanziari.

Economia dei Dati responsabile

Un aspetto chiave del regolamento riguarda il controllo dei clienti sui propri dati. Infatti, i clienti delle istituzioni finanziarie e dei FISP dovrebbero avere un controllo efficace sui loro dati finanziari, con la possibilità di trarre vantaggio dalle innovazioni basate sui dati nel settore finanziario. Questo si lega direttamente al concetto di condivisione dei dati, nel quale la Commissione Europea intende mettere in atto un quadro che favorisca lo sviluppo e la fornitura di prodotti e servizi finanziari basati sui dati.

Una strategia di questo genere richiede un’estensione della condivisione dei dati che vada oltre i semplici dati relativi ai conti di pagamento. È pertanto necessario stabilire un quadro normativo per la condivisione di dati dei clienti in tutto il settore finanziario. Questa condivisione deve avvenire in un contesto di fiducia, dove i clienti abbiano pieno controllo e si sentano sicuri nello scambio dei dati, contribuendo così all’innovazione e superando le esitazioni dei clienti nel condividere i loro dati.

La qualità dell’accesso ai dati

Risulta quindi fondamentale rendere disponibili i dati tramite interfacce di programmazione (API) di alta qualità, così da facilitare un accesso fluido ed efficace ai dati. Per questo motivo, un quadro armonizzato a livello dell’Unione risulta essere una necessità, per rispondere alle esigenze dell’economia digitale e rimuovere le barriere a un mercato interno dei dati ben funzionante.

I dati inclusi nel regolamento dovrebbero dimostrare un alto valore aggiunto per l’innovazione finanziaria e un basso rischio di esclusione finanziaria per i consumatori.

La qualità delle interfacce di accesso ai dati

La creazione di un mercato unico per i servizi di condivisione dei dati finanziari implica la necessità di fornire API aperte e interoperabili. Ciò consentirà un flusso di dati senza soluzione di continuità tra le diverse piattaforme, creando un ecosistema in cui le informazioni possono essere condivise in modo sicuro ed efficiente.

Per abilitare l’interazione contrattuale e tecnica necessaria per l’implementazione dell’accesso ai dati finanziari, il regolamento dovrebbe introdurre una procedura per la standardizzazione delle interfacce di programmazione delle applicazioni (API).

Inoltre, sarà necessario sviluppare standard di sicurezza rigorosi per garantire che i dati dei clienti siano protetti adeguatamente durante la condivisione. Questo sarà di vitale importanza per mantenere la fiducia del cliente nel processo di condivisione dei dati.

Il consenso dei clienti

La condivisione dei dati è basata sul consenso del cliente, e le istituzioni finanziarie sono obbligate a condividere categorie definite di dati su richiesta del cliente. Questo aspetto può incoraggiare l’innovazione nella fornitura di servizi di investimento al dettaglio, abilitando i clienti a condividere i loro dati sugli investimenti attuali.

Le informazioni sulla sostenibilità… in un’ottica ESG

Un elemento innovativo riguarda l’inclusione di informazioni sulla sostenibilità nei dati dei clienti, il che consente ai clienti di accedere più facilmente ai servizi finanziari in linea con le loro preferenze e necessità di finanza sostenibile.

Tale elemento, ci permettiamo di osservare, è dirimente ai fini del rispetto degli obiettivi ESG e, pertanto, avrà un peso non irrilevante per tutti gli attori attenzionati dal FIDA.

I cruscotti del FIDA

Il quadro normativo proposto dalla Commissione con il FIDA comprende parimenti la necessità di fornire ai clienti cruscotti di permesso di accesso ai dati finanziari comuni e coerenti, per gestire i consensi in modo informato e imparziale.

La promozione dell’innovazione tecnologica nel FIDA

Il regolamento FIDA si prefigge anche di promuovere l’innovazione tecnologica, come l’intelligenza artificiale (AI) e il Machine Learning (ML), nel settore dei servizi finanziari.

Queste tecnologie possono essere sfruttate per fornire servizi finanziari più personalizzati e efficienti, e per migliorare l’efficienza operativa delle istituzioni finanziarie.

L’importanza del “level playing field”

Infine, un altro aspetto cruciale del regolamento riguarda la creazione di un “level playing field”, ovvero un ambiente di concorrenza equa per tutte le imprese che operano nel mercato finanziario digitale dell’UE.

Nel perseguimento di tali obiettivi, le norme dovrebbero essere progettate in modo da garantire che tutte le imprese, indipendentemente dalle loro dimensioni, possano competere su un piede di parità. Questo contribuirà a stimolare la concorrenza e l’innovazione nel settore.

I nuovi FISP previsti dal FIDA

Lo avevamo anticipato in alcuni paragrafi precedenti ed ora veniamo a esplorarne il significato e le opportunità. Stiamo parlano dei nuovi soggetti che la proposta di regolamento FIDA individua come Fornitore di Servizi Informativi Finanziari (FISP), con ogni probabilità l’autentica grande novità presentata nell’alveo delle iniziative legislative europee diffuse dalla Commissione il 28 giugno scorso, destinata a impattare significativamente (almeno nelle premesse così si appare) l’industria che sviluppa l’economia dei dati.

Per tali nuovi soggetti che, ci permettiamo di rimarcarlo, possono essere chiunque abbia interesse a operare in questo settore, sviluppando nuove proposizioni di valore, il regolamento FIDA descrive le procedure e i requisiti per ottenere l’autorizzazione a operare come.

La domanda di autorizzazione per i FISP

Riassumiamo brevemente i passi necessari e gli obblighi di conformità che i soggetti intenzionati a operare come FISP devono assumere[16]:

• Domanda di autorizzazione
  Il FISP deve presentare una domanda all’autorità competente dello Stato membro dove ha sede legale, includendo vari documenti e piani dettagliati.
• Programma delle operazioni e business plan.
  Deve essere presentato un piano di operazioni che illustra il tipo di accesso ai dati previsto, insieme a un business plan triennale che dimostri la capacità di gestire in modo sicuro e appropriato i sistemi, le risorse e le procedure.
• Governance e controlli interni:
  Il Fornitore di Servizi Informativi Finanziari deve fornire una descrizione delle proprie strutture di governance e dei meccanismi di controllo interno, insieme a una dimostrazione della loro adeguatezza e solidità.
• Gestione della sicurezza
  Devono essere presentati piani per la gestione di incidenti di sicurezza, compresi i meccanismi di segnalazione e le procedure per il follow-up.
• Piani di continuità operativa
  Il FISP deve illustrare le proprie disposizioni per garantire la continuità delle operazioni in caso di interruzioni o incidenti.
• Policy di sicurezza:
  È necessario presentare un documento sulle policy di sicurezza che includa una valutazione dettagliata dei rischi operativi e delle misure adottate per mitigarli.
• Organizzazione strutturale
  Il Fornitore di Servizi Informativi Finanziari deve fornire una descrizione della propria organizzazione strutturale, comprese eventuali disposizioni per l’outsourcing.
• Responsabili
  L’identità dei responsabili e la dimostrazione della loro buona reputazione e competenza appropriata devono essere fornite.
• Garanzia assicurativa
  I FISP devono disporre di un’assicurazione professionale che copra i territori in cui accedono ai dati, o una garanzia comparabile, che assicuri una copertura adeguata a eventuali responsabilità.

Infine, il testo prevede che l’EBA, in collaborazione con l’ESMA e l’EIOPA, sviluppi bozze di norme tecniche regolamentari per precisare le informazioni da fornire, la metodologia di valutazione per la concessione dell’autorizzazione e i criteri per la garanzia assicurativa.

Disposizioni chiave del FIDA

Per riassumere i contenuti di questo contributo, riteniamo utile offrire al lettore una sintesi delle dieci principali disposizioni chiave della proposta di regolamento FIDA. Concluderemo, in seguito, condividendo alcune considerazioni a commento finale.

1. Ambito e obiettivi
   La proposta FIDA si applica ai detentori e agli utilizzatori di dati nel settore finanziario. Ha l’obiettivo di stabilire un quadro per l’accesso sicuro ed efficiente ai dati finanziari, garantendo la tutela dei consumatori e l’integrità del mercato.
2. Consenso del cliente
   Il regolamento enfatizza che la condivisione dei dati dovrebbe avvenire solo con il consenso esplicito del cliente. Il cliente dovrebbe avere il diritto di revocare il consenso in qualsiasi momento.
3. Standard di condivisione dei dati
   I detentori e gli utilizzatori di dati dovrebbero essere autorizzati ad utilizzare standard di mercato esistenti nello sviluppo di standard comuni per la condivisione obbligatoria dei dati.
4. Compensazione per l’accesso ai dati
   I Data Holder dovrebbero poter richiedere un compenso ragionevole ai Data User, al fine di mettere a punto interfacce API per la condivisione dei dati. Ciò assicura una distribuzione equa dei costi tra detentori e utilizzatori di dati.
5. Diritti dei consumatori e responsabilità
   I clienti devono essere informati dei loro diritti in caso di problemi derivanti dalla condivisione dei dati e devono sapere a chi rivolgersi per richiedere un risarcimento. Detentori e utilizzatori di dati dovrebbero concordare una responsabilità contrattuale per le violazioni dei dati.
6. Autorizzazione e supervisione dei Data User
   Tutti gli utilizzatori di dati devono essere autorizzati e supervisionati da autorità competenti. Ciò garantisce che solo istituzioni finanziarie regolamentate o imprese soggette ad autorizzazione possano accedere ai dati.
7. Standard di resilienza cibernetica
   Gli utilizzatori di dati dovrebbero essere obbligati ad avere in atto standard elevati di resilienza cibernetica, inclusa una capacità completa per la gestione dei rischi ICT e meccanismi specifici per la gestione degli incidenti legati alle ICT.
8. Costituzione legale dei Fornitori di Servizi di Informazioni Finanziarie (FISP)
   I FISP devono essere costituiti legalmente nell’UE o, se costituiti in un paese terzo, nominare un rappresentante legale nell’UE. Questo è necessario per una supervisione efficace e per garantire l’integrità e la stabilità del sistema finanziario.
9. Sanzioni amministrative
   Gli Stati membri dovrebbero essere tenuti a prevedere sanzioni amministrative efficaci, proporzionate e deterrenti per la violazione delle disposizioni di questa Regolamentazione.
10. Cooperazione tra Autorità Competenti
    Dato che le istituzioni finanziarie e i FISP possono essere stabiliti in diversi Stati membri e supervisionati da diverse autorità competenti, l’applicazione di questa Regolamentazione dovrebbe essere facilitata da una stretta cooperazione tra le autorità competenti.

Conclusioni

Il regolamento FIDA è stato introdotto per rispondere alle nuove sfide e opportunità nel settore finanziario derivanti dalla digitalizzazione e dalla condivisione dei dati. Questa normativa riconosce l’importanza di armonizzare innovazione e competizione con la tutela dei consumatori e l’integrità del mercato.

FIDA si distingue per la sua attenzione non solo all’accesso e alla condivisione dei dati, ma anche alla protezione dei consumatori, alla resilienza cibernetica, alla supervisione efficace dei fornitori di servizi di informazioni finanziarie, alla definizione di sanzioni amministrative e alla promozione della cooperazione tra le autorità competenti.

Il framework proposto sottolinea l’importanza fondamentale del consenso del cliente nel processo di condivisione dei dati e punta a creare un ambiente trasparente e sicuro per la condivisione dei dati finanziari, che risulti vantaggioso per tutte le parti coinvolte.

Nell’intento di promuovere innovazione e concorrenza nel settore finanziario, proteggendo simultaneamente gli interessi dei consumatori e l’integrità dei mercati finanziari, l’Unione Europea ha avanzato questa proposta di regolamentazione.

L’annuncio del 28 giugno 2023 della proposta di regolamento FIDA da parte della Commissione europea rappresenta un momento chiave nell’evoluzione del settore finanziario. Stabilendo un quadro regolamentare e standardizzato per l’accesso ai dati finanziari, il regolamento affronta questioni cruciali come la sicurezza dei dati, il controllo dei clienti e l’efficienza dei costi.

Un impulso all’innovazione

Per i CINO, CFO, CMO e COO, questa proposta rappresenta un’opportunità di utilizzare i dati in modi innovativi, garantendo al contempo la conformità e la tutela della fiducia dei clienti.

È fondamentale, con l’implementazione del FIDA, che le istituzioni finanziarie e tutti gli attori coinvolti nell’ambito di applicazione del regolamento allineino le loro strategie a questo quadro, sfruttando il potere dei dati per guidare la crescita e l’innovazione nel settore finanziario.

La regolamentazione FIDA segna una svolta per il futuro del settore, aprendo un’era di trasparenza, sicurezza e innovazione guidata dai dati.

NOTE

[1] L’era dell’accesso, La rivoluzione della new economy (titolo originale The Age Of Access:The New Culture of Hypercapitalism, Where All of Life Is a Paid-For Experience) è un saggio di economia scritto da Jeremy Rifkin e pubblicato in Italia da Oscar Mondadori nel 2000.

[2] Gli Obiettivi di Sviluppo Sostenibile (SDGs, Sustainable Development Goals) rappresentano un insieme di 17 obiettivi globali stabiliti dall’Assemblea Generale delle Nazioni Unite nel 2015. Sono parte di una risoluzione chiamata Agenda 2030, che si propone di guidare i paesi membri dell’ONU verso uno sviluppo sostenibile in tre dimensioni fondamentali: economica, sociale e ambientale. Gli SDGs coprono una vasta gamma di questioni sociali e ambientali, tra cui la povertà, la fame, la salute, l’istruzione, la parità di genere, l’acqua pulita e l’igiene, l’energia pulita, la crescita economica, l’infrastruttura, l’industrializzazione, l’uguaglianza, le città sostenibili, i modelli di consumo, il cambiamento climatico, la vita sottomarina e terrestre, la pace e la giustizia, e i partenariati per raggiungere questi obiettivi.

L’obiettivo finale di questi SDGs è quello di eliminare la povertà estrema, proteggere il pianeta e garantire che tutte le persone godano di pace e prosperità entro il 2030.

[3] Regolamento (UE) 2016/679 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (altresì noto come “Regolamento Generale sulla Protezione dei Dati).

[4] Il 28 giugno 2023 è stato raggiunto un altro importante traguardo, infatti, è stato finalizzato un accordo politico tra Parlamento europeo e Consiglio dell’UE in merito al Data Act.

[5] Si veda al riguardo il successivo paragrafo “Oltre l’Open Banking”.

[6] Ciò include i dati raccolti allo scopo di effettuare una valutazione di adeguatezza e appropriatezza in conformità all’articolo 25 della Direttiva 2014/65/UE.

[7] In conformità alla Direttiva 2009/138/CE e alla Direttiva (UE) 2016/2341.

[8] In conformità al Regolamento (UE) 2019/1238.

[9] In conformità alla Direttiva 2009/138/CE.

[10] Questo include i dati raccolti per le finalità di una valutazione delle esigenze e necessità in conformità all’articolo 20 della Direttiva (UE) 2016/97 del Parlamento Europeo e del Consiglio, e i dati raccolti per le finalità di una valutazione di adeguatezza e appropriatezza in conformità all’articolo 30 della Direttiva (UE) 2016/97.

[11] Anche i conti di credito coperti da una linea di credito che non può essere utilizzata per l’esecuzione di transazioni di pagamento a terzi dovrebbero rientrare nell’ambito di applicazione della proposta di Regolamento FIDA.

[12] Per un chiarimento sul significato di “detentori” e “utilizzatori” di dati, si veda il successivo paragrafo “Le principali definizioni del FIDA”.

[13] Si veda l’osservazione riportata al termine del paragrafo “Le principali definizioni del FIDA”, concernente gli AISP.

[14] Si veda l’osservazione riportata al termine del paragrafo, concernente gli AISP.

[15] Gli AISP vengono definiti con la PSD2 nel 2015 e, ad oggi, sono fortemente limitati nelle proprie attività, potendo accedere a un set davvero minimale di informazioni; in tal senso, FIDA si pone l’obiettivo si superare tali limiti, prevedendo, tra le altre disposizioni, la nascita dei FISP, soggetti deputati a sviluppare concretamente l’Open Finance.

[16] La proposta di regolamento FIDA dedica un’itera sezione, il Titolo V, alle disposizioni per “L’IDONEITÀ ALL’ACCESSO E ALL’ORGANIZZAZIONE DEI DATI” e, in particolare, gli Articoli 12, 13, 14, 15 e 16 si rivolgono ai FISP.