Il Parlamento Europeo vota le nuove disposizioni sui servizi di pagamento. La PSD2 è sempre più vicina

Pubblicato il 08 Ott 2015

Roberto Garavaglia

Innovative Payments and blockchain Strategic Advisor

Roberto Garavaglia

Roberto Garavaglia, Responsabile Editoriale PagamentiDigitali.it

L’8 ottobre 2015 è una data che segna il passo nel lungo e tortuoso cammino della PSD2.

Il Parlamento Europeo ha votato, in prima lettura (con 578 voti favorevoli, 29 contrari e 52 astensioni), il testo approvato dalla Commissione per gli Affari Economici e Monetari (ECON) il 16 giugno 2015 e depositato il 29 settembre. Il testo recepisce tutti i precedenti passaggi dell’iter legis, iniziato il 24 luglio 2013 con la proposta da parte della Commissione Europea del c.d. “Payments Legislative Package”, inclusivo sia della revisione delle disposizioni – attualmente cogenti  – introdotte con la PSD nel novembre 2009 (Direttiva 2007/64/CE) sia del nuovo regolamento sulle commissioni dei pagamenti con carte (il Regolamento 2015/751 del 29 aprile 2015).

Chi legge pagamentidigitali.it, ha avuto la possibilità di seguire l’evoluzione di questo importante intervento del legislatore comunitario, potendone cogliere gli elementi essenziali del cambiamento sin dagli albori. Con diversi articoli a mia firma, ho spiegato ciò che maggiormente rileva, in termini di regole ed opportunità di business, nell’impianto proposto con la PSD2 e come, tale rilevanza, possa impattare il mercato dei pagamenti digitali.

Nell’attesa dell’effettiva promulgazione della nuova direttiva (molto probabilmente entro fine anno), con questo nuovo articolo (suddiviso in due parti per una più agevole fruizione), scritto a poche ore dal voto di Strasburgo e sulla base del documento depositato, propongo al lettore un’analisi delle dinamiche sviluppabili nei prossimi anni sotto l’impulso della PSD2 che – ricordo – dal momento in cui entrerà in vigore, darà 24 mesi di tempo agli Stati membri per poter essere recepita e trasposta negli ordinamenti nazionali.

Un approccio innovativo e armonizzato, quello proposto dal nuovo dispositivo, che mi piace vedere nei termini di sviluppo normativo “future proof”. Un intervento che, insieme al nuovo Regolamento sulle commissioni dei pagamenti con carte UE 2015/751 ed al quadro regolativo Europeo proposto dalla BCE (tramite il SecuRe Pay Forum) insieme ad EBA per la sicurezza dei pagamenti via internet ed in mobilità, sotto il profilo delle opportunità, può esortare lo sviluppo di nuove tecnologie (a supporto della sicurezza e autenticazione) e di nuovi servizi di pagamento alternativi prestati (anche) tramite il canale Mobile.

Ma vediamo ora – in questa prima parte dell’articolo – di focalizzare le principali novità che emergono dal testo approvato oggi, in particolare soffermandoci su quelle che maggiormente impattano lo spazio competitivo e l’innovazione.

La PSD2 interviene nel merito sia del c.d. “Positive Scope” (ossia l’ambito oggettivo di applicazione), proponendo la definizione di nuovi servizi e la ridefinizione di altri già previsti dall’attuale PSD, sia in quello del “Negative Scope”, ovvero il perimetro delle deroghe.

Nuovi servizi (l’ampliamento del “Positive scope”)

Tra i nuovi servizi abilitati, vi è ciò che, con ogni probabilità, rappresenta l’innovazione più rilevante dell’intero impianto legislativo: i servizi di accesso al conto (o, se preferite l’acronimo inglese, XS2A Access-to-Account). La possibilità di accedere ai conti di pagamento (tramite OBeP[1]) da parte di soggetti terzi, anche diversi da chi gestisce i conti (ossia, per esempio, dalla banca presso cui è acceso un rapporto di C/C), si sviluppa nelle seguenti tre declinazioni di servizio:

  • PAYMENT INITIATION
    Un servizio dispositivo, che permette di avviare un pagamento online basato su strumenti quali il bonifico o l’addebito diretto, erogato da una terza parte, anche non bancaria;
  • ACCOUNT INFORMATION
    Servizi che forniscono all’utente informazioni online aggregate su uno o più conti di pagamento, in modo da potergli consentire di disporre immediatamente di un quadro generale della sua situazione finanziaria in un dato momento;
  • FUNDS CHECKING
    La possibilità offerta ad un prestatore di servizi di pagamento che emette carte (di debito), diverso dalla banca presso cui il titolare della carta ha acceso un rapporto di conto, di ricevere conferma della disponibilità di fondi, a fronte di una richiesta inviata online tramite un’interfaccia OBeP, similmente a quanto previsto per i servizi di Payment Initiation e Account Information.

Ciascun servizio tra quelli descritti, deve essere esercito in operativo, mediante l’adozione di procedure di sicurezza e su infrastrutture comunicazionali affidabili, che permettano di accedere al conto di pagamento online, similmente a quanto avviene in un’operazione di Home Banking.

Il soggetto che presta tali servizi, cui usualmente si riferisce con il nome di Third Party Payment Services Provider (o TPP), deve chiedere ed ottenere una specifica autorizzazione presso l’Autorità competente (in Italia la Banca d’Italia), dimostrando di possedere i requisiti necessari, seguendo un percorso analogo a quello che deve compiere un Istituto di pagamento per ottenere la licenza.

Nella sostanza, è possibile ipotizzare che le nuove TPP saranno degli Istituti di pagamento, specificamente autorizzati per la prestazione di servizi di accesso ai conti; in forza di tale – sola – autorizzazione, non potranno mai, comunque ed in alcun modo, intermediare fondi.
In quanto soggetti vigilati, le TPP che prestano servizi di Payment Initiation e Account Information dovranno possedere un’assicurazione per la responsabilità civile professionale, valida in tutti i territori in cui offrono i loro servizi, o altra analoga garanzia. Sarà compito dell’Autorità Bancaria Europea (EBA) emanare entro un anno dalla promulgazione della PSD2, orientamenti indirizzati alle autorità competenti, sui criteri per stabilire l’importo monetario minimo dell’assicurazione per la responsabilità civile professionale di cui sopra.

È altresì fatto obbligo alle TPP di informare esaustivamente l’utilizzatore dei servizi da esse offerti; parimenti, il beneficiario (es. un merchant) che volesse offrire al pagatore (es. il proprio cliente) un servizio basato su Payment Initiation, deve informarlo in modo chiaro ed inequivocabile.

Per quanto concerne il tema della sicurezza e dell’autenticazione, come è noto, la PSD2 introduce il concetto di “Autenticazione forte del cliente” (o “Customer strong authentication”) disponendo che un prestatore di servizi di pagamento la applichi quando il pagatore:

  1. Accede al suo conto di pagamento on-line;
  2. Dispone un’operazione di pagamento elettronico
    In questo caso, quando la disposizione avviene a distanza (come nel caso di un servizio di Payment Initiation) i prestatori di servizi di pagamento devono applicare l’autenticazione forte del cliente, comprendendo elementi che colleghino in maniera dinamica l’operazione a uno specifico importo e a un beneficiario specifico;
  3. Effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi.

Una TPP che voglia accedere ai conti, può fare ricorso alle procedure di autenticazione fornite dal prestatore di servizi di pagamento presso cui è radicato il conto dell’utente e non deve necessariamente avere una relazione contrattuale con quest’ultimo. Ciò significa che la banca o l’Istituto di pagamento presso cui l’utente ha aperto un rapporto di conto, tratta gli ordini di pagamento trasmessi mediante i servizi di Payment Initiation e le richieste di dati trasmesse mediante i servizi Account Information, senza discriminazioni, se non per motivi obiettivi.

Infine, sempre sul tema XS2A, è stato previsto uno specifico articolo che garantisce agli Istituti di pagamento la possibilità di accedere ai servizi relativi ai conti di pagamento degli enti creditizi in maniera obiettiva, proporzionata e non discriminatoria. Un accesso, quello previsto, che sia tale da consentire all’Istituto di pagamento di fornire servizi di pagamento in modo agevole ed efficiente. L’ente creditizio potrà comunque fornire all’autorità competente motivazioni debitamente circostanziate per eventuali rifiuti.

Un ulteriore aspetto che deve essere tenuto in debita considerazione, quando si parla dell’ampliamento dell’ambito oggettivo di applicazione voluto con la PSD2, implica ciò che ho chiamato “ridefinizione di altri servizi già previsti dall’attuale PSD”. La nuova direttiva, interviene nel merito delle attività di Issuing (emissione) e Acquiring (convenzionamento), entrambe classificate – dall’attuale PSD – come Servizi di pagamento, estendendone il significato, affrancandolo dallo strumento carta.

Con “Acquring” si vorrà riferire ad un servizio di pagamento fornito da un prestatore di servizi di pagamento che stipula un contratto con il beneficiario per l’accettazione e il trattamento delle operazioni di pagamento, che si traduce in un trasferimento di fondi al beneficiario.
Mentre con “Issuing” si riferirà ad un servizio di pagamento fornito da un prestatore di servizi di pagamento che stipula un contratto per fornire al pagatore uno strumento di pagamento per disporre e trattare le operazioni di pagamento del pagatore.

Come è facile osservare, entrambe le nuove definizioni, non riconducono necessariamente all’impiego di una carta di pagamento, lasciando intuire che il legislatore comunitario abbia, volutamente, inteso ampliare lo spazio competitivo (il c.d. “level playing field”), consentendo la nascita di nuovi strumenti di pagamento e nuovi attori, abilitando, nel contempo, una dinamica competitiva che si auspica possa determinare un miglioramento dell’offerta, sotto il profilo qualitativo, anche grazie alla spinta – indotta – di una maggiore concorrenza.

Nuove deroghe (la modifica del “Negative scope”)

Veniamo ora a sintetizzare le più importanti novità che rinvengono nella definizione del nuovo spazio di deroga previsto dalla PSD2, riassumibili nelle seguenti tre nuove attività per cui il legislatore comunitario ha disposto una modifica del perimetro di dispensa:

  1. DEROGHE IMPIEGO CREDITO TELEFONICO per DIGITAL CONTENTS, TICKETS e DONAZIONI
    Per l’impiego del credito telefonico come mezzo di pagamento per l’acquisto di contenuti digitali, biglietti (trasporto, intrattenimento, parcheggio auto, ingresso ad eventi) e per l’effettuazione di donazioni, vi è una nuova specifica deroga, con la quale viene proposto un limite agli importi massimi che possono essere gestiti;
  2. LIMITED NETWORKS
    Revisione delle regole e dei presupposti che determinano le deroghe per gli strumenti e le reti a spendibilità limitata (cc.dd. “limited networks”), quali sono, ad esempio, le carte emesse dalla GDO (solamente valide all’interno dei punti vendita di una catena di supermercati) o dalle compagnie petrolifere;
  3. AGENTI COMMERCIALI
    Revisione del perimetro di deroga precedentemente previsto per gli agenti commerciali.

Mentre nel primo caso, si palesa in modo assai evidente un ampliamento delle deroghe, consentendo in tal modo agli operatori di reti o servizi di comunicazione elettronica, di intermediare il pagamento senza la necessità di ottenere una licenza di intermediario abilitato (Istituto di pagamento o Istituto di moneta elettronica) o di operare in partenariato con uno di essi, nel secondo e terzo caso, vi è una più puntuale ed accorta rimodulazione dei prerequisiti fondativi delle dispense stesse.

Sottolineo in particolare come la revisione del perimetro di deroga precedentemente previsto per gli agenti commerciali, possa avere un notevole impatto presso alcuni Stati membri, che consentono di applicare tale esclusione alle piattaforme di commercio elettronico che agiscono come intermediari per conto dei singoli acquirenti e dei singoli venditori, senza che vi sia un reale margine nella negoziazione o conclusione della vendita o dell’acquisto di beni o servizi.

Tale applicazione dell’esclusione, si legge nei Considerando nel nuovo testo, “va al di là dell’ambito di applicazione previsto in tale direttiva [la PSD n.d.r] e può far aumentare i rischi per i consumatori, poiché tali prestatori non sono soggetti alle norme sulla protezione garantita dal quadro giuridico. Prassi divergenti nell’applicazione producono inoltre un effetto distorsivo della concorrenza nel mercato dei pagamenti.

I prossimi passi

In conclusione, non mi rimane che condividere con il lettore quali saranno i prossimi passi con cui l’iter legislativo della PSD2 potrà completarsi.

A posteriori del voto odierno all’Europarlamento, secondo la procedura legislativa ordinaria, la posizione assunta sarà trasmessa al Consiglio (è necessario che il Consiglio esprima il proprio consenso, ossia il consenso degli Stati membri). Ove tutto si svolgesse, dunque, senza ulteriori intoppi, si avrà che, a fronte della pubblicazione sull’Official Journal (la Gazzetta Ufficiale dell’Unione Europea), il nuovo testo entrerà in vigore 20 giorni dopo, e si avranno due anni di tempo perché gli Stati membri ne recepiscano i dettami, trasponendolo nei rispettivi ordinamenti nazionali (normativa primaria).

Nel corso dei 24 mesi di trasposizione, l’Autorità Bancaria Europea (EBA) sarà chiamata ad emanare specifiche ed opportune regole, inerenti diverse disposizioni legislative della PSD2, fra cui ad esempio, le norme tecniche di regolamentazione in materia di autenticazione e comunicazione, di cui ho dianzi accennato in relazione alla Customer strong authentication.

Successivamente, dovrà essere emanata normativa secondaria; in Italia la Banca d’Italia dovrà provvedere ad emanare nuove disposizioni, in attuazione alla direttiva, definendo (ad esempio) le nuove regole di vigilanza per gli Istituti di pagamento e per le neo-nate (o neo-nascenti …) TPP.

Per il momento è tutto e, nel congedarmi, do appuntamento alla prossima puntata di questo articolo, nella quale si analizzerà come cambia il “level playing field” dei servizi di pagamento sotto l’influsso della PSD2  e quale potrà essere l’impatto sul mercato dei pagamenti digitali.

NOTE

[1] Gli OBeP (Online Banking e-Payments) sono sistemi che prevedono l’avvio di un pagamento (p.e. bonifico o addebito diretto) tramite il servizio di Remote/Home Banking. È importante osservare che le transazioni avviate via OBeP sono integrate nel processo di acquisto, con ciò escludendo qualsivoglia operatività, che potrebbe essere evidentemente ricondotta alla più ampia e tradizionale fattispecie dei servizi di Remote/Home Banking, ove non sussistessero quegli estremi di integrazione, contestuale alla negoziazione di un bene. Per estensione, in questo articolo si parlerà di “Interfaccia OBeP” intendendo quella modalità con cui una TPP potrebbe accedere ai conti di pagamento, per finalità sia dispositive (Payment Initiation) sia informative (Account Information).

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 5