PSD2: cos’è, obblighi e funzionamento della direttiva europea

1. Home
2. Payment regulation
3. PSD2: cos’è, obblighi e funzionamento della direttiva europea

Quando ci si approccia al mercato dei pagamenti elettronici, uno degli elementi da monitorare con attenzione è l’impatto portato dalla normativa su tutta la filiera, dai consumatori agli esercenti, dalle fintech alle banche tradizionali. Nuove regolamentazioni si possono infatti tradurre in nuove opportunità per le fintech e le startup che entrano nel mercato già incorporando questi cambiamenti, mentre possono rappresentare un cambiamento radicale per gli incumbent e i player più tradizionali. I consumatori e le imprese dal canto loro sono direttamente interessati al framework normativo non solo per gli effetti che esso ha sulla user experience di acquisto, ma anche per la tutela e la sicurezza dei pagamenti da loro effettuati con strumenti diversi dal contante. Molte delle più recenti innovazioni nel mondo dei pagamenti derivano da una spinta normativa voluta dalle istituzioni centrali, con l’obiettivo di rendere il mercato più competitivo e i servizi più sicuri, innovativi e, ove possibile, convenienti. In Europa il comportamento degli attori che forniscono i servizi di pagamento è regolato e definito dall’Unione Europea e dalla Banca Centrale Europea. L’ultimo grande aggiornamento di queste regole si trova all’interno della Direttiva PSD2. Vediamo nel dettaglio di cosa si tratta.

Cos’è la PSD2

Nell’ambito dei servizi di pagamento, la normativa che a livello europeo ha formalizzato tutte le strutture necessarie a garantire il corretto funzionamento delle transazioni che avvengono digitalmente è la Direttiva europea sui Servizi di Pagamento, meglio nota come Payment Services Directive, arrivata alla sua seconda versione (e si sta lavorando alla terza). Per essere più precisi, la PSD2 è una disposizione, voluta dall’UE, che pone le fondamenta giuridiche per un mercato unico dei pagamenti in tutta Europa, volto a stabilire servizi di pagamento innovativi e sicuri per gli Stati Membri. Pubblicata ufficialmente in Gazzetta europea nel 2015, essa è stata poi recepita in maniera effettiva il 14 settembre 2019. La normativa, che regola le attività di nuovi player, i famosi Third Party Provider, ha come obiettivi principali la creazione di un mercato competitivo integrato ed efficiente, che metta al contempo al centro la sicurezza dei consumatori finali. Va sottolineato che, in linea con quanto già citato, la Payment Services Directive 2 (PSD2) non solo definisce dei nuovi paradigmi, ma costituisce anche una delle direttrici fondamentali di innovazione per l’intero settore.

Cosa dice il testo sulla direttiva europea per i pagamenti digitali?

L’oggetto della PSD2 definisce quelli che sono i diversi PSP (istituti di pagamento, IMEL, banche, etc.), la trasparenza delle condizioni e i requisiti informativi per i servizi di pagamento e i rispettivi diritti e obblighi degli utenti e dei prestatori di servizi di pagamento in relazione alla prestazione del servizio.

Le successive sezioni riguardano gli ambiti di applicazione e le esclusioni, nonché le definizioni (importanti per capire i soggetti coinvolti). Rispetto ai già citati prestatori dei servizi di pagamento (PSP), la direttiva esplicita diverse disposizioni: oltre a una serie di requisiti in materia tutelare e di capitale e a una serie di responsabilità, si trovano anche le autorizzazioni che questi attori devono ottenere per poter offrire i servizi di pagamento, le eventuali esenzioni, il funzionamento per la trasmissione delle informazioni di pagamento al pagatore e al beneficiario e i dettagli sull’esecuzione delle operazioni.

Infine, grande rilievo viene dato alla protezione dei dati degli utenti e alla autenticazione che essi devono effettuare per portare a termine determinate transazioni. Questo particolare focus rappresenta uno dei punti cardine di questa evoluzione della direttiva, nonché uno dei più dibattuti.

Nei paragrafi successivi verranno analizzati più nel dettaglio alcune delle principali tematiche portate alla luce dalla PSD2, tra cui

1. Open API
2. Strong Customer Authentication
3. disposizioni normative riguardanti i pagamenti effettuati tramite il credito telefonico
4. commissioni pagate quando viene effettuato un pagamento con carta
5. carte di pagamento a spendibilità limitata

Se da un lato è vero che i primi due punti hanno catalizzato maggiormente l’attenzione in ambito di innovazione e sicurezza, dall’altro lato, come testimoniano gli altri punti, ci sono tanti cambiamenti incrementali portati dalla normativa.

Quando è entrata in vigore la PSD2?

Per capire nel dettaglio il suo significato è opportuno ripercorrere la genesi della direttiva e il suo sviluppo nel corso degli anni.

La prima Payment Services Directive (Direttiva 2007/64/Ce), pubblicata il 13 novembre 2007, definisce quello che è il quadro giuridico comunitario per i servizi di pagamento elettronici. La proposta è stata ratificata a novembre 2009 ed è entrata in vigore il mese successivo. In Italia la direttiva è entrata in vigore il primo marzo 2010 con il decreto legislativo del 2 gennaio dello stesso anno. Più nel dettaglio, la PSD ha introdotto i fornitori dei servizi di pagamento diversi dagli attori bancari tradizionali, chiedendo una maggiore trasparenza a livello di commissioni e tassi di cambio. Infine, ha accelerato lo sviluppo della SEPA come area di pagamento unica in euro per facilitare l’esecuzione e la velocità dei pagamenti. Altri obiettivi erano quelli di garantire fornire ai consumatori maggiore protezione e un’ampia scelta di servizi di pagamento.

Il Parlamento Europeo e il Consiglio dell’Unione Europea, dopo aver analizzato la normativa all’epoca in vigore ed averne evidenziato le maggiori criticità, esplicita delle linee di intervento, sintetizzate in 117 articoli. Già tre anni dopo l’entrata in vigore della prima PSD, a partire dal 2013, la Commissione sente quindi l’esigenza di apportare delle modifiche alla normativa, e nel mese di luglio mette sul piatto la proposta per una seconda Payment Services Directive, decidendo di strutturare ulteriormente la normativa e di modernizzare il quadro legislativo con l’obiettivo di creare una versione più aggiornata che tenga conto dell’evoluzione dei nuovi servizi di pagamento digitali e che vada di pari passo con il progetto SEPA di integrazione europea.

Il 13 gennaio 2016, con la pubblicazione della Direttiva (UE) 2015/2366, inizia la prima fase dell’implementazione della PSD2: la Commissione Europea impone agli stati membri un termine di recepimento massimo di due anni, durante i quali gli Stati membri avranno il compito di ascrivere la legge. In Italia, la PSD2 viene recepita dal D.lgs.15 dicembre 2017, n. 218 ed entra in vigore il 13/01/2018, rispettando il termine di recepimento imposto agli Stati Membri dell’Unione Europea e sostituendo la Direttiva precedente.

Il nuovo Regolamento delegato (UE) 2018/389 contenente le nuove misure di sicurezza e la comunicazione sicura tra i soggetti coinvolti nella prestazione dei servizi di pagamento, ha trovato applicazione il 14 settembre 2019, data in cui ufficialmente è entrata in vigore la PSD2 e limite massimo imposto dal regolatore affinché tutti gli istituti si adattassero a queste rivoluzioni e si rendessero conformi a questo nuovo framework.

Rispetto alla data del 14 settembre 2019, tuttavia, è stata introdotta un’eccezione per la misura più critica: la Strong Customer Authentication, la quale introduceva delle disposizioni potenzialmente deleterie per il fiorente mercato dell’eCommerce. Più volte posposta, è entrata in vigore il 31 dicembre 2020 con la possibilità per le singole banche centrali di utilizzare i primi mesi del 2021 come periodo di transizione per il completo rollout. Il tempo è stato utilizzato dai prestatori di servizi di pagamento per introdurre i sistemi di autenticazione a due fattori per i clienti finali e per portare a bordo delle nuove soluzioni tutti gli store online.

Come funziona e a cosa serve la Payment Service Directive 2

Come accennato nel primo paragrafo, con l’introduzione della PSD2, vengono ridefiniti e ampliati quelli che sono gli obiettivi generali della Direttiva, che possono essere riassunti in 3 punti (i primi due estremamente correlati):

1. Aumentare la competizione all’intero del mercato dei servizi di pagamento, favorendo l’ingresso di player nuovi dall’esterno: il nuovo “level playing field”
2. Creare un mercato più efficiente e integrato: l’Open API
3. Garantire la sicurezza delle informazioni e dei dati dei consumatori finali: la Strong Customer Authentication

Level Playing Field

Il primo di questi è sicuramente l’estensione del “level playing field”, ovvero il perimetro di competizione degli attori del mondo dei pagamenti digitali, permettendo la nascita di servizi innovativi e favorendo la nascita di nuovi player, cosiddetti TPP (Third Party Payment Services Provider). Questa tipologia di attori ha infatti come scopo quello di ravvivare la competizione (e portare a una maggiore efficienza del settore), scardinando i paradigmi di un mercato in parte statico. È importante precisare che la competizione non è la sola strada: queste aziende, infatti, possono adottare una logica di cooperazione o coopetizione con i player tradizionali (banche, istituti di pagamento, istituti di moneta elettronica).

Open API

In linea con il secondo obiettivo, è di fondamentale importanza parlare dell’”apertura” dei conti bancari dei cittadini verso attori terzi diversi dalla banca presso cui è depositato il conto. Ma cosa si intende con questa espressione?

La PSD2 prevede che le banche e gli istituti di credito permettano l’accesso alle informazioni e/o alle operazioni di pagamenti avviabili dai i conti correnti dei loro utenti, a seguito ovviamente della loro autorizzazione, ad altre tre tipologie di attori che offrono servizi differenti:

1. AISP (Account Information Service Provider), che hanno accesso alle informazioni sul conto dei clienti delle banche e possono analizzare il comportamento di spesa di un utente o aggregare i dati da diverse banche in un’unica piattaforma.
2. PISP (Payment Initiation Service Provider), che hanno l’autorizzazione a creare ordini di pagamento dal conto dell’utente e inviare un pagamento online o nei negozi fisici.
3. CISP (Card Issuing Service Provider), che consente all’utente di utilizzare una carta di pagamento emessa da un attore diverso dalla propria banca e che si appoggia direttamente sul suo conto corrente.

La condivisione avviene tramite le Open API, ovvero le Application Programming Interface che le banche mettono a disposizione dei TPP per svolgere le attività di cui sopra. Per portare un esempio nostrano, l’azienda Cerved, specializzata in valutazione del rischio di credito, big data management e attività di rating, può sfruttare le Open API messe a disposizione dalle banche per accedere alle informazioni dei conti dei clienti e offrire servizi di rating “istantanei” alle banche stesse o ad altri attori. Tra i servizi prospettati da Cerved vi sono: credit scoring (valutazione del merito creditizio di clienti e fornitori); propensity (valutazione della propensione di acquisto di prodotti o servizi); autovalutazione impresa; affitto facile (valutazione dell’affidabilità e dell’affordability dei soggetti richiedenti affitto basata sui dati PSD2); AIS Marketplace (supporto nell’accesso a offerte esposte su una piattaforma per imprese in cerca di nuovi prodotti/servizi).

Strong Customer Authentication

Come esplicitato in precedenza, la normativa pone un forte accento sulla protezione dei dati degli utenti.

È in questa ottica che viene sviluppato un nuovo modo di autenticare l’utente che effettua un pagamento. A partire dal 31 dicembre 2020, i prestatori di servizi di pagamento hanno dovuto implementare obbligatoriamente la Strong Customer Authentication (SCA), ovvero l’autenticazione forte che i consumatori devono effettuare quando realizzano un pagamento con uno strumento elettronico. I “fattori” che l’utente deve verificare affinché il pagamento possa essere eseguito sono due fra i seguenti tre:

1. “Something you know”, ovvero qualcosa che solo il cliente conosce (password, PIN, etc.)
2. “Something you have”, quindi qualcosa che solo il cliente possiede (smartphone, token bancario, etc.)
3. “Something you are”, ovvero qualcosa che solo il cliente è (riconoscimento facciale, impronta digitale, etc.)

Il meccanismo introdotto, inoltre, aumenta la sicurezza generando un codice univoco per ogni transazione che viene effettuata, non basato su una logica esclusivamente temporale come nel caso dei codici OTP delle chiavette bancarie (che, seppur limitatamente, in linea teorica, permettevano di effettuare più transazioni nel tempo in cui la OTP era attiva).

Altre misure della PSD2

Nonostante l’Open API e la SCA siano le due principali innovazioni introdotte, è bene citare anche altri elementi di discontinuità introdotti e i cambiamenti che hanno portato.

Ad esempio, è interessante approfondire la tematica del pagamento tramite credito telefonico. Se da una parte la PSD2 non obbliga l’operatore di rete a diventare un intermediario di pagamento o cooperare con uno di essi per poter eseguire le transazioni, dall’altra le condizioni sono più stringenti, in termini di valore dell’operazione (meno di 50 euro a transazione o meno di 300 euro mensili) e a patto che essa venga effettuata da un dispositivo elettronico per l’acquisto di contenuti digitali, per una attività di beneficenza o per l’acquisto di biglietti (intrattenimento, trasporto, sosta) relativi alla prestazione di servizi.

All’interno della PSD2 vengono poi definite le disposizioni in adeguamento alle commissioni interbancarie sulle operazioni di pagamento basate su carta: i PSP devono obbligatoriamente applicare una commissione interbancaria inferiore allo 0,2% del valore dell’operazione; tale percentuale può aumentare sino allo 0,3% del valore dell’operazione per le carte di credito ad uso dei consumatori. I territori all’interno dell’UE hanno quindi provveduto a definire una struttura ed un cap alle commissioni interbancarie (limite applicabile solo alle interchange fees, non alle merchant services charge, e solo per le carte appartenenti allo “schema a 4 parti”) per le transazioni nazionali, una struttura delle stesse commissioni e la definizione delle sanzioni per chi non rispetta il nuovo regolamento in vigore.

Per concludere, la PSD2 va ad affrontare anche la tematica degli strumenti a spendibilità limitata o “privativi” (ad esempio le carte fisiche distribuite dalla GDO): i soggetti che emettono questo tipo di strumenti di pagamento e che nell’anno solare precedente hanno superato il milione di euro in termini di valore delle operazioni di pagamento hanno l’obbligo di notificare a Banca d’Italia una serie di dati, tra cui:

• informazioni per identificazione del segnalante;
• autorità responsabile dell’autorizzazione e/o per l’esercizio dell’attività di vigilanza;
• descrizione del servizio prestato, tra cui le caratteristiche dello strumento di pagamento utilizzato e le tipologie di beni e servizi acquistabili e le caratteristiche dei PSP dove è possibile utilizzare lo strumento;
• i flussi finanziari legati all’operazione di pagamento;
• le operazioni di pagamento eseguite nel periodo e il loro controvalore economico.

Approvate queste procedure, essa provvederà ad iscrivere il soggetto all’albo degli istituti di pagamento.

Alcune riflessioni sulla PSD2

Dopo aver illustrato i cambiamenti portati dalla PSD2, è tempo anche di fare una breve riflessione che riguarda lo stato dell’arte e lo sviluppo di queste innovazioni. Se da un lato è vero che la SCA ha portato gli utenti a sentirsi più sicuri quando effettuano una transazione, dall’altro lato ha ridotto la percentuale di successo dei pagamenti effettuati online. Secondo uno studio di Visa, questa riduzione si attesta intorno all’11%. Altre evidenze emergono dallo studio effettuato dall’Osservatorio Innovative Payments in collaborazione con UNGUESS: secondo i test effettuati su un campione di 80 individui, la problematica principale del pagamento tramite smartphone è il passaggio ad un’altra applicazione durante il checkout del pagamento, per poi tornare all’app iniziale da cui si stava acquistando. Questo dimostra come ci sia ancora tanto lavoro da fare sulla user experience legata alla SCA per migliorare il conversion rate e rendere il pagamento più semplice e sicuro.

Il fenomeno dell’Open API, seppur in crescita ed evoluzione, sembra essere ancora in una fase preliminare e “acerba”. Il numero delle chiamate alle API è in aumento e sempre più attori stanno acquisendo licenze per operare da PISP e AISP, a livello sia italiano sia europeo. Tuttavia, ad oggi il mercato bancario è molto orientato a offrire servizi di account aggregation rispetto a fornire servizi di invio pagamenti. Il potenziale rimane dunque parzialmente inespresso e ci si sta ancora interrogando su come i player del settore possano sfruttare pienamente le potenzialità e offrire servizi sempre più innovativi.

In conclusione, occorre sottolineare come la PSD2 non rappresenti il punto di arrivo per i regolatori e per gli operatori del settore dei pagamenti; basti pensare che la Commissione Europea ha già aperto le consultazioni relative alla terza versione della Payment Services Directive, consentendo agli operatori di spedire alle istituzioni di Bruxelles i feedback sulla bozza presentata in precedenza. La necessità di aggiornare la PSD2 deriva da diversi fattori, tra i quali troviamo: rendere trasparenti i costi dei pagamenti da UE all’estero, riesaminare l’accesso ai conti, ai servizi nonché alle infrastrutture di pagamento, l’ingresso di nuovi player nel mercato e la lotta alle frodi ai danni dei consumatori (e.g “social engineering”).