Il Regolamento delegato (UE) 2022/2360 della Commissione, pubblicato in Gazzetta Ufficiale dell’Unione Europea il 5 dicembre 2022, ha modificato le norme tecniche di regolamentazione sull’Autenticazione Forte del Cliente (o Strong Customer Authentication – SCA) e sugli standard di comunicazione aperta comuni e sicuri definite dall’EBA (European Banking Authority), previste dalla PSD2, di cui al Regolamento delegato (UE) 2018/389. Le modifiche afferiscono all’esenzione di 90 giorni per l’accesso ai conti prevista dall’articolo 10 del Regolamento delegato (UE) 2018/389, in forza del quale i prestatori di servizi di pagamento vengono esentati dall’obbligo di eseguire l’autenticazione forte del cliente in determinati casi. Questi cambiamenti mirano a garantire l’uniformità del comportamento dei prestatori di servizi di pagamento e si applicheranno a partire dal 25 luglio 2023.
Cosa prevedono le nuove regole della SCA per l’accesso ai conti tramite Home Banking
I prestatori di servizi di pagamento possono non essere tenuti ad applicare la SCA quando un utente, ad esempio il cliente di una banca, accede direttamente al proprio conto di pagamento online, poniamo il caso tramite un servizio di Home Banking, a condizione che l’accesso sia limitato alla visualizzazione del saldo o della cronologia delle transazioni di uno o più conti di pagamento designati, senza divulgare dati di pagamento sensibili.
Tuttavia, l’autenticazione forte del cliente deve sempre essere applicata nei seguenti casi:
- quando l’utente accede a queste informazioni online per la prima volta;
- quando sono trascorsi più di 180 giorni dall’ultima volta che l’utente ha avuto accesso a queste informazioni online ed è stata applicata l’autenticazione forte del cliente.
La precedente esenzione della SCA poteva avvenire solo entro 90 giorni dall’ultima volta che l’utente aveva avuto accesso alle informazioni online ed era stata applicata l’autenticazione forte del cliente.
Per semplicità, nel prosieguo dell’articolo chiameremo questa nuova dispensa “esenzione fino a 180 giorni”, ciò al fine di agevolare la comprensione di un’articolazione, decisamente non banale, che il dettato nel nuovo dispositivo prevede[1].
Cosa prevedono le nuove regole della SCA per l’accesso ai conti tramite AISP
I prestatori di servizi di pagamento possono non essere tenuti ad applicare un’autenticazione forte del cliente quando un utente accede al proprio conto di pagamento online tramite un prestatore di servizi di informazione sui conti, o AISP (Account Information Service Provider), a condizione che l’accesso sia limitato alla visualizzazione del saldo o della cronologia delle transazioni di uno o più conti di pagamento designati senza rivelare dati di pagamento sensibili.
Cionondimeno, la SCA deve sempre e comunque essere applicata nei seguenti casi:
- quando l’utente, cliente dell’AISP, accede per la prima volta a queste informazioni online attraverso il fornitore di servizi di informazione sul conto medesimo;
- quando sono trascorsi più di 180 giorni dall’ultima volta in cui l’utente, cliente dell’AISP, ha avuto accesso a queste informazioni online attraverso il fornitore di servizi di informazione sul conto medesimo ed è stata applicata la SCA.
Anche in questo caso, la precedente esenzione della SCA poteva avvenire solo entro 90 giorni dall’ultima volta che l’utente aveva avuto accesso alle informazioni online tramite AISP ed era stata applicata l’autenticazione forte del cliente.
In deroga a quanto disposto con il nuovo Regolamento delegato (UE) 2022/2360, tuttavia, i prestatori di servizi di pagamento possono applicare l’autenticazione forte del cliente quando un utente accede al proprio conto di pagamento online tramite un AISP se hanno ragioni oggettivamente giustificate e comprovate relative all’accesso non autorizzato o fraudolento al conto di pagamento. In questi casi, il prestatore di servizi di pagamento deve, però, documentare e giustificare le proprie ragioni per l’applicazione della SCA all’autorità nazionale competente che ne faccia richiesta (per l’Italia, la Banca d’Italia).
Le nuove regole della SCA per l’accesso ai conti e le misure di emergenza per le interfacce dedicate
Nell’ambito di un “meccanismo di emergenza”, il regolamento delegato (UE) 2018/389 prevede che i prestatori di servizi di pagamento di radicamento del conto (quali ad esempio le banche), dalla PSD2 abilitati a consentire l’accesso ai conti del cliente mediante l’impiego di interfacce dedicate basate su Open API (Application Programming Interface), permettano all’AISP di utilizzare le stesse interfacce messe a disposizione degli utenti dei servizi di pagamento per l’autenticazione e la comunicazione con il prestatore di servizi di pagamento di radicamento del conto — come la consueta interfaccia dell’Home Banking —, finché per l’interfaccia dedicata non viene ripristinato il livello di disponibilità e di prestazioni stabilito dal regolamento UE 2018/239 stesso[2].
Orbene, il nuovo regolamento UE 2022/2360 dispone che i prestatori di servizi di pagamento che offrono un’interfaccia dedicata per l’accesso ai conti, non siano tenuti ad applicare l’esenzione in discorso ai fini del “meccanismo di emergenza”, se non applicano la medesima esenzione all’interfaccia diretta.
In altri termini, se una banca non applica la “esenzione fino a 180 giorni” (ricordiamo che l’esenzione è tale in quanto non obbligo), a beneficio dei propri clienti che accedono ai loro conti tramite Home Banking, non è parimenti tenuta ad applicare la stessa “esenzione dei 180 giorni”, allorquando l’interfaccia dedicata basata su Open API utilizzata dagli AISP non funzioni, ossia vengano a crearsi le condizioni per cui è necessario attuare un “meccanismo di emergenza”.
A cosa servono le nuove regole della SCA per l’accesso ai conti
Il ricorso all’esenzione della SCA per l’accesso informativo ai conti di pagamento, precedentemente al regolamento in trattazione, ha comportato prassi in vero divergenti nell’applicazione del regolamento delegato (UE) 2018/389. Taluni prestatori di servizi di pagamento di radicamento del conto (banche, istituti di pagamento e di moneta elettronica) chiedevano la SCA ogni 90 giorni, altri a intervalli più ravvicinati e altri ancora non hanno mai applicato l’esenzione in discorso, chiedendo l’autenticazione forte del cliente per ciascun accesso ai conti. Tali differenze hanno causato attriti indesiderati nell’esperienza di utilizzo dei servizi di informazione sui conti da parte del cliente e hanno inciso negativamente sui servizi di informazione sui conti forniti dai medesimi prestatori di servizi di radicamento dei conti.
Al fine di mantenere il giusto equilibrio tra gli obiettivi della PSD2 di potenziare la sicurezza, favorire l’innovazione e rafforzare la concorrenza nel mercato interno, si è reso necessario specificare ulteriormente l’applicazione dell’esenzione in discorso nei casi in cui l’accesso alle informazioni sui conti avviene mediante un AISP. Di conseguenza, in tal caso, i prestatori di servizi di pagamento non dovrebbero essere autorizzati a scegliere se applicare o meno l’autenticazione forte del cliente e l’esenzione dovrebbe essere resa obbligatoria purché siano soddisfatte condizioni volte a garantire la sicurezza e la protezione dei dati degli utenti dei servizi di pagamento.
I vantaggi introdotti dal regolamento UE 2022/2360 … in chiave PSD3
Al fine di assicurare condizioni di parità tra tutti i prestatori di servizi di pagamento e in linea con gli obiettivi della PSD2 di permettere lo sviluppo di servizi innovativi e di facile utilizzo, il nuovo regolamento (UE) 2022/2366 ha permesso di riproporzionare il termine di 90 estendendolo a 180 giorni per il rinnovo dell’autenticazione forte del cliente, sia per accedere alle informazioni sui conti direttamente con il prestatore di servizi di pagamento di radicamento del conto, sia per accedere mediante un AISP.
Il rinnovo della SCA alla frequenza di 90 giorni vigente prima del nuovo regolamento in trattazione di questo articolo, ha causato attriti indesiderati nell’esperienza del cliente, impedendo agli AISP di offrire i propri servizi e agli utenti di riceverli.
In tal senso, il regolamento (UE) 2022/2366 introduce vantaggi ad appannaggio di un migliore level playing field nel mercato europeo dei servizi di pagamento, contribuendo a traguardare meglio gli obiettivi della PSD2.
Verso l’Open Finance
Ancor più importante, il regolamento permette sia lo sviluppo dei nuovi servizi di Open Finance, previsti dal documento di strategia europea per la finanza digitale (il c.d. Digital Finance Package), sia la progettazione di nuovi servizi di pagamento in un contesto “coopetitivo”, nel solco tracciato dalla revisione della PSD2.
La futura PSD3, unitamente al rilascio della prima versione del nuovo schema SEPA Payment Access avvenuta il 30 novembre 2022[3] (in effettivo dal 30 novembre 2023), infatti, consentiranno lo sviluppo di nuovi servizi a valore aggiunto, monetizzabili dai prestatori di servizi di radicamento dei conti (banche, istituti di pagamento e di moneta elettronica), aprendo le porte a ciò che l’autore di questo contributo chiama (da sempre) “Open Asset Sharing Economy”.
NOTE
[1] Si veda in particolare il successivo paragrafo “Le nuove regole della SCA per l’accesso ai conti e le misure di emergenza per le interfacce dedicate”.
[2] Articolo 33, paragrafo 4 del Regolamento delegato (UE) 2018/389 del 27 novembre 2017.
[3] SEPA Payment Account Access (SPAA) Scheme Rulebook – EPC012-22 / Version 1.0.
