Prende il via in Italia la seconda edizione della Direttiva UE sui servizi di pagamento nel mercato europeo PSD2 (Payment Services Directive 2), dopo essere stata approvata in via definitiva dal Consiglio dei Ministri. Il nostro è uno dei primi Paesi europei ad aver recepito la nuova Direttiva, entrata in vigore a partire dal 13 gennaio 2018.
=> Payments 4.0 e PMI, PSD2 nuova sfida digitale
Obiettivi PSD2
Tra gli obiettivi dell’introduzione della PSD2 nel sistema dei pagamenti e dei trust services dentro e fuori l’Unione Europea quelli di:
- aumentare i livelli di concorrenza all’interno del mercato dei pagamenti;
- garantire una migliore protezione ai dati e alle credenziali dei clienti, agli ambienti operativi e alle transazioni;
- rispondere alle sollecitazioni di nuovi operatori interessati a entrare nel mercato dei servizi di pagamento con nuovi servizi.
Nuovi attori e funzioni
La PSD2 introduce di fatto nuove funzioni e nuovi attori nel mercato dei pagamenti europeo. È il caso dei cosiddetti TTP (Third Party Player), ai quali le banche dovranno obbligatoriamente fornire accesso alle informazioni sui conti detenuti dalla clientela presso di loro. Nel dettaglio, i TPP si dividono in tre categorie:
- gli AISP, Account Information Services Providers, è offrono agli utenti un servizio puramente informativo sui movimenti e sulla disponibilità di conti di pagamento detenuti presso diversi istituti di credito. Su richiesta dei clienti potranno analizzare ed elaborare queste informazioni per formulare previsioni sugli orientamenti futuri per fornire servizi di monitoraggio degli investimenti e delle raccomandazioni, categorizzazione della spesa, supporto nel budgeting e nella pianificazione finanziaria;
- i PISP, Payment Initiation Service Providers, che consentono di effettuare dei pagamenti online senza carta di credito mettendo in connessione un compratore con un venditore attraverso un software ponte tra i due account. Un’alternativa al canale diretto con la banca che può essere liberamente scelta dal cliente;
- il CISP, Card-based Payment Instrument Issuing Service Provider, che si occuperà di emettere carte di debito a valere su conti detenuti presso un altro istituto, interrogandolo per verificare la disponibilità per coprire importi precisi di spesa (fund checking).
=> Sicurezza pagamenti elettronici: le novità
I Third Party Player:
- avranno accesso alle sole informazioni utili all’erogazione dei propri servizi, sulla base di un mandato per uno specifico conto o di una richiesta individuale;
- dovranno identificarsi per interagire con gli Istituti di credito e potranno scambiare dati solo tramite soluzioni sicure e comunicazioni cifrate.
Sicurezza PSD2
Sul fronte della sicurezza la direttiva PSD2 detta specifiche regole: tutti i fornitori di servizi di pagamento (banche, istituti di pagamento, Third Party Player) dovranno adottare misure di sicurezza documentate, verificate periodicamente e sottoposte a audit da parte di personale qualificato. Inoltre la nuova versione del Regulatory Technical Standard (RTS) prevede che:
- in base al livello di rischio ipotizzato, l’ammontare e la ricorrenza della transazione, il canale utilizzato, si ricorra a sistemi di Strong Customer Autentication (SCA), con accertamento dell’identità attraverso due o più strumenti di autenticazione, quando un cliente accede al proprio conto e dispone una transazione di pagamento attraverso un canale remoto che implichi un rischio di frode;
- siano adottate misure volte a garantire la riservatezza e l’integrità delle credenziali degli utenti;
- le comunicazioni tra banche, TPP, ordinanti e beneficiari, siano basate su standard aperti, comuni e sicuri.