Cos’è la PSD2 la Direttiva UE sui Servizi di pagamento

Vogliamo qui trattare l’argomento relativo alla Direttiva UE sui servizi di pagamento PSD2, Payment Services Directive e comprendere a cosa serve e perché nel 2015 è servito un aggiornamento della normativa, che era stata approvata dal Parlamento UE, per la prima volta, “solo” nel 2005.

Premessa: Da dove siamo partiti

La digitalizzazione ha comportato un significativo mutamento nel modo di gestire il denaro. Se pensiamo a 20 anni fa, ricorderemmo che: avevamo un conto corrente accessibile attraverso la banca; una carta di credito e un bancomat plastificati con cui fare spese nei negozi. Gli acquisti on line con le carte, invece, erano qualcosa di ancora poco sviluppato e si preferiva usare il bonifico bancario per evitare di essere truffati.

L’attuale sistema bancario, finanziario e dei processi di pagamento odierno, è del tutto diverso. Le carte di credito sono diventate virtuali (vedasi il servizio Intesa Sanpaolo e le relative carte di credito virtuali usa e getta già esistenti da molti anni), gli acquisti si fanno attraverso app mobile e si paga con servizi quali PayPal o Masterpass, Skrill e/o altri.

Gli stessi conti correnti e servizi connessi sono “diventati” delle app bancarie, ne sono un esempio Revolut ed N26 che definiamo banche dirette. Ma anche le nostre banche classiche si sono evolute e ci hanno costretto nell’ultimo paio di anni a installare la loro applicazione nello smartphone. Anche su quest’ultimo la riflessione è ampia, perché è ormai il nostro vero portafoglio.

Diventa chiaro che in una evoluzione così radicale dei servizi di pagamento, apportare modifiche alla normativa PSD (Payment Services Directive) non era più rinviabile. La continua evoluzione dei mezzi di pagamento imponeva un adeguamento normativo per proteggere gli utenti e per fornire loro nuove opportunità. La PSD2 fa questo, offre queste nuove opportunità ma che bisogna imparare a usare per non rischiare di mettere a rischio le proprie finanze.

Potrebbe interessarti: Cos’è il MiFID 2 (MiFID II) e cosa cambia: guida completa.

Cosa fa per il cittadino la Direttiva UE PSD2?

Spiegato in sintesi, la Direttiva UE PSD2 si propone di offrire maggiore sicurezza e convenienza nella gestione del denaro e dei pagamenti attraverso le piattaforme digitali.

Con la PSD2 le banche sono obbligate a fornire l’apertura dei propri servizi bancari a terze parti, il che significa che l’utente finale può autorizzare l’applicazione di una società terza rispetto alla propria banca, consentendole l’accesso ai propri dati finanziari.

Tali società terze possono anche non appartenere al sistema bancario e si definiscono in questo caso TPP (Third Party Providers) e con molta probabilità diventeranno le più numerose.

Chi sono i TPP secondo la PSD2?

Tra i TPP troviamo:

• gli intermediari che prestano servizi di disposizione degli ordini di pagamento (PISP: Payment Initiation Service Providers);
• gli intermediari che offrono servizi d’informazione sui conti (detti Account Information Service Providers: AISP);
• i prestatori di servizi di pagamento che emettono strumenti di pagamento basati su carta.

Cosa potranno fare i TPP sul conto dell’utente?

Il canale usato dai servizi di terze parti rispetterà le normative di sicurezza informatica, ma è certamente il caso di affidarsi a società riconosciute prima di aprire loro le porte del proprio conto finanziario (qualunque esso sia).

Autorizzando una terza parte (TPP) ad accedere al proprio conto, ecco cosa potrà fare il servizio:

• disporre ordini di pagamento (PIS): previo il tuo consenso esplicito il TPP potrà disporre bonifici bancari senza che tu debba accedere all’area riservata della tua banca;
• fornirti un servizio di informazione (AIS): potrai così ottenere informazioni sul tuo conto corrente bancario personale senza dover accedere all’area personale del tuo home/mobile banking;
• verifica della disponibilità di fondi (CAF): sempre attraverso il tuo consenso esplicito, tali servizi terzi potranno controllare la disponibilità economica presente sul tuo conto corrente prima di eseguire una transazione di pagamento.

Come verificare le autorizzazioni date alle società di terze parti?

Ciascuna banca deve offrire un’area apposita del sito web dove il cliente possa verificare quali applicazioni di terze parti sono state da lui autorizzate (nessun altro lo può fare) e quali privilegi di accesso al proprio conto ha dato.

Per quanto riguarda la revoca delle autorizzazioni, invece, essa va operata attraverso il servizio di terza parte precedentemente autorizzato ad accedere. Sarà quest’ultimo a dover offrire all’utente una apposita area dove l’utente dovrà essere libero di revocare l’accesso al proprio conto finanziario.

Qual è il principio di funzionamento?

Probabilmente avrai utilizzato una o più volte la modalità di accesso ad un sito web usando le credenziali di accesso di Facebook, Twitter o del tuo account Google. In quel momento non stavi facendo altro che consentire a una applicazione di terze parti di leggere i dati presenti nell’account del social network per condividerli con essa.

Il principio di funzionamento applicato agli account dei social è lo stesso applicato ai servizi finanziari di terze parti, solo che in questo caso specifico sono i nostri dati finanziari ad essere condivisi con servizi digitali, applicazioni e piattaforme web esterne.

PSD2 una opportunità straordinaria da usare con cautela

La Direttiva UE PSD2 ci apre ad ampie e nuove opportunità, molte delle quali ancora tutte da scrivere. Tuttavia è indubbio che l’utente dovrà prestare molta attenzione alle applicazioni a cui presterà il proprio consenso ad accedere al conto corrente o ad un altro conto dove ha depositato denaro.

Le misure di cautela e di sicurezza da tenere in considerazione sono essenzialmente due:

1. affidarsi a servizi di terze parti fidati e di comprovata affidabilità;
2. verificare con esattezza quali dati si condividono ed eventualmente selezionare solo quelli ritenuti utili.

Cosa ne pensano le banche della PSD2?

Non c’è dubbio che la PSD2 toglie un po’ di potere alle banche, nel senso che queste sono ora costrette dalla normativa a cedere informazioni dei propri clienti con altri. E sappiamo quanto siano preziose le informazioni personali dei propri clienti e quanto possano creare vantaggio competitivo se si sanno ben usare.

Per questo motivo alcune banche hanno mostrato una certa lentezza nell’adeguarsi alla normativa, ma lo stanno facendo per non incappare in sanzioni da parte dell’Antitrust.

Resta comunque in piedi quanto più volte ricordato in questa breve guida alla Direttiva UE PSD2, l’utente deve essere consapevole delle società a cui affida l’accesso ai propri dati finanziari. E qui una riflessione viene da farla: Quanti utenti sono davvero pronti a servirsi correttamente di questa libertà data dalla Direttiva PSD2? Con altre parole, sapranno usare questa libertà a loro vantaggio o si lasceranno solo rubare (gratuitamente) anche i dati finanziari? La delicata questione resta aperta.

Riferimenti normativi

Il testo integrale della Direttiva UE PSD2 è disponibile sul sito dell’Unione Europea EUR Lex Europa. Il testo della PSD2 è in lingua italiana ed è consultabile gratuitamente.

Da leggere il Titolo I dove si stabilisce l’oggetto e l’ambito di applicazione della normativa, e dove sono presenti le definizioni assunte dalla medesima.

Il Titolo 2 riguarda invece i prestatori di servizi di pagamento, chi sono e come operano e i requisiti che devono avere per poter offrire servizi.

Importante nel Titolo 2 è la Sezione 3 dedicata alle autorità di vigilanza chiamate a osservare l’intero sistema affinché gli utenti non vengano in alcun modo raggirati.

Concludendo

La PSD2 ci apre a nuove prospettive di accesso ai nostri fondi e nuove modalità d’uso. Non può essere considerata, però, una normativa definitiva. L’evoluzione delle tecnologie digitali corre ed è ormai chiaro che il legislatore può solo rincorrere e difficilmente è in grado di anticipare i cambiamenti. Tra la PSD1 e la PSD2 sono intercorsi circa 10 anni di tempo, tra la PSD2 e la PSD3 i tempi potrebbero essere più ristretti.