Diciotto mesi di proroga per la PSD2. È la richiesta avanzata dalle banche sull’adeguamento alla direttiva europea sui pagamenti digitali che dà vita all’open banking, la condivisione dei dati tra i diversi attori dell’ecosistema bancario. Il settore, infatti, ritiene di non essere pronto per l’applicazione della PSD2, diventata operativa il 14 settembre 2019 insieme all’entrata in vigore dell’autenticazione forte (SCA).
Che cos’è la PSD2
La PSD2 (Payment Services Directive 2) è la direttiva europea sui pagamenti digitali, emanata nel 2018 e diventata operativa il 14 settembre. Per la prima volta questa direttiva obbliga le banche europee ad aprire le proprie API (Application Program Interface) a società del fintech (tecnologia applicata alla finanza) e altre aziende che si occupano di prodotti e servizi finanziari. Questo cambiamento consentirà alle società esterne (le cosiddette terze parti) accesso ai dati di pagamento: in sostanza significa che ci sarà maggiore competizione nelle aree di tradizionale dominio delle banche.
Una proroga di 18 mesi
L’idea di approvare una proroga era nell’aria già prima del 14 settembre. Il primo agosto la Banca d’Italia ha diffuso un comunicato stampa in cui spiega che, in linea con le decisioni assunte a livello europeo, l’istituto “ha deciso di concedere maggior tempo all’industria finanziaria italiana per completare gli adeguamenti richiesti dalla normativa in tema di sicurezza delle transazioni online effettuate con carta di pagamento”. Sulla durata della proroga, in un’intervista rilasciata a Repubblica.it Banca d’Italia ha spiegato che “La durata della proroga verrà comunicata agli operatori non appena l’EBA (Autorità Bancaria Europea) stabilirà un termine valido in tutta Europa”. Nel frattempo EBF (European Banking Federation – federazione che riunisce gli istituti di credito europei) ha chiesto 18 mesi di tempo in più per permettere agli attori in gioco di adeguarsi alle novità apportate dalla normativa.
PSD2: che cosa era previsto dal 14 settembre 2019
La seconda direttiva sui servizi di pagamento (PSD2) e la connessa normativa attuativa fissavano al 14 settembre 2019 la scadenza per l’adozione obbligatoria, da parte delle banche e degli altri prestatori di servizi di pagamento, di sistemi di autenticazione forte dei clienti, basati sull’utilizzo di almeno due fattori (es. password, impronta biometrica, certificato su smartphone) per consentire alla clientela di effettuare in piena sicurezza l’accesso ai conti on line e l’esecuzione dei pagamenti elettronici.
Open Banking, 10 domande (e risposte) sulla svolta del 14 settembre 2019
Perché una proroga per l’adeguamento alla direttiva europea
In considerazione della complessità degli adeguamenti – si legge nella nota di Banca d’Italia -, particolarmente rilevanti nel campo dei pagamenti online con carta, e della necessità di un coinvolgimento attivo degli utenti, il 21 giugno scorso la European Banking Authority (EBA) ha riconosciuto alle autorità nazionali la possibilità di concedere ulteriore tempo, rispetto al 14 settembre, per consentire il completamento degli interventi e l’adozione dei nuovi strumenti di autenticazione da parte di tutti i clienti, con esclusivo riferimento alla suddetta categoria di pagamenti.
La Banca d’Italia, sentiti i principali operatori interessati – banche, circuiti di carte, centri servizi, associazioni di categoria degli utenti – anche nell’ambito di appositi incontri del Comitato Pagamenti Italia, ha ritenuto che una migrazione graduale possa ridurre fortemente i rischi di disservizi nei pagamenti online con carta, evitando soluzioni di continuità delle transazioni in settori economici vitali come il commercio elettronico. L’Istituto ha pertanto deciso di concedere una proroga per un periodo limitato, sulla base del termine massimo che sarà definito dall’EBA e successivamente comunicato al mercato. Gli intermediari che vorranno avvalersi di tale proroga dovranno presentare un dettagliato piano di migrazione, che includa anche iniziative di comunicazione e di preparazione della clientela, sia lato esercenti, sia lato titolari di carte.
Perché la PSD2 è un’opportunità per le banche (e spiana la strada alla trasformazione digitale)
La complessità dell’adeguamento alla normativa
Abbiamo sentito sull’argomento Giorgio Ferrero, Ceo di Preta, azienda attiva nel settore dei pagamenti digitali. Preta è stata fondata nel 2013 al fine di sviluppare e innovare i servizi di pagamento digitali e di verifica dell’identità elettronica.
L’azienda possiede e gestisce MyBank, una soluzione di autorizzazione elettronica che consente lo scambio di informazioni finanziarie e non finanziarie tra prestatori di servizi di pagamento e altri operatori sul mercato. MyBank Payments consente ai clienti di pagare online o da mobile, direttamente dal proprio conto corrente bancario.
Giorgio Ferrero, dunque, è un osservatorio privilegiato della PSD2 e dell’Open Banking. E non si stupisce affatto di questa proroga. “Innanzitutto, non deve essere preso nel mirino solo il settore bancario” dice. “Se parliamo di ritardi, dovremmo prendere in considerazione tutta la filiera dei player che devono determinare questa nuova realtà della PSD2. Non dimentichiamo che è un esercizio che vede coinvolti più di 4mila enti creditizi più alcune centinaia di TTP, cioè le terze parti. Insomma, è un processo complesso e di dimensioni significative” spiega Ferrero.
Entrando nei dettagli su cosa può aver causato la proroga, il Ceo di Preta spiega che “ci sono stati dei ritardi nella pubblicazione delle API. C’è poi il discorso dei registri nazionali che non sono stati allineati. Gli stessi TTP hanno dovuto confrontarsi con problematiche sia di natura regolamentare che operativa”.
Le problematiche relative alle API
“Le API sono la sintesi di quelli che in termini tecnici chiamano data elements, cioè le informazioni che servono per riuscire poi a fare un pagamento” spiega il Ceo di Preta. “Si ispirano a degli standard sufficientemente precisi, ma se confrontiamo in uno stesso Paese le Api delle banche a volte ci sono delle piccole differenze, e proprio queste spesso vanno a impattare sui software. Ecco perché può capitare che il cliente vada a utilizzare un servizio scoprendo poi che non funziona. Ma è un semplice problema di macchina” continua Ferrero. Sottolineando la complessità del processo di adeguamento alla PSD2.
L’education dei clienti
Un altro elemento su cui il Ceo di Preta punta l’attenzione è l’importanza della formazione dei clienti. “MyBank non ha sofferto l’introduzione della SCA (Strong Customer Authentication) e, sia i clienti che le banche che aderiscono a MyBank, non hanno vissuto il 14 settembre come un DDay, anzi” dice. Come è stato possibile? “Non solo perché le banche si sono mosse in tempo, ma anche perché hanno provveduto a informare i clienti via mobile, poste e mail”. La formazione del cliente, infatti, secondo Ferrero è fondamentale: “Si pensa sempre che basti creare una tecnologia nuova per affrontare la digital transformation. Ma non è così. La tecnologia nuova va insegnata alla collettività. Soprattutto quando la collettività è variegata e non è fatta solo di millennial. I clienti hanno bisogno di essere guidati nel cambiamento della customere experince” puntualizza Ferrero.
Che cosa succede durante il periodo di proroga della PSD2
Secondo quanto riportato nella nota pubblicata da Banca d’Italia – durante il periodo di migrazione i pagamenti effettuati senza autenticazione forte potranno continuare a essere inviati e accettati secondo le attuali modalità, avendo tuttavia presente l’immediata applicabilità delle regole di imputazione delle responsabilità, in caso di frodi, alle transazioni prive dei requisiti di sicurezza richiesti dalla normativa.
