La PSD3 (Payment Services Directive 3) rappresenta l’ultimo passo nell’ambizioso percorso dell’Unione Europea per armonizzare e rendere più sicuro il mercato unico dei pagamenti. Si tratta dell’evoluzione naturale della PSD2, approvata nel 2015 e implementata a partire dal 2018, che aveva introdotto novità dirompenti come la Strong Customer Authentication (SCA) e l’apertura dei conti bancari ai servizi di terze parti (open banking). La PSD3 non è una rivoluzione, ma una “rifinitura” importante, che si propone di colmare le lacune emerse negli ultimi anni, aggiornare le regole al contesto digitale attuale – sempre più dominato da wallet, app di pagamento, BNPL (Buy Now Pay Later) e AI – e contrastare con maggiore efficacia le frodi digitali.
Il nuovo pacchetto normativo, presentato ufficialmente dalla Commissione Europea nel giugno 2023, comprende sia la direttiva PSD3 che un nuovo regolamento PSR (Payment Services Regulation). La scelta di adottare anche un regolamento, oltre a una direttiva, punta a rafforzare l’uniformità tra i Paesi membri, limitando il margine di discrezionalità nazionale. In sostanza, la PSD3 stabilisce il quadro giuridico generale, mentre il PSR disciplina nel dettaglio l’operatività dei prestatori di servizi di pagamento, con un impatto concreto su sicurezza, trasparenza delle commissioni, accesso ai conti e protezione dei dati.
PSD3 e PSR potrebbero entrare in vigore presumibilmente tra la fine del 2026 e l’inizio del 2027, anche se non sono previste tempistiche certe. Le trattative tra il Parlamento Europeo e gli Stati membri sono ancora in corso per finalizzare le nuove regole, e dopo l’approvazione, ci sarà un periodo di recepimento da parte degli Stati membri. Solitamente concesso un periodo di transizione di 18 mesi per il recepimento e l’attuazione delle innovazioni recenti.
Indice degli argomenti
Sicurezza e antifrode: cosa cambia con PSD3
Uno dei principali obiettivi di PSD3 è aumentare la sicurezza dei pagamenti digitali in un contesto in cui le minacce cyber sono in crescita e sempre più sofisticate. Il regolamento PSR introduce obblighi rafforzati di autenticazione forte (SCA), anche per scenari finora meno presidiati, come i pagamenti ricorrenti o determinati flussi B2B. Inoltre, si prevede una maggiore trasparenza sulle frodi: gli istituti di pagamento dovranno condividere regolarmente i dati sugli attacchi e sulle tecniche di difesa, contribuendo alla creazione di un ecosistema collaborativo europeo contro il cybercrime.
Un altro elemento centrale è l’introduzione dell’IBAN-name check obbligatorio per i bonifici SEPA: prima di confermare un pagamento, il sistema dovrà verificare la corrispondenza tra nome del beneficiario e IBAN. Una misura ispirata all’esperienza olandese e già raccomandata dalla European Banking Authority (EBA), che ha dimostrato di ridurre sensibilmente il phishing e gli errori nei bonifici. Inoltre, PSD3 rafforza l’obbligo di segnalazione e gestione degli incidenti di sicurezza, prevedendo standard minimi per la risposta agli attacchi e la comunicazione agli utenti colpiti.
L’open banking si fa più aperto (e più sicuro)
Con PSD2, l’Europa ha introdotto il principio dell’open banking, obbligando le banche ad aprire l’accesso ai conti correnti tramite API sicure a operatori terzi autorizzati (TPP). Tuttavia, negli anni si sono manifestate tensioni e problemi di interoperabilità, soprattutto legati alla qualità delle API, all’accesso ai dati e al comportamento ostruzionistico di alcuni attori tradizionali. La PSD3 affronta direttamente questi problemi, imponendo standard più rigorosi sulle API, maggiore trasparenza sulle performance delle interfacce, e sanzioni più severe per chi limita l’accesso.
Un’altra novità è l’introduzione del “dashboard del consenso”, che permetterà ai consumatori di vedere e gestire i consensi dati ai TPP direttamente dall’home banking della banca. Una misura che rafforza la protezione dei dati personali e il controllo da parte dell’utente, allineando la PSD3 anche ai principi del GDPR. Infine, la nuova direttiva apre la strada all’open finance, prevedendo la possibilità futura di estendere l’accesso ai dati oltre i conti correnti, verso investimenti, assicurazioni e altri prodotti finanziari.
Applicazione e casi d’uso: chi è coinvolto e come
L’impatto della PSD3 è ampio e coinvolge banche tradizionali, fintech, PSP, e-commerce, sviluppatori di wallet e piattaforme digitali. Le tempistiche ufficiali prevedono un periodo transitorio di almeno 18 mesi dall’approvazione definitiva, durante il quale i player dovranno adeguare le proprie architetture, policy e interfacce. In particolare, sarà cruciale l’adozione di API aggiornate, meccanismi di monitoraggio antifrode, protocolli SCA più intelligenti (basati su risk scoring dinamici), e strumenti per la gestione del consenso.
Tra i casi d’uso più interessanti si segnalano:
- BNPL (Buy Now Pay Later): con la PSD3, i fornitori di questi servizi rientreranno in modo più chiaro nel perimetro regolamentare, dovendo rispettare gli obblighi di trasparenza e protezione del consumatore.
- Pagamenti istantanei (Instant Payments): saranno soggetti a requisiti più stringenti in materia di sicurezza e verifica dell’identità.
- Digital wallet: saranno obbligati ad applicare la SCA su tutte le transazioni e a garantire standard elevati di resilienza operativa.
- E-commerce: dovranno assicurarsi che i loro PSP siano conformi alle nuove regole e implementino check di IBAN e meccanismi di prevenzione delle frodi.
- Banche e PSP: avranno l’obbligo di mantenere una “disponibilità minima” dei servizi API, pena sanzioni e limitazioni all’operatività.
Best practice per prepararsi alla PSD3: un’agenda
Adeguarsi alla PSD3 non è solo una questione di compliance, ma un’opportunità per rafforzare la fiducia dei clienti e differenziarsi per trasparenza, innovazione e sicurezza. Ecco alcune best practice per affrontare con successo la transizione:
- Audit interno e gap analysis: valutare l’attuale stato di conformità alla PSD2 e identificare le aree critiche da aggiornare.
- Revisione delle API: garantire performance, disponibilità e sicurezza secondo i nuovi standard europei.
- Adozione di SCA adattiva: integrare sistemi di autenticazione forte basati su intelligenza artificiale e risk-based analysis, per migliorare la user experience senza sacrificare la sicurezza.
- Formazione e awareness: coinvolgere team legali, IT, compliance e customer service in un programma di aggiornamento sui requisiti PSD3.
- Collaborazione con i TPP: costruire un ecosistema aperto e affidabile, basato su interoperabilità reale e scambio continuo di informazioni antifrode.
- Design centrato sull’utente: ripensare le interfacce di gestione dei consensi, la presentazione delle informazioni sui pagamenti e la trasparenza sui costi.
- Penetration test e simulazioni di attacco: rafforzare la cyber resilience con test regolari di vulnerabilità e piani di incident response aggiornati.
L’introduzione della PSD3 rappresenta dunque una sfida sistemica, che richiederà impegno tecnico, normativo e strategico. Ma allo stesso tempo offre l’occasione per riprogettare l’esperienza dei pagamenti digitali secondo principi di sicurezza by design, trasparenza e centralità del consumatore. Chi saprà coglierla per tempo avrà un vantaggio competitivo decisivo nel nuovo panorama europeo dei servizi finanziari digitali.
