Altre disposizioni relative a pagamenti e dati: il Regolamento UE n 2015/751 (“Regolamento MIF”), Orientamenti finali EBA sulla

sicurezza dei pagamenti via internet e il GDPR

Il riconoscimento della centralità dei sistemi di pagamento ha indotto il legislatore europeo ad intervenire massivamente riformando il framework legislativo di riferimento, non soltanto attraverso l’introduzione della PSD2, ma anche attraverso l’emanazione di altri provvedimenti ovvero il Regolamento n.2015/751 sulle commissioni interbancarie, il cosiddeto Regolamento MIF, il GDPR, cioè il regolamento generale sulla protezione dei dati. Queste novità legislative andranno a influenzare in modo importante l’operatività di coloro che entraranno nel mercato ma soprattuto degli incumbent. Vediamo brevemente in cosa questi si concretizzano. Partendo dal MIF, questo è accostato alla PSD2 con la quale costituisce il cosidetto “Pacchetto Pagamenti”, è composto da misure autonome e distinte ma complementari, ribadendo la separazione giuridica, ma anche organizzativa e procedurale tra gli emittenti delle carte di pagamento e i gestori delle transazioni. Ma, più importante, fissa limiti massimi all’applicazione di commissioni interbancarie applicate alle carte di pagamento, separandole obbligatoriamente dai costi relativi ai diversi marchi presenti sulle stesse carte108. Nella prassi commerciale le fees interbancarie

107 _{“Fintech sector fears dilution of EU ‘open banking’ legislation”, Financial Times, 2017} 108 _{Regolamento n.2015/751 del Parlamento Europeo e del Consiglio, Banca d’Italia, 2015}

81

rappresentano la maggior parte dei compensi addebitati dagli emittenti delle carte agli esercenti, i quali tendono a loro volta ad “aggiungerle” nei prezzi applicati al dettaglio; ne deriva quindi che questi costi risultano in concreto a carico dei consumatori ai quali, in modo poco trasparente, sono addebitate spese legate allo specifico metodo di pagamento utilizzato. Intervenendo sul punto il Regolamento MIF, unito alla previsione della PSD2 all’art. 62 co. 4109_{, introduce quindi dei limiti alla loro} applicabilità.

In relazione alla sicurezza dei pagamenti effettuati tramite internet, gli Orientamenti dell’EBA del dicembre 2014 abrogano e sostituiscono integralmente l’impianto del testo normativo precedente del giugno 2012, cambiamento recepito poi nelle diverse realtà nazionali; questi gli orientamenti si applicano agli istituti di pagamento e di moneta elettronica, nonché agli intermediari finanziari autorizzati alla prestazione di servizi di pagamento e/o di e-currency secondo il principio di proporzionalità, e cioè tenendo conto della dimensione, della complessità operativa e della tipologia di servizi prestati da ciascun soggetto. Le Recommendations sono finalizzate sostanzialmente ad identificare con certezza l’acquirente, realizzare una transazione sicura sotto tutti i punti di vista, valutare in maniera dettagliata il rischio residuo nel sistema di gestione delle transazioni e, infine, sensibilizzare ed educare gli acquirenti sulla sicurezza dei pagamenti elettronici. A seguito dell’introduzione dell’aggiornamento in questione, le banche son state chiamate a prevedere l’attuazione di una formale policy di sicurezza per i servizi di pagamento in rete, l’implementazione di specifiche misure operative tra le quali, per esempio, troviamo la prima citata autenticazione forte del cliente e l’assistenza alla clientela.

Risulta, nell’ottica della protezione dei dati delle transazioni e degli account della clientela, altrettanto importante il General Data Protection Regulation che è in sostanza un regolamento con l’ambizione di rafforzare e unificare la normativa sulla protezione dei dati personali entro i confini UE, superando i parziali regolamenti locali e legiferando anche sul tema dell’esportazione dei dati personali al di fuori

109 _{con cui si dispone che gli Stati membri assicurino che il beneficiario di tali commissioni non imponga}

spese per l’utilizzo di strumenti di pagamento le cui commissioni interbancarie siano già soggette al capo II del Regolamento MIF

82

dell’Europa. Merita compiere una riflessione sui punti di attrito tra il nuovo Regolamento sui dati e la direttiva sui pagamenti. Il GDPR modificherà dalla sua entrata in vigore, nel maggio del 2018, in modo sostanziale diversi aspetti inerenti la conservazione dei dati personali, comportando un cambio radicale nel modo di gestire le informazioni sensibili all’interno delle organizzazioni, con il fine ultimo di prevenirne la perdita e impedirne la condivisione non autorizzata. Perciò per le aziende diventa obbligatorio ripensare i sistemi di gestione per assicurare la conformità alla normativa. Il Regolamento sulla protezione dei dati promuove la responsabilizzazione dei titolari nel loro trattamento e l’adozione di approcci e politiche che tengano conto costantemente del rischio legato a questa operazione. Il principio chiave è la privacy

by design, ossia la garanzia di proteggere dei dati fin dalla fase di ideazione e

progettazione di un sistema d’interazione, adottando comportamenti e codici di condotta che consentano di prevenire possibili problematiche. Ovviamente si è evidenziato come le policy relative alla tutela dei dati personali debbano essere proporzionate alla tipologia di trattamento. Da ciò consegue che, nel caso si renda necessaria l’esternalizzazione di un trattamento, il titolare dello stesso potrà ricorrere solo a fornitori in grado di assicurare misure tecniche e organizzative in linea con quanto imposto dal regolamento110.

Permane il dubbio di molti analisti che il GDPR sia in contrasto con quanto previsto dalla PSD2: con quest’ultima le banche europee, come detto, dovranno soddisfare le richieste effettuate tramite un provider di terze parti, autorizzato a condividere i dati dei propri clienti. Ma nel caso accada una qualche perdita di dati, quando proprio al TPP indipendente sarà attribuibile una colpa anche parziale, per esempio giustificato da un attacco del cybercrime, in uno scenario di questo tipo sarà difficile definire l’effettiva responsabilità nell’applicazione congiunta del Regolamento GDPR- PSD2111. Di certo un effetto immediato della Direttiva, che entra in rotta di collisione

110_{“GDPR, le cose da sapere”, 01Net, 2017}

111

Un esempio potrebbe essere quello di un possibile rifiuto a rispondere da parte di una banca nel caso questa non sia sicura al 100% riguardo la provenienza della richiesta di un determinato TPP. Questa per salvaguardare quanto richiesto dal GDPR, potrebbe esporsi alla sanzione PSD2, che magari prevede sanzioni meno onerose. Sono esempi difficili da decifrare attualmente.

83

con il regolamento, è quello di scoraggiare chi non ha “le spalle larghe” abbastanza da diventare un Third Party Provider. La riflessione più immediata resta che probabilmente anche alla
direttiva PSD2 si sarebbe dovuto dare natura di regolamento, studiando ogni aspetto proprio in relazione al trattamento dei dati sensibili, rimanendo molti dubbi sul fatto che questo tipo di compliance sia stato realmente fatto. Tutto in uno scenario in cui districarsi tra responsabilità e cambiamento di procedure per adempiere al GDPR è e sarà tutt’altro che semplice, anche e soprattutto per gli enti bancari.

A conclusione, come è stato più volte rilevato, non solo questi provvedimenti da ultimo ricordati, ma soprattutto la Direttiva e quanto definito dall’EBA risultano funzionali allo sviluppo di nuove tecnologie e nuovi servizi nell’ambito del mercato dei pagamenti, aprendo nuove possibilità operative agli incumbent e ai nuovi player del settore, potendo infatti incidere sulla scelta del modello di business, sui volumi delle transazioni concluse, nonché sulla massimizzazione del valore marginale ricavabile da un singolo cliente. Tutto ciò senza considerare pure le opportunità che possono sorgere dalla collaborazione tra i diversi PSP, anche attraverso lo sviluppo di partnership finalizzate a valorizzare le specificità che caratterizzano ciascun providers. Per quelli già operanti l’ampliamento dell’ambito di applicazione della Direttiva rappresenta un chiaro indice della necessità di ripensare alle relazioni con i clienti, aggiornando il proprio business model, e rivedendo i processi di sviluppo di nuovi prodotti, anche al fine di massimizzare i vantaggi derivanti dalla diffusione dei canali internet e mobile.

L’introduzione dei nuovi servizi di disposizione di ordini di pagamento e d’informazione sui conti, consentirà ai provider certificati d’accedere agli account dei clienti (open access e open banking), sottintendono per le banche una spinta a promuovere un mercato realmente aperto. Quegli operatori che dovessero decidere di considerare la Direttiva come un semplice adeguamento normativo, rimanendo attendisti e passivi, potrebbero accumulare una distanza difficile da colmare rispetto ai competitor più innovativi ed alle fintech già attive. Inoltre, alla luce di quanto sopra

84

evidenziato, appare chiaro come sia gli RTS che le linee guida costituiscono strumenti fondamentali per il conseguimento di uno dei maggiori obiettivi della PSD2, ossia l’applicazione uniforme della disciplina in materia di servizi di pagamento e quindi il rafforzamento della tutela del consumatore, con specifico riferimento all’innovazione ed al miglioramento della sicurezza delle transazioni elettroniche in tutta l’Unione Europea. Certamente l’apertura dei conti bancari richiederà la promozione di soluzioni tecnologiche che garantiscano un elevato livello di sicurezza per l’utente finale e che consentano una facile integrazione con i Third Payment Party Provider.

2.2 Gli Instant Payments come strumento di crescita del sistema