La PSD2: aspetti sostanziali della nuova Direttiva sui Pagamenti europea

È evidente quindi la necessità delle autorità internazionali di fornire norme che garantiscano lo sviluppo del sistema, ampliando le possibili applicazioni delle tecnologie declinate alla finanza e all’attività bancaria, ma tutelando i clienti finali da prestatori di servizi che non hanno prerequisiti adeguati. Negli ultimi anni il sistema europeo dei pagamenti è stato interessato da un’evoluzione senza precedenti: il progresso della tecnologia ha in particolare determinato l’esigenza di provvedere all’adeguamento del contesto normativo di riferimento anche sulla base della sensibile accelerazione delle transazioni commerciali ed dell’aumento della smaterializzazione dei trasferimenti in denaro. La crescita del numero delle operazoni non cash a livello

85 _{entrambi stanno attualmente esaminando le imprese che sviluppano prodotti utilizzando la tecnologia}

blockchain (vedi “Australia as the innovation and fintech sector”, Budget.gov.au, 2017)

86 _{“Fintech Regulation in China, Hong Kong and Singapore”, Norton Rose Fulbright, 2016}

65

mondiale non sembra sia destinata
a fermarsi e per il 2018 è stato stimato che il numero delle transazioni digitali raggiungerà un 19% in più rispetto al 201488.

L’esigenza di procedere all’aggiornamento del quadro giuridico di riferimento ha condotto a riesaminare la normativa emanata sui servizi di pagamento e, in particolare, la direttiva 2007/64/CE, prima vera regolamentazione voluta dall’Unione Europea in tale ambito. La Payment Service Directive (PSD) disciplinava i requisiti d’informazione, i diritti e gli obblighi degli utilizzatori finali, nonché i requisiti prudenziali per l’accesso al mercato dei soggetti abilitati a prestare tali servizi, i prestatori di servizi di pagamento ovvero i cosidetti PSP (Payment Service Provider). Questi nuovi operatori, che si sono posti in diretta concorrenza con le banche domestiche, hanno avuto origine diversa: chi bancaria o finanziaria, da un soggetto che opera nei trasferimenti transnazionali o nella grande distribuzione organizzata, dalle poste private o da un soggetto imprenditoriale attivo nel social lending, ma anche nella gestione di terminali ed altri ancora, andando a intensificare la rivalità in questo business e l’offerta per la clientela. La Direttiva, che prevede regole uniformi per gli Stati Membri, dunque ha favorito la creazione nell’Unione di un mercato interno dei pagamenti.

Da una sua appronfondita analisi però è emerso che gli sviluppi del settore hanno dato origine a sfide non facili da affrontare dal punto di vista regolamentare: rilevanti branche del mercato dei pagamenti, in particolare i pagamenti tramite carta, internet e dispositivi mobili, rimangono frammentati nelle diverse realtà nazionali e molti prodotti innovativi non rientrano, interamente o in buona parte, nell’ambito di applicazione della PSD. Inoltre, in alcuni casi la possibilità d’applicare la stessa direttiva del 2007 e, in particolare, gli elementi da esso esclusi (i cosiddetti negative scope), quali determinate attività connesse ai pagamenti, si sono rivelati in alcuni casi troppo ambigui o generici rispetto ai cambiamenti avvenuti nel panorama europeo. Tale situazione ha causato incertezza giuridica, potenziali rischi per la sicurezza della payment chain e la mancanza di protezione dei consumatori, determinando allo stesso modo difficoltà per i PSP ad offrire agli utenti strumenti digitali innovativi e sicuri. Di conseguenza, si è ritenuto opportuno stabilire nuove regole al fine di colmare le lacune riscontrate nella prima versione della Direttiva, garantendo anche maggiore chiarezza giuridica ed un’applicazione uniforme del quadro legislativo in tutta l’Unione.

66

La PSD2 come innovazione normativa dirompente

A fornte di tali criticità, il 23 dicembre 2015 è stata pubblicata nella Gazzetta ufficiale dell'Unione Europea la Direttiva relativa ai servizi di pagamento, che abroga la PSD, la PSD2, che dovrà essere recepita dagli Stati membri entro il 13/01/2018. Cercheremo d’analizzare per quanto possibile gli aspetti tecnici della nuova versione, introducendo concetti che caratterizzeranno l’attività degli operatori, mettendo in particolare le banche89 _{di fronte a scelte, le cui opzioni verranno poi esplicate meglio nel terzo} capitolo. Quindi la PSD2 risponde all’esigenza di fornire una risposta concreta non solo all’evoluzione del mercato dei pagamenti, ma anche alle criticità riscontrate nel precedente regime: dunque alla scarsa uniformità delle norme vigenti in materia nei vari Stati membri, la presenza di numerose e generiche esenzioni d’applicazione, e al vuoto giuridico nel quale hanno operato fino ad oggi molti operatori del settore ed all’applicazione di pratiche di tariffazione non omogenee. La Nuova Direttiva, composta da 116 articoli, è suddivisa in sei Titoli: i) “Oggetto ed ambito di applicazione della normativa”; ii) “I prestatori dei servizi di pagamento”; iii) “La trasparenza delle condizioni e i requisiti informativi per i servizi di pagamento"; iv) “I diritti e gli obblighi relativi alla prestazione ed all’uso dei servizi di pagamento”; v) “L’attribuzione alla Commissione del potere di adottare gli atti delegati”; vi) “Le disposizioni finali”; ha come obbiettivo di creare migliori condizioni sia per i prestatori del servizio che per i consumatori finali.

Le novità più interessanti possono essere rintracciate in primis nella rimodulazione degli ambiti di disapplicazione della normativa. Come già previsto dalla vecchia Direttiva, anche la PSD2 prevede e disciplina, oltre che il cosiddetto positive scope, anche il negative scope, con il quale ci si riferisce agli ambiti di esenzione dalla nuova normativa. In particolare, l’art. 3 del testo prevede una serie di ipotesi di prestazione di attività che, nonostante siano coerenti con i servizi di pagamento, non sono considerate tali e quindi possono essere liberamente prestate da soggetti non sottoposti all’attività di vigilanza delle autorità. Ciò è stato necessario per far fronte alla

89 _{le quali, già dal 2007 con la PSD perché avrebbero dovuto iniziare ad affrontare seriamente il tema} dei pagamenti, trovando una doppia e nuova concorrenza: quella delle banche estere e quella degli operatori non bancari, come aziende TLC, ipermercati, reti di distribuzione di carburante

67

disomogeneità nell’interpretare le regole, nonché nell’applicazione del regime delle esenzioni così come previsto dalla PSD. L’esenzioni previste dall’aggiornamento riguardano operazioni commerciali effettuate tramite un agente commerciale per conto del pagatore o del beneficiario dell’operazione. In sostanza tale esenzione era applicata già con la versione precedente ma con modalità molto diverse negli Stati membri, determinando un aumento dei rischi per gli utenti. Per far fronte a tale criticità, la PSD2 ha previsto la possibilità di ricorrere all’esclusione in oggetto soltanto nel caso in cui l’agente agisca esclusivamente per conto del pagatore o del beneficiario, al di là del fatto che egli sia in possesso dei fondi dei clienti, ma anche nel caso operi sia per conto del pagatore che del beneficiario (ad esempio tramite una piattaforma di commercio elettronico) nel caso che non entri mai in possesso dei fondi dei clienti. Altra esenzione riguarda le reti a spendibilità limitata ovvero ogni caso di strumenti usati per un’unica finalità: citando esempi senza presunzione di completezza, le attività di pagamento che riguardano le membership card, le carte carburante o le tessere per i mezzi pubblici. Si è osservato che negli ultimi anni tali soluzioni producono volumi e valori di pagamento significativi, offrendo ai consumatori l’accesso a prodotti diversi. Per far fronte agli abusi riscontrati nella prassi, con la Direttiva si è previsto che il ricorso all’esenzione sarà possibile soltanto per l’acquisto di beni e di servizi da determinati rivenditori o catene di rivenditori, per l’acquisto di una gamma molto limitata di beni o di servizi o anche per precise finalità sociali o fiscali. La PSD inoltre escludeva dal proprio ambito d’applicazione determinate operazioni di pagamento che erano eseguite tramite cellulari o smartphones se l’operatore avesse assegnato un valore aggiunto alla fornitura di beni e servizi di comunicazione.

A causa dell’ambiguità della previsione che ha portato ad una eterogeneità delle esenzioni nei diversi Paesi membri per l’ambito d’esclusione, mediante la PSD2 si è precisato più accuratamente i tipi di operazioni che rientrano nell’esenzione, prevista per quelle concluse in via accessoria a servizi di comunicazione per un abbonato alla rete, come nel caso d’acquisto di digital content o biglietti per varie finalità. In tali casi il valore di ogni singola operazione di pagamento non deve superare 50 euro ed il valore complessivo delle operazioni di pagamento per un singolo cliente non deve eccedere 300 euro al mese. Inoltre negli ambiti di disapplicazione della PSD si faceva riferimento ai gestori di Automated Teller Machine diversi dalle banche o enti

68

finanziari. Tale esclusione ha determinato il proliferare di ATM autonomi in tutta Europa, creando confusione riguardo le commissioni applicabili sui prelievi, nonché la possibile applicazione di un doppio addebito per lo stesso prelievo, sia da parte del prestatore di servizi di pagamento che detiene il conto che da parte del gestore dell’ATM indipendente, in particolare quando si tratta di prelievi compiuti in un paese diverso da quello in cui risiede il cliente. Di conseguenza, al fine di evitare confusione circa le commissioni sui prelievi, favorendo la tutela del consumatore, con l’entrata in vigore della PSD2 questi non sono più esenti dalla disciplina, dovendo rispettare le disposizioni previste per gli altri PSP90_.

I Nuovi TPP: PISP, AISP e CPII

Tra i positive scope invece, tra gli ambiti d’applicazione della normativa, la novità principale è sicuramente l’introduzione di nuovi servizi d’accesso ai conti (Access to Account o XS2A), ovvero i cosiddetti Third Party Payment Service Provider (TTP), che opereranno nello specifico nella payments initation, nel fund checking e nell’accesso alle account informations; probabilmente è in questo intorno che si stanno definendo i maggiori cambiamenti, con la nascita di nuovi soggetti che si collocheranno all’interno della relazione di pagamento. In particolare, successivamente all’adozione della PSD, si sono diffusi due nuove tipologie di servizi, ovvero i servizi di disposizione di ordine di pagamento nel settore del commercio elettronico ed i servizi di informazione sui conti. Ad oggi questi non sono soggetti alla PSD, di conseguenza non sono sottoposti alla vigilanza dell’autorità competente, non dovendo così rispettare i precedenti requisiti. Ciò ha sollevato una serie di questioni giuridiche91, che hanno indotto il legislatore ad intervenire, ricomprendendo i servizi offerti dai nuovi agenti nell’ambito d’applicazione della Direttiva. La regolamentazione dell’attività di tali soggetti, i TPP, rappresenta sicuramente la maggiore e più importante novità introdotta nella nuova versione. Partendo dai primi,

90

si sta facendo ampiamente riferimento all’analisi compiuta da Cascinelli, Pistoni e Zanetti per PWC riguardante la Nuova Direttiva (vedi Cascinelli F., Pistoni V., Zanetti G., “La Direttiva (UE)

2015/2366 relativa ai servizi di pagamento nel mercato interno”, PWC, 2016)

91 _{ad esempio sul piano della tutela dei consumatori, della sicurezza e della responsabilità nonché della} concorrenza e della protezione dei dati

69

i Payment Initiation Service Provider (o PISP) sono fornitori dell’avvio di un ordine di pagamento a favore di un terzo beneficiario con addebito diretto sul proprio conto corrente, frapponendosi perciò tra il pagatore e le sue disponibilità online detenute da un operatore finanziario. Condizione necessaria per lo svolgimento di tale compito è che il nuovo soggetto, autorizzato ad esercitare esclusivamente l’intermediazione nel pagamento, non entri mai in possesso dei fondi del pagatore. Il prestatore di servizi di pagamento presso cui è radicato il conto del pagatore (il cosiddetto Account Servicing Payment Service Provider o ASPSP), cioè l’istituzione bancaria tradizionale, è comunque tenuto a garantire al PISP l’accesso al conto online del cliente92_{. Ma come} si inserisce esattamente questo nuovo operatore nella relazione tra cliente e banca? Il grafico successivo ci da una visione chiara di come cambierà la situazione.

92

La Direttiva prevede che il PISP non debba essere legato all’ASPSP da un rapporto contrattuale per consentire l’operatività sul conto di pagamento del pagatore. il che può comportare problemi in termini suddivisione della responsabilità in caso di danni al consumatore; vedremo come la Direttiva cerchi di risolvere tale questione.

70

La differenza strutturale chiave è che il pagatore o cliente sarà in grado d’avviare un pagamento tramite un PISP, che a sua volta passerà l'istruzione alla banca custode del conto. Non c'è bisogno dunque di una rete di carte che faccia da intermediario in quanto il pagamento è diretto. Vale la pena notare a questo punto che se le banche forniranno operazioni bancarie online al cliente, allora dovranno fornire questo servizio al TTP a pari costo, in quanto già forniscono servizi bancari online ai propri clienti93_{; una} previsione questa che mira certamente ad aumentare la competizione a tutto vantaggio della clientela. Esempi di operatori già attivi sul mercato europeo sono Sofort e Trustly, che hanno cominciato la loro attività già con l’emissione della normativa precente, i quali richiedono, dopo una precisa autorizzazione del cliente, d’effettuare un pagamento sul portale internet del caso con le risorse presenti sul conto corrente bancario dell’utente registrato. Questi due players hanno ottenuto molto successo in Europa, partendo con un vantaggio non da poco quando la PSD2 entrerà in vigore. Andando oltre, la direttiva 2015/2366/UE introdurrà un’ulteriore novità tra i player attivi nella relazione di pagamento ovvero l’Account Information Service Provider (AISP). Un AISP svolge quell’attività, messa a disposizione degli utenti di servizi di pagamento aventi conti accessibili online, attraverso cui il pagatore può ottenere, grazie ad una piattaforma intermedia in forma anche di app per smartphone o sito web, un’informativa completa su tutti i propri conti di pagamento, anche se detenuti con provider diversi. I servizi di informazione sui conti forniscono dunque all’utente informazioni aggregate relative a uno o più conti, detenuti presso un altro o altri prestatori di servizi di pagamento, a cui si ha accesso mediante interfacce grafiche. È importare rilevare come la Direttiva escluda categoricamente la possibilità per gli AISP d’utilizzare i dati del cliente o effettuare l’accesso ai relativi conti di pagamento per altri scopi, diversi da quelli previsti dal servizio. Questo tipo di operatore potrebbe essere utile per il monitoraggio e le raccomandazioni negli investimenti, un controllo delle spese giornaliere, il supporto nel budgeting e nella pianificazione finanziaria, aprendo infinite possibilità per gli sviluppatori di soluzioni

71

ad-hoc per la gestione patrimoniale degli utenti. Anche in questo caso una rappresentazione grafica nella pagina seguente ci aiuta nella comprensione:

Accanto ai nuovi servizi di pagamento sopra illustrati, per completezza ovviamente diamo una definizione precisa anche dei cosiddetti Card-based Payment Instrument Issuer (CPII). La PSD2, all’art. 65, introduce una nuova modalità di controllo della disponibilità dei fondi, il fund checking: si tratta della possibilità, offerta ai prestatori di servizi di pagamento basati su carta, diversi dagli ASPSP, di ricevere conferma della disponibilità di fondi a fronte di un’operazione richiesta dal pagatore attraverso piattaforme in rete, al fine di gestire al meglio la transazione e ridurre al minimo il rischio di credito. La richiesta e la conferma della disponibilità di fondi saranno veicolate attraverso canali di comunicazione sicuri, rispettando adeguate misure di sicurezza. Inoltre, la Direttiva prevede chiaramente che sia che l’operazione di pagamento avvenga in un contesto online sia che avvenga in un punto vendita fisico, l’ASPSP avrà l’obbligo di fornire l’informazione se e sole se il conto detenuto dal cliente è accessibile elettronicamente. Tali previsioni relative all’operatività dei prestatori di carte di debito amplia le possibilità d’utilizzo delle cosiddette carte

72

“disaccoppiate”, cioè strumenti di debito che possono essere utilizzati in combinazione con un conto tenuto presso un altro PSP. Il dato trasmesso dalla banca rigurdante la disponibilità di fondi corrisponde in ogni caso ad una semplice conferma o rifiuto, non potendo includere alcuna informazione sia di natura quantitativa che qualitativa. Tra le altre estensioni dei positive scope introdotte c’è sicuramente anche il nuovo Art. 2, che si propone d’estendere l’ambito d’applicazione della PSD2 sia in termini geografici, sia in termini di valute considerate. Più nello specifico, oltre all’applicazione nei confronti di tutti i servizi di pagamento forniti nell’Unione Europea94_{, le disposizioni della PSD2 di cui al Titolo II (trasparenza delle condizioni} e requisiti informativi per i servizi di pagamento) ed al Titolo IV (diritti ed obblighi in relazione alla prestazione ed all’uso dei servizi di pagamento), diversamente da quanto previsto dalla PSD, dovranno considerarsi valide anche per quelle operazioni di pagamento in una valuta che non è quella di uno Stato membro se il PISP del pagatore e quello del beneficiario son entrambi situati nell’Unione; ma anche quando, per la parte della transazione effettuata nel nostro continente, l’unico provider coinvolto nell’operazione di pagamento è europeo, oppure, per operazioni di pagamento in valute diverse dall’euro nel caso in cui soltanto uno dei prestatori di servizi di pagamento non appartenga all’Unione (cosidette operazioni one leg)95.

Introdotti dunque positive e negative scope, altro tema centrale ampiamente rivisitato da parte della PSD296 è sicuramente la ripartizione della responsabilità tra gli operatori coinvolti in una specifica operazione, una tematica cruciale in quanto strettamente

94 _{dove il prestatore di servizi di pagamento del pagatore e il prestatore dei servizi del beneficiario siano}

entrambi nell’UE e la valuta utilizzata sia l’Euro

95_{La PSD trovava infatti applicazione quando il prestatore di servizi di pagamento del pagatore e il}

prestatore di servizi di pagamento del beneficiario erano entrambi situati nella Comunità o l’unico prestatore di servizi di pagamento coinvolto nell’operazione di pagamento era situato nella Comunità e con riferimento ai servizi di pagamento effettuati in euro o nella valuta ufficiale di uno Stato membro non facente parte dell’area euro. Riguardo a questo tipo di operazioni si trovano nel testo alcune disposizioni che estendono o meno l’applicazione dell’art. 2 comma 4 della PSD2 anche ad altre tipologie di operazioni, con previsioni contenute in particolare nel Titolo III e IV del testo normativo.

96 _{Molti restano ad oggi i punti aperti e gli aspetti da chiarire, che ci si attende verranno indirizzati grazie}

alla pubblicazione delle specifiche regole tecniche/linee guida da parte dell’EBA ed all’implementazione normativa negli ordinamenti dei singoli Stati membri.

73

connessa con quella che può essere individuata come la maggior novità introdotta da questo aggiornamento, ossia l’applicazione della Direttiva anche ai PISP ed AISP. In particolare, come già accennato, le nuove disposizioni non subordinano la prestazione di servizi di disposizione d’ordini o d’informazione sui conti all’esistenza di un rapporto contrattuale tra il TPP e la banca. Tale circostanza, unita a quanto previsto dall’art. 73 comma 2 che stabilisce, nel caso in cui sia stata disposta un’operazione di pagamento non autorizzata mediante un payment initiation service provider, rimborsare a prima vista il cliente da parte dell’istituto di credito, pone quindi una delicata questione di ripartizione delle responsabilità. Nonostante la stessa disposizione introduca un diritto di regresso in capo all’ASPSP nei confronti del PISP nel caso quest’ultimo sia responsabile dell’operazione di pagamento non autorizzata97, la possibile assenza di un legame contrattuale potrebbe rendere meno agevole l’applicazione di tale norma. Il regime di ripartizione della responsabilità così come delineato ha lo scopo primario di portare gli attori coinvolti ad assumersi responsabilità per la parte dell’operazione sotto il proprio controllo. Benché la Direttiva non preveda l’obbligo, si ritiene che, al fine di garantire la fiducia tra gli enti partecipanti ad un’operazione, sia necessaria la certezza giuridica garantita da un contratto avente forma scritta che un PSP non responsabile sia compensato per le perdite subite o per gli importi pagati. Si dovrebbe in ogni caso fare in modo che l’ASPSP sia esentato da responsabilità per l’operato di terzi coinvolti nell’operazione, fermo restando le esigenze di tutela dei consumatori. È auspicabile che i singoli legislatori nazionali, insieme alle autorità competenti degli Stati membri, forniscano indicazioni su diritti ed obblighi nel rapporto che s’instaura tra fornitore di servizi e l’ente bancario. La