Il ruolo ed il compito dell’EBA in previsione dell’entrata in vigore della PSD2: aspetti principali.

Accanto allo sforzo legilastivo dell’Unione Europea e dei singoli Stati, è doveroso ricordare il lavoro svolto dall’Autorità Bancaria Europea al fine di completare le previsioni contenute nella nuova Direttiva, la quale prevede all’art. 15 l’obbligatorietà per l’EBA di sviluppare e gestire il Registro Elettronico Centrale: un registro in cui siano pubblicati i nomi delle entità che prestano servizi di pagamento, con il fine di rafforzare la trasparenza dell’operatività degli istituti di pagamento autorizzati dalle autorità competenti dello Stato membro d’origine o registrati presso di esse (compresi gli agenti), e quindi garantire l’accesso agevole del pubblico all’elenco dei prestatori abilitati, mettendo a disposizione il contenuto sul proprio sito web. Per quel che riguarda il suo tempestivo aggiornamento, è sembrato necessario aumentare la disponibilità d’informazioni precise e aggiornate, con gli enti nazionali che saranno tenuti a notificare immediatamente alla stessa EBA le nuove informazioni iscritte nei rispettivi registri e le loro modifiche, della cui esattezza però rimarranno comunque responsabili. Una problematica concreta che l’ente bancario europeo è stato chiamato ad affrontare, come disposto dall’art. 15 comma 4 della PSD2, è l’elaborazione di una serie di norme tecniche di regolamentazione che definiscono i requisiti tecnici per l’accesso alle informazioni contenute nel Registro Elettronico Centrale, con la definizione delle modalità operative attraverso cui sarà implementata e gestita la

75

connessione tra i vari PSP ed EBA per la consultazione in tempo reale. Dobbiamo aggiungere però che l’aspetto tecnologico ricopre un ruolo centrale in questa riforma del mercato dei pagamenti europei. Tra i principali rischi previsti dalla direttiva vi è la generazione o la modifica delle credenziali d’accesso, involontariamente trasmesse dall’utente (come phishing messages, fraudulent messagges o malware da pc) ovvero inviate tramite canali di comunicazione alternativi quali linea telefonica e simili non adeguatamente protette. Sono pertanto in analisi modalità di condivisione dei dati per accedere ai servizi forniti dai PISP e dagli AISP in sicurezza: ad oggi sono disponibili sistemi di codifica (ad esempio le one-time password) e soluzioni che prevedono la creazione di un collegamento dinamico (dynamic link) al fine di garantire che l’autenticazione per una transazione a distanza non venga utilizzata per altri scopi rispetto a quanto originariamente previsto dal pagatore.

In particolare sul piano tecnologico il più significativo impatto riguarda la richiesta della Direttiva di facilitare le operazioni di accesso ai conti da parte di provider esterni, per la raccolta d’informazioni o per l’elaborazione di un pagamento. Le tecnologie che saranno adottate dovranno quindi garantire all’utente finale sicurezza, sia per operazioni d’accesso all'account che per transazioni che avvengono tramite un canale remoto. La Direttiva a questo proposito indirizza un’armonizzazione delle prassi operative99, con l’adozione di soluzioni che accertino l’identità del cliente per le operazioni di pagamento e richiede l’utilizzo della Strong Customer Authentication (o SCA) per tutta una serie di servizi, quali l’accesso online ad un conto, l’inizializzazione di una operazione di pagamento anche in remoto da cui possano sorgere rischi di frode o altri abusi. Dunque la SCA è un requisito obbligatorio e richiede il rispetto di 3 condizioni: in primis, l’utilizzo almeno due o più tra gli strumenti di autenticazione che possono essere classificati come di knowledge, cioè un segreto statico conosciuto dall’utente, qualcosa che solo lui conosce (si può pensare ad un PIN), di possession, ovvero un dispositivo fisico posseduto dall’utente che sia in grado di generare sequenze alfanumeriche (potrebbe essere un Token) o di inherence, che caratterizza esclusivamente l’utente, dei dati biometrici (ad esempio

99 _{già in uso nella maggior parte delle Banche e ribadito nel 16° aggiornamento delle “Disposizioni di}

76

l’impronta digitale). Queste previsoni certamente dovrebbero garantire sistemi più sicuri ma definiscono con evidenza un percorso per concludere una transazione (come l’acquisto di un prodotto online), meno rapido e immediato che creerebbe difficoltà per la diffusione di questi sistemi di pagamento, che già oggi prevedono alte soglie di strong authentication, incentivandone l’abbandono. Particolare attenzione poi è posta alla conservazione dell’indipendenza dei singoli elementi, per evitare che una violazione di una delle credenziali abbia effetti sulle altre100_{; inoltre è prevista} l’adozione di strumenti per tutelare la riservatezza e l'integrità dei dati d’accesso degli utenti, limitando il rischio di phishing o altre attività fraudolente. Al fine di garantire l’applicazione uniforme della Direttiva ed evitare di creare un framework normativo di riferimento eccessivamente rigido e complesso, che finirebbe per inibire lo sviluppo del sistema, il legislatore europeo ha attribuito all’Autorità Bancaria Europea il compito di emanare orientamenti e progetti di norme tecniche col fine di garantire una migliore regolamentazione circa gli aspetti relativi alla sicurezza dei servizi di pagamento, favorendo la cooperazione tra Stati membri nel controllo e la supervisione sull’attività degli istituti di pagamento autorizzati in altri Paesi101. Per stimolare la discussione l’EBA ha pubblicato un discussion paper, avente ad oggetto l’autenticazione forte del cliente e la comunicazione sicura, nonché un consultation paper, sulla cooperazione e lo scambio di informazioni, al fine di raccogliere commenti e idee da parte dei principali stakeholders, che son stati strumenti utili per la recente emissione degli standars tecnici sui temi che abbiamo appena indicato. I conflitti tra banche e fintech sugli RTS

L’Autorità Bancaria Europea dunque ha pubblicato dunque i propri Regulatory Technical Standards (RTS) ad inizio 2017 nonché delle Linee Guida che serviranno a mostrare le sfide e ad orientare le scelte a cui soprattutto le banche dovranno far fronte. Gli RTS sono stati redatti ai sensi dell’articolo 98 della PSD2102 e riguardano una serie articolata di argomenti fondamentali: senza presunzione di completezza affrontano

100_{come potrebbe verificarsi nel caso l’utente effettui un acquisto o acceda al proprio account tramite}

dispositivo mobile e lo utilizzi per memorizzarne o riceverne le credenziali di accesso.

101 _{in conformità a quanto previsto dal Regolamento (UE) n. 1093/2010 istitutivo dell’EBA} 102 _{ove è previsto che l’EBA emani norme tecniche di regolamentazione, ove siano specificati}

77

temi come il Central Contact Point, argomento fondamentale nella lotta contro i crimini finanziari, il Passporting Notifications & Compliance, per una corretta comunicazione dei trasferimenti transnazionali, nonché il Register Monitoring. L’EBA è stata inoltre chiamata a provvedere alla redazione di Guidelines aventi ad oggetto la Insurance Policies, autorizzazioni e misure di sicurezza, nonché modalità per la valutazione della rilevanza delle operazioni fraudolente. Non analizzeremo specificatamente le singole seppur importanti disposizioni degli standard e delle linee guida emesse recentemente come abbiamo fatto per la PSD2, ma risulta comunque importante dare delle indicazioni sui principali cambiamenti che tali provvedimenti determineranno per i prestatori di servizi di pagamento e d’informazione sui conti. Studi e analisi svolte dall’autorità bancaria hanno portato all'introduzione di alcune delle deroghe richieste per l’applicazione della strong customer autentication, sia per i pagamenti da remoto sia per le modalità d’accesso ai conti concorrenti bancari da parte di TPP terzi, dato che in tanti tra i players del settore, a fronte di un possibile innalzamento degli standard di sicurezza, hanno temuto il peggio e si sono affrettati a inviare richieste e proposte di deroga, di "alleggerimento" dei termini molto stringenti previsti dalla bozza di direttiva iniziale.

“Gli RTS contenuti nel documento finale rappresentano il risultato di difficili compromessi tra i vari, e a volte contrastanti, obiettivi della PSD2, per esempio conciliare la necessità di sicurezza con la comodità del cliente, assicurando una "business model neutrality" e al contempo contribuire all'integrazione del mercato dei pagamenti europeo, facilitando la concorrenza e promuovendo l'innovazione nei servizi di pagamento”

scrive il legislatore nell’ultimo draft emesso103. Gli elementi di deroga più significativi introdotti si riferiscono principalemente al prestatore dei servizi di pagamento che può essere esentato dall’applicare l’autenticazione forte del cliente qualora si basi su una specifica analisi del rischio associato alla transazione stessa, la Transaction Risk Analysis (TRA), da cui emerga un basso rischio di frode associato alla transazione. Distinguendo tra due tipologie di pagamento remoto, ossia quello che si compie mediante una carta utilizzata su Internet e quello che si ottiene disponendo un bonifico

103

78

(per esempio anche tramite un dispositivo mobile), l’EBA prevede che l’applicazione dell’esenzione basata sulla TRA sia possibile per specifici limiti d’importo, sulla base del rispetto di criteri indicati nelle disposizioni. Ulteriori deroghe sono state previste per quelle transazioni che si compiono su terminali non presidiati, finalizzate al pagamento di parcheggi o biglietti per il trasporto. Le stesse esenzioni sono applicate anche ai pagamenti contactless su terminali Pos per operazioni singole inferiori a 50 euro e nei casi in cui l’importo complessivo dall’ultima volta in cui è stata applicata l’autenticazione forte non superi i 150 euro o non siano stati effettuati più di 5 pagamenti consecutivi dallo stesso individuo. Per quanto attiene poi all’annoso tema dell’accesso ai conti, EBA ha precisato che vi è l’obbligo per gli ASPSP di proporre almeno un’interfaccia per i PISP e per le altre categorie di PSP, garantendo i medesimi livelli di servizio offerti ai propri clienti104. In ultimo ci riferiamo all’impiego dei certificati emessi da Identity Provider eIDAS, enti che serviranno ad omogenizzare la digitalizzazione dei servizi pubblici e privati nell’Unione, definindo regole comuni che garantiscono la piena interoperabilità a livello comunitario non solo per gli strumenti di firma elettronica certificata ma anche per l’identificazione web dei cittadini e per i servizi di terza parte (ad esempio per i sigilli elettronici o la validazione temporale). La stessa Autorità Bancaria conferma che, ad entrata in vigore degli standard, le comunicazioni server-to-server tra ASPSP e TPP autorizzati, così come quella con i PSP che emettono strumenti di pagamento card-based, deve avvenire impiegando per l’autenticazione delle parti i certificati qualificati emessi da un provider conforme al regolamento eIDAS105_.

Dunque alla luce di quanto esposto, sembra giusto fare delle considerazioni su ciò che veramente significheranno queste disposizioni in termini di impatto sul mercato, facendo brevemente riferimento a ciò che è contenuto nell’ultimo draft dell’EBA. Appare evidente l’importanza riconosciuta alle banche che dovranno definire in primis le proprie interfacce per fruire dei propri servizi, con le quali si rapporteranno con i nuovi TPP presenti sul mercato; dato che gli RTS non forniscono scelte obbligate, spetta dunque alle banche stabilire le modalità d’interazione con gli altri operatori,

104 _“

Strong customer authentication, le nuove regole dell’EBA”, Bancaforte, 2017 105 _{Regolamento (UE) 910/2014}

79

partendo da alcuni standard di riferimento a cui gruppi di lavoro a livello europeo stanno lavorando al fine d’omogeneizzare le User Interfaces proposte dagli istituti finanziari. Si approfondirà questo tema nel capitolo terzo parlando di API e il problema dello screen scraping. Ma anche per quel che riguarda la sicurezza dei pagamenti sembra una responsibilità assolutamente indirizzata alle banche: considerando l’articolo 14 afferma si legge che "i prestatori di servizi hanno il diritto di fare affidamento sulle procedure di autenticazione fornite", non esistendo perciò alcuna indicazione nella direzione opposta. Sta alla banca autenticare il proprio cliente e di conseguenza, i PISP devono passare il controllo alla banca per la verifica dell’utente, non potendo applicare la propria ma solamente chiedendo alla banca d’eseguirla. Ancora, il progetto definitivo afferma che le banche devono fornire agli AISP le medesime informazioni dai conti di pagamento designati e dalle transazioni di pagamento associate messe a disposizione dell'utente quando hanno la necessità d’accedervi, anche se si aggiunge che "Le informazioni non includono la visualizzazione dei dati di pagamento sensibili" con il termine sensibile rimasto indefinito, lasciando quindi decidere alla banca cosa ciò significhi106.

Queste previsioni sembra stiano con una certa evidenza mettendo al centro del nuovo sistema dei pagamenti digitali gli enti di raccolta e impiego tradizionali. Questo è apparso molto chiaro pure agli startupper del fintech che vedono nelle novità introdotte sia dalla Commissione Europea che dall’EBA il risultato di un loro sostanziale esercizio di lobbying, per placare e modellare la legislazione dell'UE che ha minacciato di spostare l'equilibrio di potere tra il vecchio e nuovo mondo finanziario. È chiaro che la PSD2 è intesa a rafforzare la concorrenza in nome dell’open banking, forzando le banche a consentire alle società innovative del fintech d’accedere ai dati dei clienti che lo autorizzano, anche se in cambio le imprese innovative dovrebbero affrontare una maggiore regolamentazione, in particolare per quanto riguarda la protezione dei dati secondo l'idea che ciò aumenterebbe la fiducia degli utenti nella legittimità e affidabilità delle startup. Ma gli innovatori ritengono che

80

la nuova Direttiva sia stata scritta in un modo d’affidare molto potere alle banche, e che queste previsioni non abbiano fatto altro che limitarle in maniera insufficiente, dotandole di un eccessivo controllo sul canale attraverso il quale i concorrenti potranno accedere e utilizzare i dati da loro messi a disposizione107. Vedremo poi nella prassi se tali timori si riveleranno o meno come delle limitazioni al successo delle nuove imprese finanziarie.

2.1.4 Altre disposizioni relative a pagamenti e dati: il Regolamento UE