PSD2

PSD2: l'ultilità della normativa Payment Service Directive

La normarmativa PAD2 è una regolamentazione rivolta agli stati membri  entrata in vigore nel 2015 . Tutte le organizzazioni finanziarie  degli stati membri sono dovute incorrere in questo cambiamento normativo, d'obbligo a partire dal 13 gennaio 2019.

Perchè è nata la PSD2?

La  novella regolamentazione nasce dall'esigenza di snellire e fluidificare un mercato complesso composto da una vastità di players ed evoluzioni digitali al fine quindi di normalizzare il quadro regolamentare europeo. Questa normtiva rappresenta l'ultimo step di una numerosa serie d'interventi in ambito di servizi di pagamento. L'obiettivo finale è infatti quello di un mercato unico integrato, uniformando le regole dei prestatori di servizio (PSD) e i nuovi player sul mercato, ad oggi non ancora regolamentati.

Specchio della transazione da PSD a PSD2

PSD Forfirm
PSD2

Evoluzione nel mercato dei pagamenti

I termini "mercati dei pagamenti" ed "evoluzione tecnologica" sono strettamente correlati tra loro e vivono un andamento di crescita proporzionale. I numeri lo dimostrano:  il numero di transazioni non cash a livello globale  ha vissuiro un aumento circa del 9% rispetto al 2013 (338,8 miliardi di valore usd). La crscita della digitalizzazione nel settore bancario, finanziario e delle transazione sta vivendo un continuo e progressivo incremento e si pronostica che vivrà sempre maggiori , superando l'attuale incremento 19 % si branch digitali nel 2018.

Nel caso italiano l'utilizzo della valuta cash è ancora in uso, ma sta vivendo una progressiva, seppure lenta, progressione verso un mondo digitale.

 

Mercato dei pagamenti, numero di transazioni per strumento di pagamenti (in milioni)
mercato-pagamenti

Da cosa è favorita la digitalizzazione?

Alcuni fattori sono determinanti nella digitalizzazione delle banche.

  1. Maggiore Propensione degli utenti nell'utilizzo di dispositivi tecnologici
  2. Questa metamorfosi del consumatore medio, precedentemente  meno avvezzo alla fruizione da dispositivi tecnologici e ora finalmente ha trovato famigliarità con essi, ha permesso la nascita di nuove modalità di pagamento correlate alla nuova customer experience.
  3. Di conseguenza si è creata un'eveluzione dell'offerta di marketing piegata a queste nuove esigenze.

Scenario Europeo nel mondo dell'innovazione

In Germania, Uk e in molti Stati del Nord Europa i nuovi competitors stanno acquisendo quote di mercato, e di conseguenza aumenta vertiginosamente la disitermediazione delle banche nelle relazioni con il cliente. Quindi la sfida per il legislatore italiano sarà quella di garantire contestualmente alla crescita dell'innovazione anche il mantenimento delle strutture bancarie tradizionali, e la loro conseguente trasparenza e sicurezza. Il forte incentivo e spinta propulsiva della nuova direttiva PAD2 nell'utilizzo di strumenti digitali, porterà a normalizzare e regolamentare nuovi servizi e prassi di pagamento online.

La PSD2 interviene a supporto del cambiamento

positive-scope
third-party
responsabilità-forfirm
security-forfirm
spese-forfirm

Positive Scope

Third Party

Responsabilità

Sicurezza

Spese e Surcharge

Impatto tecnologico tra third party provider e banche

Stiamo vivendo un fase storica in cui il sistema bancario sta per essere totalmente sconvolto per andare in una nuova direzione. Le principali cause sono dovute agli stess e pressioni di un mercato tecnologico sempre più ampio, e con tutto il poitenziale di fagocitare il sistema bancario istituzionale. Le banche si trveranno dunque di fronte ad un bivio: decidere se competere così da mantenere un rapporto diretto con la clientela o limitare il proprio ruolo di provider per i servizi bancari.

Con la direttiva PSD2 gli utenti infatti avranno l'opportunità di accedere autonomamente alla propria rendicontazione o effettuare pagamenti attraverso software di terze parti, denominati PISP e AISP.

Tale apertura al mondo digitale non rappresenta solo una minaccia per le banche, ma una possibilità di cooperazione in un ecosistema FINTECH. Grazie alla direttiva PAD2 questo tipo di cooperazioni sono possibili grazie a degli standard sicuri e chari e ad un'amonizazzione e rafforzamento dei processi di autenticazione.

utente-app
utente-psd2-ita

Le API, una via di implementazione

Per quanto riguarda il piano tecnologico, PSD2 implica un impatto considerevole per quanto riguarda le operazioni di accesso ai conti da parte di provider esterni. Nasce naturalmente un forte contrasto tra le potenzialità derivanti dallo sviluppo di linguaggi comune tra le banche e le terze parti. Una delle tecnologia che ha deciso di adotare gli standard dei colloqui tra le parti è identificabile nel REST API

Infatti, la normativa non indica la tecnologia che le Banche dovranno adottare per il colloquio per le terze parti delegandone eventualmente il compito all'EBA. In questo scenario, a detta di banche ed istituzioni, una tecnologia risolutiva della quale avvalersi è quella del REST API .

Armomizzazione e rafforzamento del processo di autenticazione

L'esigenza di armonizzazione nell'utilizzo per le Baanche di stringenti criteri di Sicurezza (Strong Customer Authentication) rappresenta l'altra principale innovazione della direttiva PSD2. L'identità degli utenti dovrà essere accertata attraverso due o più strumenti di auteticazione. Ecco in breve l'elenco:

  • Knowledge
  • Possession
  • Inherence

Alla luce della complessità delle variabili in gioco, appare evidente l'esigenza di riconciliazione tra le comprensibili richieste di rendere stringenti ed omogenei i criteri di autenticazione e sicurezza.

Principali novità normative

Rispetto alla normativa PSD, che principalmente disciplinava i requisiti di informazione e i diritti/obblighi degli utentim la nuova normativa introduce alcune varianti e migliorie:

  1. Estensione dell'ambito di apllicazione della disciplina per quanto riguarda la trasparenza delle condizioni di requisiti informativi nei confronti
  2. a delle operazioni di pagamento in una valuta che non combacia con quella dello stato membro
operazione pagamento 1

3. delle opzioni di pagamento delle valute laddove soltanto uno dei prestatori di servizi di pagamento sia situato nell'unione.

operazioni-pagamento-valute

Rimodulazione delle esenzioni esistenti ("negative scope")

c. Agenti commerciali: l'esenzione troverò apllicazione esclusivamente laddove gli agenti commerciali coinvolti nell'operazione agiscano a favore soltanto di una delle due controparti dell'operazione (pagatore/beneficiario) e non a favore di entrambe

d. Esenzioni telecomunicazioni: applicata esclusivamente alle operazioni di pagamento effettuate tramite un fornitore di reti o servizi di comunicazione elettronica per un abbonamento alla rete o al servizio.

d.1) per l'acquisto di contenuti digitali e servizi di tecnologia vocale

d.2) effettuate da o tramite un dispositivo elettronico e addebitate mediante la relativa fattura.

e) Reti di spendibilità limitata: nozione di reti a spendibilità limitata nell'ottica di contastare l'eccessivo sfruttamento di tale esenzione.

f) ATM indipendenti: abrogata l'esenzione inclusa nella PSD in base alla quale il servizio di prelievo di contante tramite sportelli automatici di prestatori  indipendenti non rientra nell'ambito di applicazione della direttiva PAD.

Introduzione di nuovi servizi di pagamento, in particolare:

g) Payment Initiation Service: servizio fornito da soggetti che si frappongono tra il pagatore ed il suo conto di pagamento online, avviando il pagamento a favore di un terzo beneficiario. Il pagatopre può quindi disporre un pagamento online mediante addebito diretto sul proprio conto corrente a condizione che il PISP (soggetto autorizzato ad esercitare esclusivamente tale nuovo servizio di pagamento) non entri mai in possesso dei fondi del pagatore, mentre il prestatore di servizidi pagamento presso cui è radicato il conto del pagatore o ASPSP sia tenuto a garantire al PISP l'accesso al conto online del pagatore.

AISP ita

Introduzione di nuovi servizi di pagamento, in particolare:

g) Account information Service (o AISP): servizio a disposizione degli utenti di servizi di pagamento aventi conti accessibili online, attraverso cui il pagatore può ottenere, grazie ad una piattaforma online, un'informativa completa su tutti i propri conti di pagamento, anche se intrattenuti con molteplici PSP; Gli AISP non possono utilizzare i dati del cliente o effettuiare l'accesso ai relativi conti di pagamento per scopi diversi da quelli previsti dal servizio.

g) Payment Initiation Service(PISP): servizio fornito da soggetti che si frappongono tra il pagatore ed il suo conto di pagamento online, avviando il pagamento a favore di un terzo beneficiario. Il pagatopre può quindi disporre un pagamento online mediante addebito diretto sul proprio conto corrente a condizione che il PISP (soggetto autorizzato ad esercitare esclusivamente tale nuovo servizio di pagamento) non entri mai in possesso dei fondi del pagatore, mentre il prestatore di servizidi pagamento presso cui è radicato il conto del pagatore o ASPSP sia tenuto a garantire al PISP l'accesso al conto online del pagatore.

pisp ita

PSD2 comporta inoltra l'applicazione

a) Del c.d. SHA, ossia del principio tariffario in base al quale pagatore e beneficiario sostengono ciascuno le spese apllicate del rispettivo prestatore di servizi di pagamento ("SHARE") anche a tutte le operazioni disposte in valute extra UE, nonchè alle operazioni in valute UE che prevedono conversione

b) del divieto "surchange" (i.e. apllicazione di una commissione aggiuntiva) nel caso di utilizzo di carte di pagamento conformemente a quanto previsto dal Regolamento UE 2015/751 sia per pagamento domestici che cross boarder.

La direttiva PSD2 comporterà anche una riduzione da 150  a 50 euro della franchigia che un utente potrà essere obbligato a pagare in caso di operazione non autorizzata connessione a strumenti di pagamento smarriti e rubati ovvero sottratti, salvi i casi in cui il pagatore abbia agito dolorosamente o con negligenza grave nel quale caso il meccanismo della franchigia non opererà.

In realzione alla definizione di concetto chiave come ad esempio "negligenza", la PSD2 lascia spazio ai singoli legislatori nazionali nella declinazione concreta di tali concetti all'interno dell'ordinamento

Nuova modalità di controllo della disponibilità dei fondi: Si tratta di un'oppertunità offerta ai prestatori di servizio di pagamento basati su carta diversi dall'ASPSP di ricevere conferma della disponibilità di fondi.

Oltre a questo la PSD2 introduce l'istituzione del Registro Elettronico centrale per rafforzare la trasparenza del funzionamento degli istituti di pagamento autorizzati, tenuto presso l'Autorità Bancaria Europea.

L'EBA mette a disposizione il contenuto del registro a tutto il pubblico all'interno della propria piattaforma online o sito web.

 Il concetto di responsabilità è un altro elemnto chiave della nuova direttiva. Si tratta in  particolare della ripartizione delle resposabilità tra i diversi attori in gioco e del rapporto di dipendenza nelle prestazioni di servizio.

Adempimenti regolamentari per i PSP

regolamentato-corretto
esenzione ita
nuovi soggetti ita

Strong Customer Authentication and common and secure communication under PSD2

EBA ha pubblicato, sinergicamente alla direttiva PSD2, un draft sul Regulatory technical standars, ovvero gli standard tecnici a cui attenersi. La più evidente novità introdotta dal draft del RTS, anche in realazione alle attese di mercato che la direttiva e il consultation paper avevano creato, si riconduce ad un fattore determinante. Per vincolare il progresso tecnologico futiro non sarà definito centrarlmente uno standard unico e condiviso per il colloquio tra i ASPSP, PISP e AISP.
Infatti og ni ASPSP dovrà rendere accessibili e disponibili opportune interfacce di comunicazione, esaustivamente documentate sul proprio portale o sito web. Di conseguenza PISP e AISP dovranno necessariamente customizzare le proprie apllicazioni con lo specifico ASPSP. Vengono inoltre avviati chiarimenti in relazione:

  • ai requisiti necessari all'identificazione e alla sicurezza della sessione di comunicazione tra ASPSP e PISP e AISP, basati su certificati di auteticazione debitamente crittografati
  • Ai requisiti di sicurezza che dovranno essere adottati (tra cui dynamic link, real time fraud e detection) con particolari fiocus per i pagamenti basati su carte e per la protezione della confidenzialità e dell'integrità delle credenziali di sicurezza customizzate
  • Esenzioni individuate per l'adozione della SCA
  • esigenza di allineare i livelli di servizio e la completezza delle informazioni disponibili per i servizi  AIS e quelle erogate direttamente dagli ASPSP ai propri clienti
  • trattamento dei dati sensibili della clientela

Tematiche da indirizzare

use-of-certificate-forfirm
security-forfirm
expemption-forfirm
sservice-level-forfim
data exchange

Utilizzo di certificati

Security Measure

Exemptions

Service Level

Data Exchange

Focus sugli standard di comunicazione aperti e sicuri

Diverse sono le principali novità relative alle tematiche di colloquio tra ASPSP . PISP e AISP e posso essere delineate e sintetizzare nei punti seguenti

Interfacce di colloquio

Per quanto riguarda la gestione e definizione delle interfacce, EBA auspica l'adozione degli standard ISO 2022. Gli ASPSP dovranno quindi:
a) Rendere disponibili diverse interfacce in grado di abilitare alle operazioni di identificazione, autenticazione e svolgimento delle attività previste per AISP, PISP e per i servizi a pagamento su carte.
b)possono rendere disponibili gratuitamente documentazione tecnica esuastiva sui propri siti web per garantire ad ogni utente la possibilità di integrazione con i TIPP
c)Rendere disponibili infrastrutture e supporto al fine di consentire il test end to end delle apllicazioni TTP
d)Pubblicizzare ogni eventuale modifica tecnica con almeno tre mesi d'anticipo rispetto alla messa in produzione

Livelli di servizio

Affinchè si preservi il giusto livello di sicurezza, dovranno essere garantiti i livelli di servizio e il supporto correlato direttamente correlati agli ASPSP.
Le interfacce per i PISP e AISP dovranno garantire le stesse informazioni disponibili per i servizi direttamente prestati alla clientela, ad eccazione dei dati di pagamento sensibili che dovranno invece essere opportunamente categorizzati ed esclusi dal set informativo scambiato con i TTP.

Applicazioni AISP

Le applicazioni dovranno:
a) consentire agli utenti di limitare le proprie interrogazioni secondo il consenso esplicitamente prestato
b) limitare le richieste di informazioni non disposte direttamente dagli utenti ad un massimo di due al giorno

comunicazione sotto PSD2

Modello dati per l'interoperabilità dei sistemi

EBA incoraggia l'adozione standard di comunicazione sviluppati da enti Internazionali o Europei ed in particolar modo delle ISO 20022 che prevede l'uso sia di XML sia di ASN.1 per la definizione di strutture dati ad alto livello. Questo scenario porterebbe all'adozione per i sistemi XS2A in perimetro PSD2. Ci saranno quindi sati strutturati distinti in tre livelli:

livello di processo
livello logico
livello fisico

La ISO 2022 prevede  la presenza di un dizionazio contenente la descrizione semanntica degli oggetti previsti dal modello dati

Attualmente sono definiti circa 700 componenti di Business e più di 300 messaggi gestiti da ISO 2022.

Questa tipologia di schemi permette di introdurre la possibilità di svolgere confronti e riscontrare delle analogie sui concetti di business desctitti negli schemi dati definiti.

Requisiti di sicurezza sulle esenzioni

In relazione alle tematiche di sicurezza, ecco i principali punti da mettere a fuoco.

Identificazione tra TPP: EBA mira a rafforzare la sicurezza e la fiducia dei consumatori relativamente alle transazioni effettuate utilizzando Internet. Diventa quindi necessario promuovere l'implementazione di misure atte ad identificare i player coinvolti che dovrà avvenire attraverso certificati IDAS. Questo consentirebbe dunque di generare un elenco di fornitori di servizi di pagamento selezionati. Alla base del concetto vi è la creazione di un Public Key Infrastructure per permettere agli attori di interagire con un adeguato livello di sicurezza.

Autotorizzazione delle transazioni delle transazioni e dei dynamic links: la protezione dei dati sensibili di pagamento e delle informazioni personali degli uetnti diventa di primaria importanza. I player dovranno adottare soluzioni tecnologiche che garantiscano riservatezza, autenticità e integrità dei dati e che siano conformi allo standard ISO 27001. A fronte però di una simile esigenza i dati classificati come sensibili non sono stati ad oggi definiti. E' comunque obbligatorio per le parti comunicanti adottare tecniche crittografate ampiamente riconosciute per la protezione dei "dynamic link".

use-of-certificate-forfirm

Use of certificates

  • Eletronic ID& Trust Service (eIDAS)
  • Public Key
data exchange

Data Exchange

  • ISO 27001
  • Sensitive payment protection
security-forfirm

Security measures

  • Dynamic Link
  • Fraud detection and prevention mechanism
  • SCA

Autenticazione degli utenti: l'RST chiarisce definitivamentegli obblighi ed esenzioni dei player coinvolti. In questo scenario le banche avranno l'onere di delineare e definire le procedure di autenticazione da apllicare quando una transazione è avviata tramite servizi di terze parti. In aggiunta a quanto definito in precedenza, vi è inoltre la possibilità di per i TPP di farsi carico del processo di autenticazione ma solo nel caso di un specifico accordo contrattuale preventivo con la banca.

Le esenzioni della SCA

RTS dettaglia le casistivche per le quali non è obbligatoria l'adozione delle misure di strong customer authentication. Nello specifico e in particolar modo tali misure saranno a discrezione dei differenti istituti in caso di:

Accesso e consultazione alle informazioni del conto corrente da parte dell'utente. Sarà comunque prevista l'autenticazione al primo accesso e avrà validità massima di un mese. Per maggiori tempistiche sarà necessario autenticare un nuovo cliente;

access-payment-account

Pagamenti con carte contactless presso punti vendita con importo per il singolo acquisto non superiore a 50 euro e un valore cumulativo pari a 150 euro

contactless-eletronic-payment

Transazioni verso i beneficiari inclusi in una whitelist creata con la Banca di radicamento di conto L'apllicazione delle misure di autenticazione forte è richiesta in fase di creazione della lista di beneficiari e per ogni eventuale modifica successiva da parte dell'utente.

whitelist creation

Bonifici continuativi con i pari importo e beneficiario ad esclusione del primo avvio della serie di bonifici e in caso di modifica dell'importo e/p beneficiario

recurring-money-tranfer

Trasferimenti effettuati sui conti correnti della medesima banca intestati alla stessa persona fisica o giuridica

bank tranfer

Pagamento tramite canale remoto con importo massimo di 10 euro e valore cumulativo di 100 euro

payment-10-euro