La direttiva europea sui servizi di pagamento, nota come PSD2 (acronimo di Payment Service Directive), è la normativa sui pagamenti nell’Unione Europea, seguente le precedenti disposizioni della PSD1. In questo articolo andremo ad approfondire le principali disposizioni della normativa PSD2, i cambiamenti introdotti nel mondo dei pagamenti digitali e le opportunità che tali cambiamenti offrono all’intero ecosistema, attraverso la Ricerca dell’Osservatorio Innovative Payments del Politecnico di Milano.
Cos’è la PSD2
La PSD2 (Payment Service Directive) è la direttiva sui servizi di pagamento, pubblicata in Gazzetta Ufficiale dell’Unione Europea il 25 novembre 2015 e resa attuativa, dopo un lungo periodo di recepimento da parte degli stati membri, il 14 settembre 2019.
Si tratta di una disposizione fortemente voluta dall’Unione Europea per porre le fondamenta giuridiche per un mercato unico dei pagamenti in tutta Europa e stabilire servizi di pagamento più sicuri e innovativi in tutta l'UE.
A chi si rivolge la PSD2
In un’ottica di armonizzazione massima, la direttiva europea PSD 2 indirizza un’estensione del terreno di competizione dei pagamenti digitali, permettendo la nascita di servizi innovativi per l'accesso ai conti e favorendo la creazione di nuovi player, cosiddetti TPP (Third Party Payment Services Provider) che possono competere, o meglio cooperare, con i player tradizionali (banche, poste, istituti di pagamento, istituti di moneta elettronica).
PSD2: entrata in vigore e proroghe
La normativa PSD2 è entrata in vigore il 13 gennaio 2018, poco più di dieci anni dopo la prima Payment Service Directive (PSD1). Il regolatore ha poi disposto un periodo di 20 mesi concessi agli istituti di credito per adeguarsi alle nuove regole del gioco, individuando appunto il 14 settembre 2019 come la data di “go live”.
Non ci sono proroghe che permettano alle banche e ai prestatori di servizi di pagamento di ritardare l’entrata in vigore delle nuove regole. L’unica eccezione, prevista dalla European Banking Authority e dalla Banca d’Italia, riguarda l’attuazione delle Strong Customer Authentication (come vedremo una delle principali novità della direttiva) che possono essere rimandata “in casi eccezionali” per “ridurre fortemente i rischi di disservizi nei pagamenti online con carta” agli operatori che ne facciano una esplicita richiesta motivata alla Banca d’Italia.
Perché una direttiva europea sui servizi di pagamento
Attraverso la PSD2 l’obiettivo perseguito dal legislatore comunitario è di contribuire alla diffusione dei pagamenti elettronici lavorando su tre leve fondamentali:
- un mercato dei pagamenti europeo più integrato ed efficiente;
- condizioni di parità per i fornitori di servizi di pagamento;
- sicurezza delle transazioni e tutela dei consumatori.
Oltre alle dichiarazioni ufficiali, però, si legge tra le righe la volontà di regolamentare gli attori che già da alcuni anni offrono servizi di pagamento online basati su conto corrente, creare un mercato più libero e competitivo e provare a scardinare un mercato statico e poco propenso all’introduzione di nuovi modelli di business, costringendo gli attori bancari ad aprirsi e innovare.
Pagamenti e PSD2, cosa cambia: le principali novità
I cambiamenti più interessanti introdotti dalla normativa europea sono sostanzialmente due:
- l’apertura a nuovi servizi (Account Information, Payment Initiation e Card Issuing) e la relativa identificazione di nuovi attori (AISP, PISP e CISP) che potranno dialogare e interagire direttamente con i conti correnti dei cittadini europei (Open API);
- la ridefinizione dei metodi di autenticazionelegittimi per effettuare transazioni finanziarie (Strong Customer Authentication o Autenticazione Forte del Cliente).
Altre disposizioni prevedono, invece, l’abbassamento delle interchange fee (una componente delle commissioni che pagano i commercianti per accettare i pagamenti con carta) e la ridefinizione del perimetro giuridico all’interno del quale si possono offrire pagamenti tramite credito telefonico e tramite strumenti a spendibilità limitata (per esempio le carte petrolifere o altri strumenti che possono essere utilizzati solo in determinati contesti).
PSD2 e Open API
I principali cambiamenti introdotti dalla normativa europea sui servizi di pagamento sono dunque legati al fenomeno dell’Open Banking e delle Open API.
Più specificatamente, dal 14 settembre 2020 le banche sono state obbligate a condividere tramite API (Application Programming Interface) alcune informazioni su conti e possibilità di disporre pagamenti dei propri correntisti con terze parti, solo, naturalmente, quelle autorizzate dal cliente stesso (in accordo con la normativa GDPR).
Si traduce così il cosiddetto "Open Banking" un nuovo paradigma per cui le informazioni e le transazioni finanziarie devono poter essere fruite dai clienti liberamente senza i vincoli che a oggi sussistono. I servizi pensati dal regolatore sono fondamentalmente tre:
- il servizio di Account Informationche permette al cliente di accedere al saldo dei propri conti correnti tramite applicazioni diverse da quelle bancarie;
- il servizio di Payment Initiation che consente al cliente di autorizzare un trasferimento di denaro senza l’uso di carte di credito tramite applicazioni e servizi che si appoggiano direttamente sul suo conto corrente;
- il servizio di Card Issuing che autorizza il cliente all’utilizzo di una carta di pagamento emessa da un attore diverso dalla propria banca e che, similmente al classico Bancomat, si appoggia direttamente sul suo conto corrente.
Con l’introduzione della PSD2 si è allargato dunque lo scenario competitivo e crescono le opportunità di collaborazione tra le banche e i nuovi attori abilitati dall’Open API, come startup, aziende Fintech e NewCo.
PSD2 e Strong Customer Authentication
Oltre alla “liberalizzazione” e alla regolamentazione di questi nuovi servizi, la PSD2 pone una forte attenzione alla questione della sicurezza delle transazioni, in particolare di quelle online, per prevenire frodi.
Sono state introdotte infatti regole per l’autenticazione forte del consumatore al momento del pagamento o Strong Customer Authentication (SCA). La SCA prevede che gli istituti finanziari verifichino almeno due di tre fattori dei propri clienti:
- qualcosa che solo il cliente sa (password, PIN, etc.)
- qualcosa che solo il cliente ha (smartphone, token bancario, etc.)
- qualcosa che solo il cliente è (riconoscimento facciale, impronta digitale, etc.)
Il problema delle chiavette attuali è che generano un codice (l'OTP, one time password) che dura pochi secondi ma non esclude la possibilità di un utilizzo su altre operazioni. Con le nuove regole, invece, il codice "restituito" al cliente è legato solo e soltanto a quella determinata transazione, aumentando quindi ancora di più la sicurezza.
PSD2: l’inizio di un percorso
Concludendo, l’ingresso di questa normativa è da considerarsi complessivamente positivo. Tuttavia, le aspettative iniziali non sempre sono state raggiunte. Da un lato, la Strong Customer Authentication ha mantenuto la propria promessa di aumentare la protezione e preservare meglio i consumatori dalle frodi, peggiorando, come previsto, la user experience del processo di acquisto online, soprattutto nei primi mesi.
Dall’altro lato, al contrario, ci si aspettava una maggior competizione tra gli attori del mercato, con l’entrata di nuovi player (dalle startup, ai merchant, agli OTT) che avrebbero dovuto innescare un processo di innovazione dei servizi a favore dei consumatori finali. In realtà questo non è avvenuto: i nuovi player faticano a offrire servizi basati sulle API della PSD2 e i consumatori non hanno quindi interesse a usufruire di servizi ancora poco maturi.
La PSD2, soprattutto nell’ambito del cosiddetto “Open Banking”, si configura come l’inizio di un percorso. La strada è ancora lunga, ma il regolatore europeo sta già tracciando la via per proseguire in questo cammino con la proposta di una PSD3 e di un framework per l'accesso ai dati finanziari (FIDA) che vedranno la luce nei prossimi anni.
Vuoi conoscere e approfondire le novità e i trend dei Pagamenti Digitali?
- Autore
Direttore dell'Osservatorio Innovative Payments
Gli ultimi articoli di Ivano Asaro
-
Pagamenti Contactless, come funziona pagare senza carta 27 novembre 2023
-
Open API, cosa sono e come innoveranno i pagamenti digitali 22 novembre 2023
Rimani aggiornato sui trend dell’Innovazione Digitale
Inserisci qui la tua email
Potrebbe interessarti
Articoli più letti