PSD2 e Fintech: quali regole per i servizi di condivisione dati?

Aggiornato il / Creato il / Di Gabriele Faggioli

Il Fintech, inteso come l'utilizzo di strumenti digitali applicati in ambito finanziario, ha aperto le porte a una vera e propria rivoluzione.

I nuovi servizi introdotti per la gestione di un conto bancario rappresentano una svolta epocale per gli utilizzatori dei servizi di pagamento che avranno la possibilità di accedere più facilmente ai propri conti di pagamento anche per il tramite di terzi soggetti,  affrontando quindi le sfide di un cambiamento culturale intriso di fiducia nella gestione dei propri conti e dei propri dati personali. Si parla non a casa di Open Banking, inteso come apertura dei dati bancari ai diversi attori del settore finanziario, mondo Fintech in primis.

In questo quadro dipinto di innovazione e tecnologie, qual è la cornice che ingloba la disciplina giuridica a cui far riferimento? In ordine di rilevanza:

  • la direttiva Payment Services Directive 2, meglio nota come PSD2;
  • il Regolamento europeo per la protezione dei dati personali n. 679/2016 meglio noto come GDPR;
  • i provvedimenti di secondo livello emanati rispettivamente dalle Autorità di Vigilanza nazionali ed europee.

Gli effetti della PSD2 sul Fintech

Nello specifico la PSD2 regolamenta, tra gli altri, i nuovi servizi utilizzabili da provider di servizi di pagamento di terze parti (TPP) per conto di un utilizzatore di servizi di pagamento (PSU).

In particolare:

  • Payment Initiation Service (PIS), utilizzato da un Payment Initiation Service Provider (PISP) come definito dall'articolo 66 della Direttiva;
  • Account Information Service (AIS), utilizzato da un Account Information Service Provider (AISP) come definito dall'articolo 67 della Direttiva;
  • Confirmation of the Availability of Funds Service (FCS), utilizzato da Payment Instrument Issuing Service Provider da utilizzare da un fornitore di servizi di emissione di strumenti di pagamento (PIISP) come definito dall'articolo 65 della Direttiva.

Per l'utilizzo di questi nuovi servizi, un TPP deve poter accedere, dopo aver raccolto il consenso dell’utilizzatore, al conto di pagamento gestito da un Account Servicing Payment Service Provider (ASPSP), che deve quindi rendere disponibile tale accesso.

La Direttiva e il relativo Regulatory Technical Standard (RTS) di EBA definiscono e regolano le modalità di interazione tra TPP e ASPSP e il funzionamento dell'interfaccia di accesso al conto di pagamento.

Per gli istituti finanziari si tratta quindi di rendere disponibili ai TPP i servizi regolati di accesso ai conti dei propri clienti secondo quanto definito dalla normativa, anche attraverso interfacce dedicate.

Serivizi Fintech e acceso ai dati personali

L’accesso delle TPP ai conti di pagamento determina la necessità di regolamentare gli aspetti legati alla gestione dei dati personali e di declinare in modo chiaro e trasparente le responsabilità dei soggetti attivamente coinvolti nella gestione dei propri dati personali.

Sono quindi necessarie regole di trasparenza per le TPP nonché regole per protezione dei dati, per la sicurezza e l’autenticazione delle TPP e PSP.

Quali regole per i Service Provider?

Le TPP possono essere degli attori (anche NON bancari) assoggettati ad alcune condizioni per accedere all’erogazione del servizio, in particolare:

  • chi presta questi servizi deve essere specificamente autorizzato (è un soggetto vigilato);
  • tali nuovi specifici soggetti non possono mai, comunque ed in alcun modo intermediare fondi;
  • chi presta questi servizi deve informare esaustivamente l’utilizzatore;
  • il beneficiario (es. un merchant) che volesse offrire al pagatore (es. il proprio cliente) un servizio basato su Payment Initiation, deve informarlo in modo chiaro ed inequivocabile;
  • i soggetti che erogano servizi di Payment Initiation non devono necessariamente avere una relazione contrattuale con la banca
  • regole di sicurezza e protezione dei dati (es. credenziali) definite da EBA (European Banking Authority)

Accesso al servizio e trattamento dati personali sono la stessa cosa?

La protezione e la sicurezza dei dati personali è pertanto un tema cruciale per garantire la qualità del servizio e per avvalorare la fiducia degli utenti intenzionati ad utilizzare tali nuovi meccanismi di gestione del proprio conto.

Entrando nei tecnicismi della materia, si deve considerare che il consenso per l’accesso/adesione al servizio è una condizione giuridica differente rispetto al consenso per il trattamento dei propri dati personali.

Infatti, negli atti legislativi di recepimento della direttiva nell’ordinamento giuridico italiano, l’art. 29 D. Lgs. 11/2010, per come modificato e integrato dall’ dall'articolo 2, comma 34, lettera a) e b) del D. Lgs. 15 dicembre 2017, n. 218, prevede che:

1. I prestatori di servizi di pagamento e i gestori di sistemi di pagamento possono trattare dati personali ove ciò sia necessario a prevenire, individuare e indagare casi di frode nei pagamenti. La fornitura di informazioni a persone fisiche in merito al trattamento dei dati personali e ad altro trattamento ai fini del presente decreto avviene in conformità al decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni.

1-bis. I prestatori di servizi di pagamento hanno accesso, trattano e conservano i dati personali necessari alla prestazione dei propri servizi solo previo consenso esplicito dell'utente dei servizi di pagamento”.

Tale previsione normativa non risulta coerente con le condizioni di liceità previste dall’art. 6 GDPR. Infatti, l’accesso e la gestione dei dati personali necessari alla prestazione dei propri servizi è una condizione necessaria per i PSP, ma anche per i TPP, per dare esecuzione agli obblighi contrattuali nascenti dal rapporto bancario con il cliente, dovendo questi applicare conseguentemente per i trattamenti nascenti dal servizio in esame, la base giuridica richiamata al paragrafo 1, lettera b dell’art. 6 GDPR.

Vuoi conoscere i numeri del Fintech italiano a 360 gradi?

Scopri il Programma

  • Autore

Giurista, Responsabile Scientifico Osservatorio Information Security & Privacy Politecnico di Milano, Adjunct Professor MIP-Politecnico di Milano.