La normativa come motore dell’innovazione: la PSD2

A cura di:
Ivano Asaro, Direttore, Osservatorio Innovative Payments
Giulia Spinelli, Ricercatore, Osservatorio Innovative Payments

Nel mondo dei pagamenti digitali la normativa sta avendo ruolo fondamentale non solo nel regolamentare il settore, ma anche nell’indirizzare in maniera importante alcune direttrici di innovazione, diventando così il secondo motore d’innovazione al fianco di quello alimentato dal lavoro del mondo dell’offerta. Da un lato, infatti, vi sono gli attori di mercato che promuovono l’evoluzione dei pagamenti attraverso lo sviluppo e l’offerta di prodotti e servizi sempre più digitali e innovativi, si pensi per esempio all’ultima novità del settore, i software POS, che permettono agli esercenti di accettare pagamenti direttamente dal proprio smartphone, senza aver bisogno di hardware aggiuntivi. Dall’altro lato, come accennato in apertura, anche il regolatore gioca un ruolo molto rilevante verso l’innovazione. Questo è vero soprattutto all’interno dell’Unione Europea grazie all’introduzione della Direttiva Europea sui Servizi di Pagamento, o Payment Service Directive (PSD). La PSD è stata pubblicata nella sua prima versione il 13 novembre 2017 con l’obiettivo di definire il quadro giudico comunitario per i servizi di pagamento elettronico. Il 13 gennaio 2016, poi, è stata pubblicata la seconda versione della direttiva, nota come PSD2. Quest’ultima è stata disegnata per aggiornare la direttiva precedente, per tenere conto dell’evoluzione vissuta dai pagamenti digitali nel corso degli anni.

La PSD2 ha infatti l’obiettivo di garantire servizi di pagamento innovativi e sicuri per gli Stati Membri dell’Unione, inserendosi nel quadro più ampio di creazione di un mercato unico dei pagamenti all’interno dell’Unione Europea. La normativa individua e regola le attività di nuovi player, tutelando la concorrenza e la sicurezza dei consumatori finali.

L’obiettivo di aumentare e tutelare la concorrenza è stato affrontato estendendo il level playing field, ossia il perimetro di competizione degli attori nel mondo dei pagamenti digitali, e introducendo il paradigma delle Open API (Application Programming Interface). Il primo viene garantito favorendo la nascita e l’ingresso sul mercato di nuovi player, i cosiddetti Third Party Payment Services Provider (TPP), che permettono di intensificare la competizione, portando probabilmente (ed è uno degli obiettivi del regolatore) ad una maggiore efficienza del settore. Questi attori possono offrire servizi innovativi grazie al secondo provvedimento: l’apertura dei conti correnti bancari dei cittadini attraverso le Open API. La PSD2, infatti, prevede che le banche e gli istituti di credito permettano l’accesso alle informazioni e/o alle operazioni di pagamento avviabili dai conti correnti dei loro utenti, attraverso le Open API. Questo può avvenire previa autorizzazione degli utenti stessi e verso attori che hanno ottenuto specifiche licenze che permettono loro di operare come:

  • Account Information Service Provider (AISP), ossia attori che hanno accesso alle informazioni sui conti correnti dei clienti e possono, ad esempio, aggregare i dati in un’unica piattaforma, fornendo una vista d’insieme agli utenti, o offrire servizi di supporto al credit scoring ad altre aziende.
  • Payment Initiation Service Provider (PISP), ossia attori che permettono ai propri clienti di disporre ordini di pagamento dal proprio conto corrente per effettuare pagamenti online o nei negozi fisici.
  • Card Issuing Service Provider (CISP), ossia attori che possono emettere carte di pagamento che si appoggiano su conti correnti di altre banche, permettendo così agli utenti di effettuare pagamenti con carte diverse da quelle emesse dalla propria banca.

La sicurezza dei consumatori finali, invece, viene tutelata attraverso l’introduzione della Strong Customer Authentication (SCA). La SCA è stata introdotta con l’obiettivo di accertare l’identità di un utente che vuole effettuare un pagamento online ed è diventata obbligatoria dal 31 dicembre 2020. L’autenticazione del pagatore deve ora avvenire verificando almeno due fattori appartenenti alle seguenti categorie:

  • Conoscenza, ossia qualcosa che solo l’utente conosce, ad esempio password, PIN, domande di sicurezza, ecc.;
  • Possesso, ossia qualcosa che solo l’utente possiede, ad esempio lo smartphone o un token bancario;
  • Inerenza, ossia qualcosa che caratterizza l’utente, come l’impronta digitale, il riconoscimento facciale, vocale o dell’iride.

Tra le modalità di SCA più diffuse ci sono:

  • ricezione di una notifica dall’app del prestatore del servizio di pagamento (es. l’app della banca) che consente di verificare il possesso dello smartphone certificato e collegato all’utente (fattore di possesso) e il successivo inserimento del PIN (fattore conoscenza) o del riconoscimento biometrico (fattore inerenza) sulla medesima app;
  • ricezione di un SMS contente un codice OTP (One-Time-Password) che consente di verificare il possesso del numero di telefono certificato e collegato all’utente (fattore di possesso) e l’inserimento di un PIN o di una password (fattore conoscenza).

Il paradigma delle Open API e la SCA sono due delle principali innovazioni introdotte dalla PSD2. L’Open API ha permesso la nascita e l’ingresso di nuovi attori nel mercato, che forniscono nuovi servizi innovativi per gli utenti. Tuttavia, questo segmento sembra essere ancora in una fase preliminare. Il numero di attori che richiedono e ottengono licenze AISP e PISP è in aumento sia in Italia sia in Europa, così come il numero delle chiamate alle API, ma le principali soluzioni riguardano ancora la semplice aggregazione delle informazioni derivanti dai conti correnti, e non l’invio di pagamenti, lasciando un forte potenziale inespresso. Allo stesso modo, se la SCA da un lato contribuisce ad aumentare il senso di sicurezza degli utenti che effettuano acquisti online, dall’altro lato, le procedure aggiuntive hanno ridotto il tasso di successo dei pagamenti effettuati online e servirà quindi lavorare molto sulla user experience e sulla comunicazione verso l’utente.

L’innovazione però non si ferma: la Commissione Europea ha infatti già avviato le consultazioni per una terza versione della Payment Services Directive. Gli operatori del mercato e i cittadini hanno avuto tempo fino allo scorso 2 agosto 2022 per inviare i propri spunti e suggerimenti. La PSD3 è resa necessaria da diversi elementi, tra cui: l’introduzione di nuove frodi ai danni dei consumatori; la necessità di riesaminare l’accesso ai conti, alle infrastrutture e ai servizi di pagamento; l’ingresso di nuovi attori nel mercato; la necessità di una maggiore trasparenza dei costi dei pagamenti internazionali tra l’Unione Europea e altri Paesi.

Siamo a tua disposizione per informazioni e assistenza

Eleonora Evstifeew

Eleonora Evstifeew

Acquisti e abbonamenti Da Lunedì al Venerdì, dalle 09 alle 18
Antonella Zagheni

Antonella Zagheni

Assistenza abbonati Da Lunedì al Venerdì, dalle 09 alle 18
La normativa come motore dell’innovazione: la PSD2

Le migliori Aziende italiane si aggiornano su Osservatori.net