skip to Main Content

Banca D'Italia

DOCUMENTO RISERVATO. Bankitalia alle banche: mettete a disposizione di fintech e Gafa (Google, Apple, Facebook, Amazon) i dati dei vostri clienti

Ecco che cosa ha scritto Banca d'Italia agli intermediari finanziari per attuare l'applicazione della direttiva europea Psd2 che rivoluzionerà il sistema dei pagamenti

 

Bankitalia accelera sull’attuazione della direttiva europea Psd2, a poco più di un anno dall’entrata in vigore (era il 13 gennaio 2018).

Entra sempre più nel vivo, dunque, l’applicazione della direttiva Psd2 che rivoluzionerà il sistema dei pagamenti.

LE NOVITA’ DELLA DIRETTIVA EUROPEA PSD2

A livello bancario la novità più importante della Psd2 è l’apertura delle cosiddette Api (“Application programming interfaces”) di esposizione e accesso alle informazioni bancarie. Questo aspetto favorisce, infatti, la creazione di nuovi player in grado di sfruttarne il valore, anche in campi diversi da quello strettamente bancario.

CHE COSA SONO GLI AISP E I PISP

Si tratta, in particolare, dei nuovi intermediari dei dati, gli Aisp (“Account information service provider”) che potranno estrarre i dati del conto del cliente per sviluppare nuovi servizi, come quello del profilo di rischio o del merito di credito. E dei Pisp (“Payment initiation service provider”) che avranno il diritto di dare inizio al processo di pagamento verso qualsiasi beneficiario addebitando direttamente sul conto corrente del cliente. I primi a trarne profitto saranno naturalmente le aziende Fintech e in prospettiva anche i Gafa (Google, Apple, Facebook, Amazon). (Lunedì 28 gennaio Start Magazine pubblicherà un’inchiesta approfondita di Alessandro Sperandio sul tema)

COME CAMBIANO LE COMMISSIONI

Per i consumatori la Psd2 consente, invece, un taglio degli extra-costi nelle transazioni con carte di credito o di debito, sia online sia nei negozi. Per l’Italia il governo ha deciso che per i pagamenti tramite carta di debito e prepagata “la commissione interbancaria per ogni operazione di pagamento non può essere superiore allo 0,2% del valore dell’operazione stessa”. Mentre per le operazioni tramite carta di credito “la commissione interbancaria per operazione non può essere superiore allo 0,3% del valore dell’operazione”.

IL RUOLO DELLA BANCA D’ITALIA

E’ comunque la Banca d’Italia l’istituzione pivot da questo punto di vista. Per questo, nel solco della direttiva Ue, la Banca centrale nei giorni scorsi ha inviato agli intermediari finanziari, in primis le banche, una comunicazione che ha per oggetto: “Psd2 – accesso ai conti: istruzioni per il procedimento amministrativo di esenzione dall’obbligo di realizzare procedure di contingency (“fall-back solutions”)”, come ha svelato giorni fa Start Magazine.

ECCO LA COMUNICAZIONE INVIATA DALLA BANCA D’ITALIA

L’Istituto centrale governato da Ignazio Visco chiede in sostanza alle banche di conoscere in anticipo i loro piani per mettersi in regola con la direttiva.

Entro il 14 marzo le banche dovranno essere pronte a esporre in ambiente di collaudo le Api, le applicazioni che permetteranno a terzi di effettuare test sui servizi obbligatori di “inizializzazione dei pagamenti” e richieste di informativa sul conto dei clienti.

GLI OBIETTIVI DELL’ACCELERAZIONE

Obiettivo? Essere pronte per il 14 settembre a gestire le richieste dei nuovi soggetti pronti a entrare in campo, in particolare società fintech ma anche i colossi Gafa (Google, Apple, Facebook, Amazon).

L’accelerazione dello sviluppo dell’open banking facendo leva su soluzioni Api e sulla possibilità di offrire alla clientela prodotti e servizi sviluppati da terze parti sarà una delle conseguenze della direttiva.

LO SCENARIO PER FINTECH E GAFA

In sostanza, il prossimo passo della direttiva comporta la possibilità per società Fintech, Google, Apple, Facebook e Amazon di aver accesso ai dati dei clienti bancari per sviluppare proposte finanziarie ad hoc senza per questo diventare a tutti gli effetti delle banche, quindi senza una vera e propria licenza bancaria rilasciata dalla Banca d’Italia.

IL SUCCO DELLA COMUNICAZIONE DI BANKITALIA

Nella comunicazione riservata inviata da Palazzo Koch agli intermediari finanziari da un lato si forniscono alcuni chiarimenti su “Processi e protocolli di pagamento sicuri per le imprese” e dall’altro si indicano le procedure per “le esenzioni dal requisito di autenticazione forte del cliente per gli intermediari che prestino servizi di pagamento avvalendosi di processi o protocolli dedicati ai pagamenti corporate”.

Nei prossimi giorni su Start Magazine proseguiremo a seguire il tema con articoli, approfondimenti e interventi

ECCO UN ESTRATTO DELLA COMUNICAZIONE INVIATA DALLA BANCA D’ITALIA AGLI INTERMEDIARI FINANZIARI

PSD2 – accesso ai conti: istruzioni per il procedimento amministrativo di esenzione dall’obbligo di realizzare procedure di contingency (“fall-back solutions”).

Il Regolamento delegato 2018/389 della Commissione Europea del 27 novembre 2017, che integra la direttiva (UE) 2015/2366 (PSD2) per quanto riguarda le norme tecniche per l’autenticazione forte del cliente e gli standard aperti di comunicazione (nel seguito RTS), prevede che tutti i prestatori di servizi di pagamento che detengono conti accessibili online (Account Servicing Payment Service Providers o ASPSP) predispongano, entro il 14 settembre 2019, un’interfaccia di accesso per consentire a terze parti (Third Party Providers o TPP) di svolgere la propria attività.

Tale obbligo è volto a garantire un canale sicuro di autenticazione e comunicazione tra l’ASPSP e il TPP e può essere alternativamente soddisfatto attraverso:

a) la realizzazione ex novo di un’interfaccia online dedicata all’accesso dei TPP;

b) l’adattamento di interfacce già disponibili ai clienti per accedere direttamente ai propri conti di pagamento online.

In caso di adozione dell’interfaccia dedicata (opzione sub a), gli RTS impongono all’ASPSP di assicurare ai TPP l’accesso ai conti anche attraverso un meccanismo alternativo (cd. soluzione di fall-back, cfr. art. 33 par.4), da utilizzare in caso di indisponibilità o di prestazioni inadeguate dell’interfaccia dedicata. Ai sensi dell’art. 33, par. 6 degli RTS, la Banca d’Italia può esentare gli ASPSP dall’obbligo di realizzare questa interfaccia di fall-back se sono soddisfatte le condizioni previste dal medesimo articolo.

La Banca d’Italia intende adottare un termine per la conclusione del procedimento amministrativo su istanza di parte per l’esenzione dalla soluzione di fall-back inferiore a quello ordinariamente previsto dal Regolamento della Banca d’Italia del 25 giugno 2008 e successive modifiche (indicativamente 45 giorni).

Gli RTS prevedono che gli ASPSP rendano disponibili le interfacce dedicate, a fini di test, al più tardi entro il 14 marzo 2019, e siano in grado di dimostrare che le interfacce siano state “ampiamente utilizzate”, in ambiente di produzione, per almeno 3 mesi prima di poter avanzare l’istanza di esenzione dalla soluzione di fall-back.

Per poter rispettare tali tempistiche stringenti, prevedendo anche sufficiente margine di tempo per permettere alla Banca d’Italia l’esame delle istanze, è necessario che i test di funzionalità delle interfacce siano avviati con tempestività, preferibilmente entro i primi giorni del mese di febbraio, e che le interfacce siano messe in esercizio entro il primo giugno.

Al fine di agevolare l’esame della documentazione, è stata predisposta la modulistica allegata, che consente di armonizzare e rappresentare in forma sintetica le informazioni richieste e che andrà inviata in più fasi (cfr. infra Domande di esenzione dalla soluzione di fall-back).

Secondo quanto previsto dalla Circ. n. 285 “Disposizioni di vigilanza per le banche” del 17 dicembre 2013 e dalle “Disposizioni di vigilanza per gli istituti di pagamento e gli istituti di moneta elettronica” in materia di esternalizzazione di funzioni operative importanti, gli intermediari che intendono ricorrere a soluzioni di soggetti terzi per l’accesso ai conti sono tenuti ad inviare alla Banca d’Italia una comunicazione preventiva. A questo fine, per gli intermediari che aderiscono a una piattaforma multi-operatore offerta dal mercato e sorvegliata ai sensi dell’Art. 146 del TUB, la comunicazione è effettuata con la trasmissione delle informazioni di cui alla Parte 1 – Informazioni sull’interfaccia dedicata, come specificate di seguito, purché la piattaforma abbia comunicato agli aderenti di aver fornito alla funzione di Sorveglianza sul sistema dei pagamenti della Banca d’Italia ex Art. 146 del TUB le informazioni necessarie a valutarne la conformità al quadro normativo. Questi intermediari attestano il rispetto delle condizioni previste dalle disposizioni di vigilanza applicabili e, ove previsto, presentano l’analisi dei rischi entro il 14 marzo 2019, in contemporanea con l’invio del primo modulo di documentazione previsto per la richiesta di esenzione.

Al fine di disporre di una ricognizione completa delle scelte operate in merito alle opzioni di realizzazione della interfaccia di accesso online per i TPP, si richiede a tutti gli intermediari ASPSP di comunicare la scelta effettuata completando e inviando il modulo “Informazioni di carattere generale” (cfr. “Questionario – Allegato 1”), attraverso la piattaforma INFOSTAT, seguendo le istruzioni fornite, entro e non oltre il 15 gennaio 2019.

Infine, con la presente comunicazione si forniscono alcuni chiarimenti sull’applicazione dell’articolo 17 dell’RTS “Processi e protocolli di pagamento sicuri per le imprese”, con riferimento alle esenzioni dal requisito di autenticazione forte del cliente per gli intermediari che prestino servizi di pagamento avvalendosi di processi o protocolli dedicati ai pagamenti “corporate” (cfr. infra Esenzioni dall’autenticazione forte del cliente per i pagamenti corporate).

Domande di esenzione dalla soluzione di fall-back

Le domande di esenzione dalla realizzazione della soluzione di fall-back andranno inviate secondo le seguenti modalità e tempistiche:

1) Parte 1 – INFORMAZIONI SULL’INTERFACCIA DEDICATA (cfr “Questionario – Allegato 2”): vanno forniti i dettagli, previsti dagli orientamenti dell’ABE, relativi alle soluzioni adottate. Il modulo compilato va inoltrato non appena le informazioni in esso richieste sono disponibili e comunque non oltre la data del 14 marzo 2019. Ai fini della comunicazione preventiva per l’esternalizzazione di funzioni operative importanti, gli intermediari che aderiscono a una piattaforma multi-operatore offerta dal mercato e sorvegliata ai sensi dell’Art. 146 del TUB attestano il rispetto delle condizioni previste dalle disposizioni di vigilanza in materia di esternalizzazione di funzioni operative importanti. Le banche presentano l’analisi dei rischi prevista dalla Circ. n. 285 “Disposizioni di vigilanza per le banche” del 17 dicembre 2013, sempre entro il termine del 14 marzo, secondo le consuete modalità;

2) Parte 2 – INFORMAZIONI SUI TEST E SUGLI STRESS TEST (cfr. “Questionario – Allegato 3“): vanno fornite evidenze circa il risultato degli stress test e dei test di funzionalità previsti dall’articolo 30(5) dell’RTS; va inoltre confermato l’avvio in esercizio, al più tardi entro il primo giugno, delle interfacce dedicate. Il modulo va inviato entro la data del 14 giugno 2019;

3) Parte 3 – UTILIZZO DELLE INTERFACCE DEDICATE (cfr “Questionario – Allegato 4”): vanno inviate le evidenze conclusive circa il requisito, previsto dagli orientamenti ABE (par.7), di ampio utilizzo delle interfacce dedicate. Tale documentazione va inoltrata non appena disponibile e comunque non oltre il primo agosto 2019. Tale ultimo invio di documentazione costituisce l’atto formale di presentazione dell’istanza di esenzione. Se le evidenze sul requisito di utilizzo presentate in tale fase si riferiscono a un periodo inferiore ai tre mesi previsti dall’RTS, l’intermediario fornirà un aggiornamento di tale documentazione, al più tardi durante i primi giorni di settembre, solo nel caso in cui siano emersi problemi, o elementi di rilevante novità, nell’utilizzo dell’interfaccia non già evidenziati.

Le istanze, sottoscritte dal legale rappresentante, vanno presentate dalle capogruppo di gruppi bancari (per conto proprio e di tutti i prestatori di servizi di pagamento appartenenti al gruppo aventi sede in Italia), dalle banche individuali non appartenenti a gruppi, dalle succursali di banche extracomunitarie, dagli Istituti di Pagamento e dagli IMEL non appartenenti a gruppi bancari. Gli intermediari italiani inclusi nella vigilanza consolidata di una banca o società di partecipazione finanziaria (mista) madre nell’UE nonché le capogruppo di gruppi bancari che abbiano filiazioni in altri Stati membri dell’UE specificano nella prima parte dell’istanza se analoga richiesta è stata o sarà presentata per la stessa interfaccia dedicata ad altre autorità, indicandone il nome.

Le istanze andranno inviate via PEC alla casella RIV@pec.bancaditalia.it e recheranno nell’oggetto il codice abi dell’intermediario, la dizione “esenzione dalla soluzione di fallback” e la parte della modulistica in esse contenuta (parte 1,2,3). La Banca d’Italia prenderà in considerazione, oltre alle informazioni prodotte, le informazioni rese disponibili dalle piattaforme multi-operatore e ogni altro dato a propria disposizione; essa si riserva inoltre di richiedere qualsiasi chiarimento o informazione necessari alla finalizzazione dell’istanza.

Esenzioni dall’autenticazione forte del cliente per i pagamenti corporate In base all’articolo 17 dell’RTS, ai prestatori di servizi di pagamento è consentito non applicare l’autenticazione forte del cliente (Strong Customer Authentication o SCA) nei confronti di clientela corporate, se utilizzano processi o protocolli di pagamento dedicati – resi disponibili unicamente a clienti diversi dai consumatori – nel caso in cui le autorità abbiano accertato che tali processi o protocolli garantiscano i livelli di sicurezza previsti dalla direttiva PSD2.

Al riguardo, sulla base di un approccio condiviso a livello europeo, si fa presente che per poter usufruire di tale esenzione è necessario che gli operatori rispettino tre criteri di carattere generale:

i) sia assicurato il monitoraggio delle transazioni; ii) i canali di comunicazione sicura siano conformi ai requisiti previsti in materia di crittografia, riservatezza e integrità delle credenziali di sicurezza personalizzate dei clienti; iii) siano applicati meccanismi di autenticazione sicura.

Le soluzioni adottate dovranno essere accuratamente descritte nell’ambito di un documento di valutazione del rischio operativo e di sicurezza, che dovrà essere inviato annualmente alla Banca d’Italia, secondo quanto previsto dagli Orientamenti ABE.

Back To Top