Presentiamo AISP e PISP, i nuovi TPP (Third Party Players) del mercato dei servizi di pagamento, autorizzati grazie alla nuova direttiva comunitaria detta PSD 2.

Il processo di revisione della Direttiva sui Pagamenti Elettronici (Direttiva 2007/64/Ce) è iniziato nel 2013 e si è concluso, a livello europeo, con la pubblicazione della cosiddetta PSD 2, direttiva 2015/2366 (UE), che mira a promuovere lo sviluppo di un mercato interno dei servizi di pagamento al dettaglio efficiente, sicuro e competitivo, ponendo maggiore attenzione alla tutela degli utenti, sostenendo l’innovazione ed aumentando il livello di sicurezza dei servizi di pagamento elettronici.

La L.170/2016 (12 agosto) delega il Governo al recepimento della direttiva, entro il 16 settembre 2017, che deve essere introdotta dagli Stati membri entro il 13/01/2018. Nel merito dei nuovi servizi di accesso ai conti, fra cui vi sono i servizi di Payment Initiation e Account Information, che possono essere offerti anche da soggetti terzi (detti appunto “TPP”, e che possono non coincidere con la banca presso cui sono detenuti tali conti), è richiesto che siano assoggettati alla riserva prevista per la prestazione di servizi di pagamento.

[ad id=”3183″]

I nuovi confini competitivi

Uno degli obiettivi della nuova direttiva è quello di ampliare il campo da gioco (“level playing field”), consentendo la nascita di nuovi strumenti di pagamento e di nuovi attori, che possano aumentare la dinamica competitiva nel settore e, conseguentemente, migliorare l’offerta. Con consumatori sempre più esigenti, il supporto della tecnologia che evolve nel continuo e la possibilità di disporre di soluzioni alternative e più economiche rispetto agli attuali sistemi di pagamento, la PSD2 vuole facilitare l’accesso al mercato di nuovi operatori.

Questo significa, per contro, che molti servizi ed operatori che non lo erano, ora entrano nell’area di controllo dei regolatori europei e locali.

Chi sono i Third Party Players?

I TPP vengono suddivisi in:

  • Account Information Services Providers (AISP),
  • Payment Initiation Service Providers (PISP),
  • Card-based Payment Instrument Issuer.

I primi due sono i più innovativi.

Descrizione degli AISP

Gli AISP possono collegarsi a conti bancari per recuperare informazioni di cui si ha bisogno per diverse ragioni. Ad esempio, i consumatori potranno usare gli AISP per avere una view di insieme della propria situazione finanziaria, analizzare le proprie abitudini di spesa, le esigenze finanziarie future e molto altro in modo facile, interattivo, veloce. Saranno utili per servizi quali: il monitoraggio degli investimenti e delle raccomandazioni, la categorizzazione della spesa, il supporto nel budgeting e nella pianificazione finanziaria.

Descrizione dei PISP

I PISP permettono di effettuare un pagamento dal proprio conto ad un venditore, attraverso l’utilizzo di un software ‘ponte’ tra i due account. Si inseriscono le informazioni necessarie per il trasferimento dell’importo, si informa il commerciante dell’inizio della transazione e questo permette di trasferire i fondi, senza l’utilizzo di una carta di credito.

Un tipo di PISP presente negli Stati Uniti consente agli utenti di inviare e ricevere denaro da chiunque, una volta che l’utente acconsente all’accesso al proprio account. In questo momento, gli utenti possono utilizzare solo questo PISP se gli altri utenti utilizzano lo stesso, ma si prevede che le aziende inizieranno a collaborare con più PISP, accrescendo le opportunità per i propri clienti.

Un altro tipo di PISP consente agli utenti di inviare ed accumulare denaro su un conto, fino ad un definito obiettivo (ad esempio, questo è utilizzato per organizzare raccolte di fondi, feste, regali di gruppo, ecc.).

Alcune considerazioni sui TPP

Un punto importante è che, anche se i TPP sono nuovi, dovranno seguire le stesse regole dei fornitori di servizi di pagamento tradizionali per poter operare. Si dovrè pertanto procedere con la registrazione e l’autorizzazione da parte delle autorità competenti, che vigileranno sui nuovi soggetti.

Un punto sensibile riguarda poi l’utilizzo condiviso ai dati dei clienti. Attualmente, le banche non concedono l’accesso alle informazioni memorizzate nei conti dei loro clienti. Tuttavia, con la PSD2, dovranno permettere ai terzi l’accesso se questi dispongono di una licenza a fornire servizi di pagamento e se il cliente acconsente in modo esplicito.

In termini di procedure e controlli interni, questo significa che andranno introdotti almeno due nuovi processi:

  • da un lato, uno finalizzato alla manutenzione ed all’aggiornamento dell’elenco dei TPP e dei loro requisiti;
  • dall’altro lato, un processo finalizzato alla raccolta dell’autorizzazione da parte del cliente e all’automazione nella gestione degli accessi autorizzati.

Sono presagibili anche risvolti di altro tipo. Ad esempio, la crescita dei flussi porrà evidenti questioni di sicurezza, su cui la direttiva PSD 2 si focalizza in modo rigoroso. Tutti i fornitori di servizi di pagamento, comprese le banche, gli istituti di pagamento, i TPP, devono dimostrare di avere solide misure di sicurezza a garanzia dei pagamenti dei clienti. Su base annuale, dovranno effettuare una auto-valutazione dei rischi operativi e di security e descrivere quali sono le misure poste in essere per garantire la riduzione di tali rischi.

Sarà poi necessario armonizzare il processo di autenticazione della clientela, un processo “rafforzato”, in quanto viene introdotto l’obbligo di richiedere l’accertamento dell’identità attraverso due o più strumenti di autenticazione, rafforzato dall’utilizzo di link dinamici che certifichino l’unicità della transazione.

Al fine di facilitare il colloquio tra le parti e definire criteri omogenei e certificati, l’articolo 95 della Direttiva prevede che “Entro il 13 luglio 2017 l’ABE, in stretta collaborazione con la BCE e previa consultazione di tutti i portatori di interessi, […]emani, in conformità dell’articolo 16 del regolamento (UE) n. 1093/2010, orientamenti relativi alla definizione, all’attuazione e al controllo delle misure di sicurezza comprese, se del caso, le procedure di certificazione”.

Il consultation paper dell’ABE dal titolo “On the draft Regulatory Technical Standards specifying the requirements on strong customer authentication and common and secure communication under PSD2” è stato pubblicato nell’agosto 2016, e si attende a breve il documento definitivo.

Intanto, Banca d’Italia ha già pubblicato un “Documento per la consultazione” intitolato “Recepimento in Italia degli orientamenti dell’ABE in materia di sicurezza tramite canale Internet” (ne abbiamo parlato in un precedente articolo).

Se mettiamo insieme:

  • i più stringenti requisiti di sicurezza della direttiva PSD 2 (che sicuramente comporteranno un aumento di costi per le banche);
  • i maggiori controlli che saranno necessari sugli accessi ai conti dei clienti;
  • il fatto che è vietato agli istituti finanziari far ricadere sui propri clienti costi aggiuntivi nelle operazioni verso le TPP;
  • il fatto che inevitabilmente le TPP porteranno ad una riduzione delle loro fonti di reddito;

possiamo immaginare che l’introduzione della nuova direttiva porterà molta pressione sulle banche.

Ma il regolatore è interessato ai benefici che potranno generarsi per i clienti, grazie alla maggiore offerta, alla facilità di utilizzo, alla velocità ed efficienza dei nuovi servizi ed alla possibilità di aprire un mercato chiuso, grazie all’evoluzione del Fin-Tech.