PSD2 Aggiornamenti della versione finale del RTS su SCA e CSC. Enrico Luigi Toso Dario Carnelli

Transcript

1 PSD2 Aggiornamenti della versione finale del RTS su SCA e CSC Enrico Luigi Toso Dario Carnelli

2 Summary La DIRETTIVA (UE) 2015/2366 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 25 novembre 2015 relativa ai servizi di pagamento prestati nell Unione abroga la Direttiva EU 2007/ 64 CE (PSD), è destinata ai consumatori, alle aziende e alle società di servizi, deve essere oggetto di recepimento da parte degli Stati Membri entro il 13 Gennaio La PSD2 definisce un quadro giuridico rinnovato per i servizi di pagamento all interno dell Area Economica Europea (28 Stati Membri dell UE più 3 Stati Membri dell AEE quali Norvegia, Islanda e Liechtenstein). REGULATORY TECHNICAL STANDARD E importante notare che il corpo normativo di riferimento include anche Norme Tecniche (o Regulatory Technical Standard c.d. RTS) e Orientamenti (o Guidelines) (art. 98), in corso di sviluppo da parte di EBA, secondo il processo legislativo delle misure di Livello 2 previsto per l ambito tecnico dei Servizi Finanziari. 2

3 Obiettivi La Direttiva PSD2 si pone l'obiettivo di: consolidare il mercato dei pagamenti integrati nell Unione inserendo nuovi servizi e ampliando lo scopo di quelli esistenti (per valute e geografia) estendere i servizi di pagamento a nuovi operatori, le cosiddette Terze Parti (TP) recepire gli sviluppi dei progressi tecnologici promuovere condizioni che favoriscano la concorrenza garantendo adeguati livelli di protezione dei dati e delle credenziali dei clienti, degli ambienti operativi e delle comunicazioni. 3

4 Obiettivi Questa Direttiva è una legge approvata dal Parlamento e dalla Commissione Europea prima ancora che dal settore bancario. E' una legge innovativa sicuramente orientata a cambiare le abitudini e le esperienze di interazione degli utenti con gli Istituti di Pagamento tradizionali, dunque è destinata a durare. Infatti raccoglie: un'esigenza di rilancio dell'economia nell'area EURO un interesse a usare in modo più efficace i dati della clientela la necessità di dar seguito a pressioni di operatori esterni interessati a entrare nel mercato dei servizi di pagamento, tradizionalmente chiuso, per trarre margini dal trattamento dei dati della clientela. E' sicuramente un cambiamento di prospettiva: cambiano gli attori, i rapporti, le dipendenze. E' un modo nuovo di vedere i servizi bancari. Parlare di open banking non significherà favorire l'ingresso di nuovi clienti ma piuttosto far sì che nuovi attori eroghino nuovi servizi. Sotto questa spinta dovranno essere gli stessi istituti di credito ad aprire gli archivi dei dati personali ed economici della clientela e a creare un nuovo modo di operare sotto la minaccia di una sostituzione di ruoli e di disintermediazione dei rapporti di fiducia. 4

5 Implicazioni e Ruoli della Direttiva I nuovi attori sono riconosciuti ufficialmente come Payment Institution E' il cliente il soggetto centrale che attiva i contratti di servizio e stabilisce il trust verso i nuovi attori Non è prevista l'attivazione di un rapporto (nè accordo, nè contratto, né contatto) tra le Banche e le TP; questo è basato su un'interfaccia tecnica durante il processo di autenticazione, di consultazione o di disposizione di pagamento. Al più i contatti avvengono in caso di un'operazione disconosciuta da un cliente per identificare le responsabilità di una possibile frode e per la gestione di un contradditorio Sarà la Banca a soddisfare senza ritardo le richieste di rimborso dei clienti sostenendo in prima istanza gli oneri di rimborso e a condurre le indagini per appurare le responsabilità 5

6 Ruoli previsti per le controparti dei pagamenti DEFINIZIONI La normativa preferisce uniformare tutti gli operatori sotto la denominazione di PSP (Fornitori di servizi) distinguendo la diversa tipologia di servizi che erogano (PISP, AISP, CISP, ASPSP) PISP: TP che opera disposizioni di pagamento online tra un ordinante e un beneficiario AISP: TP che esegue le funzioni informative sui conti e carte che un cliente possiede su più banche CISP: emittente di carte di debito a valere su conti detenuti presso un altro istituto ASPSP: istituto di radicamento del conto, ovvero la Banca 6

7 Date del RTS su SCA e CSC Entrata in vigore della PSD2 Decorrenza applicazione della PSD2 e scadenza recepimenti nazionali 13 Gennaio 2018 DISCUSSION PAPER CONSULTATION PAPER FINAL RTS DRAFT RTS Pubblicato Discussion paper RTS -Espone le proposte iniziali 118 Risposte Pubblicato Consultation paper -Contiene le proposte di dettaglio 224 risposte Final draft RTS da EBA Rettifica da parte della commissione EU Decorrenza applicazione del RTS su SCA e CSC DIC15 FEB16 AGO16 OTT16 FEB17 MAG 17 NOV 18 7

8 Temi della nuova versione del RTS su SCA e CSC La versione finale conferma requisiti sui temi di: Autenticazione robusta o Strong Customer Autentication (o SCA) quando il cliente accede al suo conto, dispone una transazione di pagamento o compie qualunque azione attraverso un canale remoto che implichi un rischio di frode Deroghe dall'applicazione della SCA (art. 97) in base al livello di rischio ipotizzato, l'ammontare e la ricorrenza della transazione, il canale usato Misure tese a garantire la riservatezza e l'intergrità delle credenziali di sicurezza personalizzate (PSC) del cliente dei servizi di pagamento (PSU) Standard aperti, comuni e sicuri, di comunicazione tra i Service Provider, in particolare tra le Banche (ASPSP), le TP (AISP e PISP), l'ordinante e il beneficiario 8

9 Obiettivi della nuova versione del RTS su SCA e CSC La versione finale conferma gli obiettivi di: Assicurare un appropriato livello di sicurezza per gli utenti e per gli operatori Assicurare la protezione dei fondi e dei dati personali degli utenti Assicurare una regolare competizione tra tutti i PSP Assicurare la neutralità delle soluzioni tecnologiche e dei modelli di business Assicurare lo sviluppo di mezzi di pagamento semplici, convenienti e innovativi 9

10 Compromessi della nuova versione del RTS su SCA e CSC Per sostenere gli obiettivi precedenti EBA ha dovuto affrontare compromessi legati a esigenze spesso contrapposte: Lo sviluppo di un'armonizzazione e di una maggiore competizione nel mercato unico dei pagamenti e le tensioni dettate da interessi che oppongono le Banche e i nuovi operatori La ricerca di un giusto equilibrio tra la sicurezza delle operazioni remote e la convenienza e la semplicità d'uso degli utenti La necessità di indirizzare misure tecniche pratiche ma neutrali e l'esigenza di lasciare spazio allo sviluppo di standard e soluzioni in grado di rispondere a minacce future di sicurezza 10

11 Aspetti ricorrenti della nuova versione del RTS su SCA e CSC Ricorrono in modo sistematico i seguenti aspetti : Predeterminazione degli eventi che implicano un rischio di frode o di altri abusi e individuazione dei modelli di comportamento anomalo degli utenti Calcolo del rischio secondo modelli quantitativi Monitoraggio delle frodi come parte essenziale per l'analisi del rischio e la conseguente adozione di deroghe alla SCA secondo casistiche predefinite Le deroghe, nei casi consentiti, sono sempre dettate dall'esigenza di favorire la convenienza e la semplicità operativa da parte degli utenti finali Le misure per proteggere la riservatezza e l'integrità delle PSC vengono associate a quelle necessarie per proteggere i dispositivi di autenticazione e il software distribuito, compreso il vincolo di associazione con l'identità del cliente. 11

12 Riesame delle misure di sicurezza da parte dell'audit Le misure di sicurezza devono essere documentate, verificate periodicamente e sottoposte a audit da parte di personale qualificato secondo gli schemi di valutazione del PSP. La periodicità degli audit deve rispettare le regole stabilite dal PSP; nel caso di impiego di deroghe alla SCA, la metodologia, il modello e i tassi di frode rilevati devono essere sottoposti a verifica con periodicità non superiore a 1 anno L'audit deve valutare la conformità e l'adeguatezza delle misure di sicurezza del PSP rispetto ai requisiti del presente Regolamento 12

13 Accesso ai conti dal parte delle TP Le TP potranno accedere, presso l'aspsp, alle sole informazioni dei clienti utili all'erogazione del servizio previsto sulla base di un mandato per uno specifico conto o sulla base di una richiesta individuale. Le TP devono identificarsi quando si presentano agli ASPSP e tutti gli attori possono scambiarsi dati solo sotto soluzioni sicure di cifratura. I PSP devono predisporre soluzioni e processi per far sì che tutte le transazioni di pagamento e le interazioni con i PSU e le altre parti, compresi gli operatori commerciali, siano tracciabili per assicurare la conoscenza di tutti gli eventi significativi delle transazioni nelle relative fasi. Ogni sessione di comunicazione stabilita con le varie parti deve basarsi sulle seguenti informazioni: Identificativo univoco della sessione, log di transazione (compreso il numero di transazione e la marca temporale basata su un sistema di sincronizzazione centralizzato) oltre ai dati transazionali. 13

14 Avvio dei tavoli di standardizzazione Per sostenere gli obiettivi della PSD2, e dunque per identificare una soluzione di interfaccia comune, la stessa ECB, attraverso il suo organo ERPB, ha voluto dare un nuovo impulso al processo di individuazione degli standard interoperativi. L'esigenza che ha determinato una più chiara impostazione al testo recente del RTS e l'avvio di tavoli di confronto settoriale per l'individuazione di standard comuni è stato il rischio che un ambito troppo aperto di soluzioni di interfacciamento avrebbe portato ad un'eccessiva frammentazione geografica, di settore e di parti che avrebbe minacciato l'obiettivo primario della stessa PSD2 di armonizzare e di integrare il mercato dei pagamenti per stimolare la concorrenza su basi corrette e oggettive. 14

15 Altri riferimenti normativi richiamati dal RTS Per favorire la neutralità tecnologica e consentire innovazioni future sono stati soppressi i riferimenti ad alcune normative internazionali (ad es. la ISO 27001) o specifiche teconologiche (ad es. HTTP) Le componenti e le definizioni dei messaggi finanziari sono richiesti in conformità allo standard ISO al fine di garantire l'interoperabilità. Ai fini dell'identificazione i PSP devono basarsi su certificati qualificati per i sigilli elettronici come definito all'art. 3 (30) del Reg. EU 910/2014 (eidas) o su certificati qualificati di autenticazione del sito web, come definito all'art. 3 (39). Ai fini di questo Regolamento il numero di registrazione previsto dall'all. III del Reg. EU 910/2014 (eidas) deve essere il numero di autorizzazione assegnato alla TP, disponibile nel Registro Pubblico dello Stato Membro come previsto dall'art. 14 della Direttiva EU 2015/2366 (PSD2) o dalla notifica di ogni autorizzazione concessa agli Enti Creditizi secondo l'art. 8 e 20 della Direttiva 2013/36/EU (CRD IV) 15

16 Possibili sviluppi strategici per le Banche Come possono rispondere le Banche? Occorre che le Banche pensino: ad un riposizionamento del proprio ruolo nei sistemi di pagamento ad un rilancio digitale. Si nota già la tendenza di alcune di loro a rafforzare il proprio ruolo di operatori digitali, per essere pronte a trarre dalla sfida lo stimolo ad un vero rilancio e per imparare ad affrontare nei contenuti, nei servizi offerti, negli strumenti e nei rapporti la nuova clientela digitalizzata. Viene spontaneo il raffronto con il caso Uber: accesso puramente digitale alle funzioni di supporto al servizio, pervasività dell'interfaccia come essenza stessa del servizio in mobilità, semplicità di accesso e di navigazione, ricchezza della gamma di informazioni, attenzione alle esigenze anche implicite del cliente, garanzia dell'esecuzione della transazione, qualità del servizio percepito corrispondente a quella proposta. Questo sta succedendo al settore dei pagamenti bancari 16

17 Possibili sviluppi strategici per le Banche Le Banche verso il ruolo di AISP Oggi le banche impiegano troppo tempo per lo sviluppo di nuove funzionalità informatiche; possono però appoggiarsi a società terze per accorciare i tempi di sviluppo e presentarsi con nuovi servizi esterni integrati con i propri. A questo scopo, ad esempio, può essere studiato il modello di interazione e di collaborazione, finanche di outsourcing, tra un AISP e una Banca. Un AISP sarà in grado di sviluppare in tempo rapido servizi evoluti per un cliente che voglia, ad esempio, analizzare l'andamento temporale del proprio conto con una veste grafica, conoscere il peso dei propri movimenti in dare e in avere aggregati per categorie, valutare eventuali periodicità dei movimenti e delle giacenze, stimare proiezioni temporali, istituire degli alert di soglia per decidere quando effettuare pagamenti, effettuare analisi comparative dei costi di gestione da parte di diversi Istituti presso cui ha un rapporto di conto, simulare valutazioni di mercato sui costi medi di gestione dei rapporti offerti dai diversi isitituti bancari in modo da rendere più trasparenti i servizi, compresi i tempi per gli addebiti/accrediti etc. 17

18 Acronimi e glossario 18

19 PISP - Payment Initiation Service Provider CARATTERISTICHE avrà un ruolo primario di interfaccia con l'utente nell esecuzione di una transazione di pagamento. La Banca continuerà ad essere raggiungibile direttamente ma sarà il cliente a decidere quali operazioni eseguire con un canale diretto o con un canale disintermediato in base al tipo di operazioni che deve eseguire e alle preferenze sull interfaccia che gli verrà messa a disposizione non detiene fondi del cliente ha competenze e offre strumenti di tipo tecnico alla clientela stabilisce un'interazione con la Banca, indipendente da un contratto e secondo un'interfaccia di natura esclusivamente tecnica BACK 19

20 AISP - Account Information Service Provider CARATTERISTICHE svolge la funzione di acquisizione ed elaborazione di informazioni sui movimenti e sulla disponibilità di conti di pagamento detenuti presso diversi istituti non partecipa a operazioni di tipo dispositivo ma solo di tipo informativo ha capacità di posizionamento rapido sul mercato dei nuovi servizi può studiare le abitudini e i comportamenti della clientela per soddisfarne le esigenze e anticiparne gli orientamenti svolgerà un servizio che oggi e' solo in embrione. Sarà il cliente a decidere se usarlo in base all interfaccia e in base alla ricchezza dei servizi collaterali che gli verranno offerti si può approssimare all attuale funzione di consultazione di un e-wallet su più carte emesse da istituti diversi BACK 20

21 CISP - Card-based Payment Instrument Issuing Service Provider CARATTERISTICHE emetterà carte di debito e in tal senso avrà la facoltà di fidelizzare clienti per via di un rapporto esclusivo (si pensi, ad esempio, in ambito commerciale, alle carte emesse dalla grande distribuzione) non servirà detenere fondi per emettere carte di debito interrogherà l istituto che detiene i fondi con una funzione di verifica di disponibilità dei fondi per coprire un importo preciso di spesa (fund checking) l issuing delle carte di debito si approssima a quello delle carte di credito BACK 21