EBA, con Q&A n. 7607/2025, in tema PSD 2 (Direttiva (UE) 2015/2366), ha chiarito quale sia una procedura di autenticazione equivalente a quella utilizzata dall’utente per accedere direttamente ai propri conti di pagamento – di cui al par. 15 del parere di EBA (EBA/OP/2020/10) – che l’ASPSP deve utilizzare come parametro di riferimento per valutare se siano stati aggiunti passaggi superflui quando un utente avvia un servizio tramite l’applicazione mobile di un fornitore terzo.
Ha chiarito, in particolare, se si tratti di autenticazione tramite browser web mobile dell’ASPSP o del percorso di autenticazione tramite l’applicazione di mobile banking nativa dell’ASPSP.
Più precisamente, il citato par. 15 del parere dell’EBA sugli ostacoli previsti dall’art.32, par. 3, degli RTS in materia di SCA (autenticazione forte del cliente) e CSC (servizi di informazione sui conti) (EBA/OP/2020/10) vieta agli ASPSP di aggiungere passaggi superflui (unnecessary steps) al percorso del cliente rispetto alla procedura di autenticazione equivalente (equivalent authentication procedure) a quella offerta nei loro canali diretti.
Nella pratica, sussiste una notevole ambiguità su cosa costituisca la citata procedura di autenticazione equivalente quando un servizio viene avviato tramite l’applicazione mobile nativa di un TPP.
Molti ASPSP dispongono sia di un’interfaccia web mobile sia di un’applicazione nativa di mobile banking, che generalmente offre un’esperienza di autenticazione più fluida.
Quando un utente di servizi di pagamento (PSU) avvia un percorso dall’app mobile di un TPP, questi ASPSP spesso reindirizzano l’utente al percorso tramite browser web mobile.
Sostengono che qualsiasi passaggio aggiuntivo in questo percorso sia conforme purché rispecchi i passaggi del loro canale web mobile diretto. Questo approccio, tuttavia, ignora l’esistenza del loro più efficiente canale costituito dall’app mobile nativa.
Ne consegue un’incertezza circa quale dei canali diretti dell’ASPSP debba costituire il corretto parametro di riferimento nel confronto in un contesto mobile-to-mobile.
EBA, nella risposta alla questione posta, ricorda come l’art. 32, par. 3, del regolamento delegato (UE) 2018/389 imponga agli ASPSP che hanno implementato un’interfaccia dedicata di garantire che tale interfaccia non crei ostacoli alla fornitura di servizi di avvio dei pagamenti e di informazione sui conti.
Come chiarito nei par. 6, 7 e 15 del già citato parere dell’EBA, la procedura di autenticazione con l’ASPSP nell’ambito di un percorso AIS o PIS non deve includere passaggi non necessari né richiedere all’utente di fornire informazioni non necessarie rispetto alla modalità di autenticazione utilizzata dall’utente per accedere direttamente ai propri conti di pagamento o per avviare un pagamento con l’ASPSP.
Il par. 16 di tale parere ha inoltre chiarito che, qualora l’utente utilizzi i servizi di un prestatore di servizi di informazione sui conti (AISP) o un prestatore di servizi di disposizione di ordini di pagamento (PISP) tramite l’app mobile dell’AISP/PISP, gli ASPSP che hanno implementato un approccio di reindirizzamento o disaccoppiamento e che consentono ai propri utenti finali di autenticarsi utilizzando l’app di autenticazione dell’ASPSP per accedere direttamente ai propri conti di pagamento o avviare un pagamento, devono garantire che:
- l’utente venga reindirizzato dall’app dell’AISP/PISP all’app di autenticazione dell’ASPSP, senza passaggi intermedi aggiuntivi e non necessari
- dopo l’autenticazione con l’ASPSP, l’utente venga automaticamente reindirizzato all’app dell’AISP/PISP, senza, ad esempio, dover riaprire manualmente l’app del fornitore terzo, il che costituirebbe un ostacolo.
La valutazione dell’eventuale aggiunta di passaggi superflui deve basarsi su un confronto con la modalità di autenticazione dell’utente quando accede direttamente al proprio conto di pagamento o avvia un pagamento con l’ASPSP.
Di conseguenza, qualora l’utente utilizzi i servizi di un AISP/PISP tramite un’app fornita dall’AISP/PISP e l’ASPSP consenta l’autenticazione diretta tramite la propria applicazione di mobile banking, il punto di riferimento per il confronto è la procedura di autenticazione per il mobile banking dell’ASPSP.
In tali circostanze, l’introduzione di passaggi aggiuntivi nel percorso AIS o PIS che non facciano parte della procedura di autenticazione dell’app mobile dell’ASPSP può costituire un ostacolo ai sensi dell’art.32, par. 3, degli RTS.
Al contrario, qualora l’utente avvii un AIS o PIS in un ambiente browser mobile e la procedura di autenticazione dell’ASPSP disponibile per gli utenti venga eseguita anche tramite un’interfaccia web mobile, il parametro di riferimento resta la procedura di autenticazione tramite interfaccia web mobile.


