EBA, con Q&A n. 2023/6752, ha risposto a diverse questioni correlate sulle modalità di comunicazione tra fornitori di servizi di informazione sui conti (AISP) e prestatori di servizi di pagamento e di assistenza al conto (ASPSP) eseguita attraverso interfacce di accesso, in conformità alla Direttiva PSD2 e relativi RTS sulla strong customer authentication e standard di comunicazione.
Ai sensi dell’art. 31 del Regolamento delegato (UE) 2018/389, che integra la Direttiva (UE) 2015/2366 (PSD2) per quanto riguarda le norme tecniche di regolamentazione (RTS) per l’autenticazione forte dei clienti e gli standard aperti di comunicazione comuni e sicuri, infatti, gli ASPSP devono predisporre interfacce di accesso mediante un’interfaccia dedicata o consentendo l’uso da parte di AISP e PISP delle interfacce utilizzate per l’autenticazione e la comunicazione con gli utenti dei servizi di pagamento dell’ASPSP.
Nella domanda 2023/6752, in particolare, viene richiesto:
- se gli artt. 30, 31 e 33 dei suddetti RTS debbano essere interpretati in modo tale che, nello scenario in cui il prestatore di servizi di pagamento di assistenza al conto (ASPSP) abbia introdotto un’interfaccia dedicata ai sensi dell’art. 31 RTS, l’ASPSP possa comunicare con l’AISP con queste due modalità:
- messa a disposizione, da parte degli AISP, in parallelo, di due interfacce di accesso, di cui all’art. 31 RTS oppure (una a loro dedicata e una messa a disposizione degli utenti dei servizi di pagamento)
- messa a disposizione, da parte degli AISP, di solo l’interfaccia dedicata (fatte salve, tra l’altro, le misure di emergenza di cui all’art. 33 RTS)
- se la risposta alla precedente domanda sia di mettere a disposizione un’interfaccia dedicata, se allora l’ASPSP possa o meno mettere a disposizione degli AISP, in parallelo, due interfacce di accesso, come indicato all’art. 31 RTS (ossia l’interfaccia dedicata e l’interfaccia messa a disposizione degli utenti dei servizi di pagamento per l’autenticazione e la comunicazione con i loro ASPSP)
- se l’ASPSP, al contrario, possa mettere a disposizione degli AISP solo l’interfaccia dedicata, se l’ASPSP abbia l’obbligo di adottare le misure necessarie e proporzionate, comprese quelle tecniche, affinché gli AISP comunichino con l’ASPSP solo attraverso l’interfaccia dedicata, escludendo cioè l’interfaccia messa a disposizione degli utenti dei servizi di pagamento per l’autenticazione e la comunicazione con i loro ASPSP
- se l’ASPSP non abbia adottato tali misure, per consentire agli AISP di comunicare con l’ASPSP solo attraverso l’interfaccia dedicata, ossia con l’esclusione dell’interfaccia messa a disposizione degli utenti dei servizi di pagamento, ciò implichi il diritto degli AISP di comunicare con questo ASPSP attraverso entrambe le interfacce di accesso, o, al contrario, se gli AISP debbano intraprendere qualche azione aggiuntiva e, in tal caso, quali azioni.
Per EBA, ai sensi dell’art. 30, paragrafo 1, del Regolamento delegato (UE) 2018/389, i prestatori di servizi di pagamento di assistenza ai conti (ASPSP) che offrono ai propri clienti conti di pagamento accessibili online, devono offrire almeno un’interfaccia di accesso ai prestatori di servizi di informazione sui conti (AISP) e ai prestatori di servizi di disposizione dei pagamenti (PISP).
Ciò significa che gli ASPSP hanno la possibilità di scegliere, ai sensi dell’art. 31 del regolamento delegato, tra:
- offrire l’accesso agli AISP e ai PISP tramite un’interfaccia dedicata
- consentire agli AISP e ai PISP di utilizzare le interfacce utilizzate dai propri clienti per accedere ai loro conti di pagamento online.
Ciò non preclude la possibilità per gli ASPSP di mettere a disposizione degli AISP, come interfaccia di accesso primaria, sia un’interfaccia dedicata che soddisfi tutti i requisiti di cui agli artt. 30, 32 e 33 del Regolamento delegato, sia l’accesso tramite l’interfaccia usata dai clienti dell’ASPSP per accedere ai loro conti di pagamento online.
In tal caso, gli AISP devono attenersi alle specifiche tecniche stabilite dall’ASPSP quando accedono alle interfacce fornite dall’ASPSP ai sensi dell’art. 30, paragrafo 3, del Regolamento delegato, e rispettare i rispettivi obblighi previsti dalla Direttiva (UE) 2015/2366 (PSD2) e dal regolamento delegato.
Inoltre, ai sensi dell’art. 67, paragrafo 3, lettera b), della PSD2, gli ASPSP devono trattare le richieste di dati trasmesse attraverso i servizi di un AISP senza alcuna discriminazione, se non per motivi oggettivamente giustificabili.