Il presente contributo analizza le novità della proposta di regolamento in materia di accesso ai dati finanziari (Financial Data Access – FIDA) adottata dalla Commissione europea al fine di promuovere la creazione di un sistema di open finance.
1. Introduzione
In data 28 giugno 2023 la Commissione europea ha pubblicato una proposta per l’adozione di un regolamento volto a definire un quadro normativo armonizzato in materia di accesso ai dati finanziari (c.d. “Financial Data Access” o “FIDA”)[1].
La Commissione mira a promuovere la creazione di un sistema di c.d. open finance, che consenta la condivisione dei dati degli utenti tra i soggetti operanti nel settore bancario, dei servizi di investimento, assicurativi, di pagamento e finanziari, partendo dal corpus di norme che disciplinano il fenomeno del c.d. open banking, introdotte dalla direttiva (UE) 2015/2366 (PSD2).
Il Regolamento FIDA intende promuovere lo sviluppo di prodotti finanziari che siano maggiormente personalizzati in base alle esigenze della clientela e agevolare la creazione di modelli di business innovativi basati sull’accesso ai dati degli utenti. Allo stesso tempo, il Regolamento FIDA intende assicurare l’applicazione di elevati standard di sicurezza e riservatezza da parte degli operatori, garantendo inoltre che l’utilizzo dei dati avvenga soltanto con il consenso dell’utente[2].
2. Contesto normativo
La proposta di Regolamento FIDA non costituisce un’iniziativa isolata della Commissione, inserendosi piuttosto in un articolato complesso di proposte o provvedimenti di riforma della disciplina applicabile in materia di servizi finanziari e gestione dei dati degli utenti in corso di approvazione o di implementazione a livello europeo.
In primo luogo, non è casuale il fatto che la proposta di Regolamento FIDA sia stata presentata unitamente alla proposta del nuovo Regolamento sui servizi di pagamento (PSR) e della nuova Direttiva sui servizi di pagamento e di moneta elettronica (PSD3), nell’ambito di un unico “Financial Data Access and Payments Package” [3]: l’iniziativa della Commissione si basa infatti su un evidente parallelismo tra le norme in materia di open finance e open banking, le prime costituendo uno sviluppo e un potenziamento delle seconde.
Il Regolamento FIDA è, inoltre, parte della European Data Strategy lanciata dalla Commissione Europea[4], condividendo l’impostazione di fondo, in particolare, con la proposta di c.d. Data Act presentata il 23 febbraio 2023[5].
Il Regolamento FIDA deve essere letto anche alla luce del Digital Operational Resilience Act (DORA)[6], che rafforzerà i requisiti applicabili agli intermediari finanziari con riferimento alla gestione del rischio ICT e alla resilienza digitale, nonché della Retail Investment Strategy (RIS), che è volta a rafforzare la capacità degli investitori retail di assumere decisioni di investimento che siano conformi alle proprie esigenze e preferenze[7].
3. Ambito di applicazione
Dal punto di vista oggettivo, il Regolamento FIDA disciplinerà la condivisione dei dati del cliente (c.d. “customer data”) di natura personale (“personal data”) o non personale (“non-personal data”)[8], che siano forniti dai clienti stessi o generati dall’interazione del cliente con l’intermediario e raccolti, conservati o trattati ad altro titolo da un intermediario nell’ambito della propria attività ordinaria con i clienti.
La proposta richiede che vengano resi accessibili i dati inerenti alle seguenti categorie di prodotti:
- crediti ipotecari, finanziamenti e conti (fatta eccezione per i conti di pagamento di cui alla PSD2);
- risparmi, investimenti in strumenti finanziari, prodotti di investimento assicurativi (IBIPs), cripto-attività, immobili e altre attività finanziarie, nonché i benefici economici derivanti da tali attività, ivi inclusi i dati raccolti per effettuare le valutazioni di adeguatezza e appropriatezza;
- prodotti pensionistici;
- prodotti assicurativi del ramo danni, fatta eccezione per i prodotti che coprono il rischio salute e malattia, ivi incluse le informazioni raccolte per effettuare la valutazione di coerenza (c.d. “demands and needs test”) e di appropriatezza / adeguatezza del prodotto assicurativo;
- i dati che fanno parte della valutazione del merito creditizio di un’impresa che siano raccolti nell’ambito di una richiesta di erogazione di un finanziamento o di una richiesta di assegnazione di un rating.
Dal punto di vista soggettivo, Il Regolamento FIDA dovrebbe sostanzialmente applicarsi a tutti i soggetti sottoposti a vigilanza ai sensi del diritto dell’Unione, con alcune limitate eccezioni (ad es., con riferimento ai gestori sotto-soglia, agli intermediari assicurativi qualificabili come PMI, etc.[9]).
4. La nuova figura dei Financial Information Service Providers (FISP)
Il Regolamento FIDA introduce la nuova figura dei Financial Information Service Providers (FISP), equivalente a quella degli Account Information Service Providers (AISP) previsti in ambito PSD2.
I FISP potranno accedere ai dati dei clienti previa autorizzazione a operare ai sensi del Regolamento FIDA rilasciata dall’Autorità competente del loro Stato membro d’origine[10]. Anche i soggetti stabiliti in Paesi terzi potranno essere autorizzati a operare come FISP, senza necessità di stabilire una società o una succursale nel territorio dell’Unione – a condizione, tuttavia, che in tal caso sia nominato un rappresentante legale in uno degli Stati membri da cui il FISP intende avere accesso ai dati finanziari, che sia responsabile in ordine alla compliance con il quadro normativo europeo.
5. La condivisione dei dati finanziari
Il Regolamento FIDA si applicherà ai soggetti sopra indicati che agiscano in qualità di (i) titolare dei dati (c.d. data holder), per tale intendendosi qualsiasi intermediario che raccolga, conservi o tratti ad altro titolo i dati finanziari del cliente, ovvero di (ii) utilizzatore dei dati (c.d. data user), concetto che ricomprende qualsiasi intermediario o FISP che, in forza del consenso dato dal cliente, abbia legittimo accesso ai dati finanziari di quest’ultimo.
I data holders devono mettere a disposizione i dati finanziari del cliente in favore, da un lato, del cliente stesso e, dall’altro lato, del data user[11]. I data holders potranno chiedere il pagamento di un compenso per la condivisione dei dati entro i limiti massimi identificati dai c.d. Financial data sharing scheme (FDSS) – su cui si veda infra.
Il compenso non potrà essere chiesto qualora i dati vengano messi a disposizione direttamente su richiesta del cliente; in caso di richiesta di accesso da parte di PMI, inoltre, il compenso non potrà superare i costi sostenuti dal data holder per rispondere alla richiesta stessa.
6. Gli obblighi dei data holders e dei data users
La proposta definisce gli obblighi dei data holders e dei data users nelle operazioni di accesso ai dati finanziari degli utenti e di gestione degli stessi.
Per quanto riguarda i data holders, questi ultimi sono tenuti, tra l’altro, a:
- rendere disponibili i dati finanziari senza ritardo, su base continuativa e in tempo reale;
- utilizzare un formato basato su modelli standard generalmente riconosciuti e con una qualità non inferiore a quella caratterizzante i dati posseduti dal data holder;
- comunicare con il data user garantendo la sicurezza e la riservatezza del trattamento e della trasmissione dei dati;
- chiedere la prova dell’avvenuta prestazione del consenso del cliente rilasciato al data user;
- mettere a disposizione del cliente una permission dashboard (su cui si veda infra).
Dall’altro lato, i data users sono tenuti, tra l’altro, a:
- non trattare i dati dei clienti per finalità differenti rispetto a quelle attinenti alla prestazione del servizio espressamente richiesto dal cliente;
- rispettare la riservatezza dei segreti industriali e i diritti di proprietà intellettuale in sede di accesso ai dati;
- adottare le misure necessarie per assicurare che vi sia un adeguato livello di sicurezza attinente al profilo della conservazione, trattamento e trasmissione dei dati non personali; e
- non trattare i dati dei clienti per finalità di mero marketing, salvo per il marketing
7. Consenso del cliente e permission dashboard
Secondo la proposta, i data users potranno avere accesso ai dati finanziari del cliente soltanto con il consenso espresso di quest’ultimo; i dati stessi potranno essere utilizzati soltanto per le finalità e alle condizioni per le quali il consenso è stato concesso e dovranno essere cancellati qualora non più necessari per le suddette finalità, fermo restando che il cliente potrà, sempre e in ogni caso, revocare il proprio consenso originariamente prestato.
I data holders dovranno mettere a disposizione del cliente la c.d. permission dashboard, una particolare interfaccia informatica da utilizzare per monitorare e gestire i consensi dati dal cliente al data user[12].
Con la permission dashboard si potrà fornire al cliente una panoramica su ciascun consenso attivo che è stato dato ai data users e consentire la revoca o la ri-attivazione del consenso, oltre che fornire un registro dei consensi revocati o scaduti in un termine massimo di due anni.
8. I Financial Data Sharing Schemes (FDSS)
La proposta prevede che la condivisione dei dati avvenga attraverso i c.d. Financial data sharing schemes (FDSS): trattasi di organismi di autoregolamentazione costituiti da data holders e data users, nonché da organizzazioni e associazioni rappresentative dei clienti e dei consumatori, cui è affidata la gestione di numerosi profili applicativi della normativa in questione[13]. Ciascun data holder e data user deve diventare membro di almeno un FDSS e condividere i dati dei clienti secondo le regole e le modalità previste dal FDSS stesso.
Laddove non venisse istituito alcun FDSS per una o più categorie di dati, la Commissione potrà adottare atti delegati per disciplinare i profili di rilievo concernenti la condivisione dei dati.
9. Ulteriori aspetti
I data users potranno avere accesso ai dati finanziari del cliente anche in via transfrontaliera in regime di libera prestazione di servizi o di stabilimento. Nel caso dei FISP, l’accesso transfrontaliero ai dati finanziari dei clienti richiederà il completamento di una procedura di notifica tra le autorità competenti, sulla falsariga di quanto previsto per l’attivazione del c.d. “passaporto” negli altri settori dell’ordinamento finanziario europeo.
L’EBA dovrà istituire e gestire un registro elettronico centrale che contenga le informazioni relative ai FISP autorizzati dalle autorità nazionali competenti, ai FISP che hanno notificato l’intenzione di accedere ai dati in altri Stati membri e ai FDSS che sono stati costituiti.
10. Opportunità e incognite della proposta sull’open finance
L’esperienza dell’open banking ha senza dubbio rappresentato una significativa novità nell’ambito dei servizi di pagamento, consentendo di aprire il mercato a operatori e modelli innovativi. La proposta della Commissione di replicare l’esperimento nell’ambito dei servizi e dei prodotti finanziari potrebbe effettivamente potenziare le opportunità per gli operatori, ad esempio consentendo la prestazione di servizi di aggregazione delle informazioni relative all’intero patrimoni del cliente e facilitando l’offerta di servizi a valore aggiunto, tra cui ad esempio la consulenza “olistica” sull’intero patrimonio del cliente.
L’accesso ai dati finanziari presenta tuttavia delle complessità e dei profili di delicatezza significativamente maggiori rispetto all’accesso ai conti di pagamento. A differenza, infatti, dei dati concernenti le operazioni di pagamento, i dati finanziari possono rivelare informazioni di rilevanza strategica sui prodotti e i servizi offerti dagli intermediari e sul know-how alla base dell’elaborazione e gestione degli stessi, con particolare riferimento ai servizi di investimento, di gestione collettiva del risparmio e assicurativi.
La proposta della Commissione lascia aperti diversi dubbi in ordine all’effettivo bilanciamento tra le esigenze di innovazione e gli interessi alla riservatezza delle informazioni proprietarie degli intermediari. L’affidamento del compito di definire le regole tecniche di condivisione dei dati a una molteplicità di FDSS rischia inoltre di incrementare oltremodo i costi di compliance degli intermediari, costringendoli ad adottare differenti standard per la condivisione dei dati, nonché di creare delle opportunità di arbitraggio regolamentare.
Al netto degli elementi di criticità – che saranno auspicabilmente superati durante il processo legislativo – la proposta costituisce comunque un’interessante novità per gli operatori di mercato ed apre significative opportunità in un settore in cui l’accesso ai dati e la loro elaborazione, anche attraverso applicativi di intelligenza artificiale, potrebbero effettivamente costituire un vantaggio competitivo per l’offerta di servizi di investimento, finanziari e assicurativi ad alto contenuto tecnologico e il miglioramento della qualità del servizio reso alla clientela.
[1] È possibile prendere visione della proposta del Regolamento FIDA al seguente indirizzo: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52023PC0360.
[2] L’open finance si concentra sul miglioramento della qualità dei prodotti e dei servizi finanziari e sulla creazione di opportunità per lo sviluppo di modelli di business basati sullo sfruttamento dei dati, con una particolare attenzione sui seguenti aspetti: (i) offrire ai clienti un ventaglio di scelte più ampio; (ii) garantire l’inclusione finanziaria di tutte le categorie di consumatori e imprese; (iii) permettere un forte controllo dell’utente sulla condivisione dei propri dati nel rispetto della normativa in materia di data protection; (iv) implementare l’innovazione supportando, altresì, modelli basati su sistemi di artificial intelligence e, da ultimo, (v) fare in modo che l’approccio da parte degli operatori dell’open finance sia orizzontale, creando un complesso di servizi che pongano il cliente al centro e che siano trattati trasversalmente in più settori.
[3] Consultabile al seguente indirizzo: https://finance.ec.europa.eu/publications/financial-data-access-and-payments-package_en.
[4] Consultabile al seguente indirizzo: https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_en.
[5] Consultabile al seguente indirizzo: https://digital-strategy.ec.europa.eu/en/policies/data-act.
[6] Consultabile al seguente indirizzo: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022R2554.
[7] Consultabile al seguente indirizzo: https://finance.ec.europa.eu/publications/retail-investment-strategy_en.
[8] I dati personali sono definiti facendo riferimento a quanto precisato dal Regolamento (UE) 2016/679 (GDPR) in materia di protezione dei dati personali, secondo cui il dato personale è rappresentato da qualsiasi informazione riguardante una persona fisica identificata o identificabile, direttamente o indirettamente, con particolare riferimento a un identificativo come, ad esempio, il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologia, genetica, psichica, economica, culturale o sociale. I dati non personali, invece, sono definiti in negativo, come qualsiasi dato diverso sa quello personale ai sensi del GDPR.
[9] In particolare, sono soggetti al regolamento: banche, istituti di pagamento e IMEL, imprese di investimento, prestatori di servizi relativi a cripto-attività (CASP) ed emittenti di asset-referenced tokens, GEFIA e società di gestione di OICVM, imprese di assicurazione e riassicurazione, intermediari assicurativi (anche a titolo accessorio), gestori di fondi di pensione, agenzie di rating del credito, prestatori di servizi di crowdfunding, PEPP e FISP. Non essendo oggetto di disciplina armonizzata a livello europeo, allo stato non è prevista l’applicazione delle norme in commento, tra gli altri, agli intermediari finanziari di cui all’articolo 106 del TUB.
[10] I requisiti che devono essere soddisfatti dai FISP per ottenere l’autorizzazione sono in larga parte focalizzati sulla gestione dei rischi ICT e sull’adozione di misure di sicurezza ICT. I FISP devono dotarsi di una polizza assicurativa o altra garanzia comparabile che copra i rischi di responsabilità connessi all’utilizzo o accesso non autorizzato o fraudolento ai dati dei clienti; alternativamente, devono dotarsi di un capitale iniziale di almeno Euro 50.000.
[11] Secondo quanto previsto dalla proposta, il quadro regolamentare in materia di open finance deve, in ogni caso, assicurare la prevenzione dei rischi connessi alla condivisione dei dati, tra cui il rischio di esclusione finanziaria, di concorrenza sleale tra gli operatori e i generali rischi operativi e di sicurezza.
[12] La permission dashboard, come interfaccia dei consensi a disposizione dei clienti per monitorare e gestire i consensi resi ai data users, è prevista altresì dalla normativa PSR/PSD3 con riferimento ai servizi di open banking. Si tratta, pertanto, di un’interfaccia informatica che gli intermediari dovranno trasversalmente utilizzare per la gestione dei consenti in ambito open banking e open finance.
[13] Ogni FDSS è tenuto, ai sensi della proposta, a: (i) definire le regole per l’adesione al FDSS stesso, le regole in materia di trasparenza e, se necessario, quelle di segnalazione da parte dei propri membri; (ii) garantire standard comuni per i dati e le interfacce tecniche, al fine di consentire la richiesta da parte dei clienti della condivisione dei dati; (iii) determinare il compenso massimo che un data holder ha diritto di chiedere per aver condiviso i dati finanziari del cliente e (iv) stabilire il regime di responsabilità contrattuale dei propri membri e i meccanismi di risoluzione delle controversie tra i membri del FDSS.