Il 13 gennaio 2018 è entrata in vigore la Direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno (cd. PSD2).
La PSD2 ha abrogato la prima Direttiva in materia di servizi di pagamento (i.e. Direttiva 2007/64/CE o PSD1) che ha introdotto un quadro giuridico armonizzato per la creazione di un mercato interno dei pagamenti a livello europeo. Il quadro normativo introdotto dalla PSD1 era stato in seguito integrato dal Regolamento (CE) n. 924/2009 – che ha eliminato le differenze tra le commissioni applicate ai pagamenti transfrontalieri all’interno dell’Unione e quelle applicate ai pagamenti effettuati nella stessa valuta all’interno di uno Stato membro – e dal Regolamento (UE) n. 260/2012, cd. SEPA (area unica dei pagamenti in euro) – che ha stabilito i requisiti tecnici e commerciali applicabili ai bonifici e agli addebiti diretti paneuropei.
Il mercato dei pagamenti è un settore molto dinamico e in continua evoluzione, anche grazie allo sviluppo di nuove tecnologie. Al fine di tenere debitamente conto dei più recenti sviluppi che hanno interessato il settore dei pagamenti al dettaglio, nel 2013 la Commissione Europea ha ritenuto necessario iniziare un processo di revisione della PSD1.
La PSD2 ha dunque introdotto rilevanti novità con l’obiettivo ultimo di promuovere una maggiore concorrenza, efficienza ed innovazione nel mercato dei servizi di pagamento rafforzando al contempo la tutela degli utilizzatori dei servizi di pagamento, la trasparenza e la sicurezza dei pagamenti elettronici. La PSD2 rappresenta altresì un’importante opportunità per nuovi operatori del mercato.
La PSD2 è stata implementata in Italia dal Decreto Legislativo del 15 dicembre 2017, n. 218, pubblicato nella Gazzetta Ufficiale del 13 gennaio 2018 ed entrato in vigore lo stesso giorno (nel proseguito ‘Decreto PSD2’). Il Decreto PSD2 ha altresì introdotto norme di adeguamento delle disposizioni interne al Regolamento (UE) n. 751/2015 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta.
Il Decreto PSD2 ha modificato, inter alia, il Testo Unico Bancario (Decreto Legislativo del 1 settembre 1993, n. 385 cd. TUB) e il Decreto Legislativo 27 gennaio 2010, n. 11 recante la normativa primaria in materia di servizi di pagamento. Il Decreto PSD2 ha implementato la Direttiva nell’ordinamento nazionale a livello di normativa primaria. La Banca d’Italia dovrà emanare la normativa secondaria, anche sulla base delle norme tecniche di regolamentazione elaborate dall’Autorità Bancaria Europea (EBA) e dalla Commissione Europea.
Le principali novità introdotte dal Decreto PSD2 sono relative all’estensione dell’ambito di applicazione delle disposizioni ivi previste, alla rimodulazione di alcune esenzioni nonché all’introduzione di nuovi servizi di pagamento e al conseguente assoggettamento a regolamentazione e vigilanza degli operatori che prestano tali servizi.
Ampliamento del cd. positive scope
Una delle principali novità introdotte dal Decreto PSD2 riguarda l’estensione dell’ambito di applicazione delle relative disposizioni. Più nello specifico, la PSD1 si applicava ai servizi di pagamento prestati nell’Unione Europea in euro o nella valuta ufficiale di uno Stato membro non appartenente all’area euro a condizione che i prestatori di servizi di pagamento del pagatore e del beneficiario (ovvero l’unico prestatore di servizi di pagamento coinvolto) fossero insediati nella comunità europea.
La PSD2, come implementata dal Decreto PSD2, estende il cd. positive scope in termini sia geografici che di valute. Difatti, le principali disposizioni in materia di trasparenza e diritti e obblighi delle parti di un’operazione di pagamento sono ora applicabili anche alle operazioni di pagamento effettuate in qualsiasi valuta all’interno dell’Unione Europea e alle operazioni di pagamento verso paesi terzi laddove solo uno dei prestatori di servizi di pagamento coinvolto sia situato nell’Unione Europea (le cosiddette operazioni ‘one leg’). In entrambi i casi, le disposizioni di cui al Decreto PSD2 si applicano alle parti delle operazioni di pagamento eseguite nell’Unione Europea.
Rimodulazione del cd. negative scope
Il Decreto PSD2, in linea con la Direttiva, ha altresì rimodulato l’ambito di applicazione negativo delle disposizioni ivi previste. La revisione del cd. negative scope è stata principalmente dovuta ad un’applicazione non uniforme delle norme previgenti negli Stati membri, con particolare riferimento ad alcune esenzioni che avevano dato luogo ad interpretazioni divergenti con conseguenti distorsioni della concorrenza.
In particolare, l’esenzione relativa agli agenti commerciali è stata negli anni maggiormente utilizzata per operazioni di pagamento all’interno di piattaforme e-commerce da operatori che in alcuni Stati membri agivano come intermediari sia per conto del venditore (beneficiario dell’operazione di pagamento) che per conto dell’acquirente (pagatore). La PSD2 ha ulteriormente chiarito che la suddetta esenzione è applicabile alle operazioni di pagamento effettuate tramite un agente commerciale che agisca per conto del solo pagatore o del solo beneficiario, indipendentemente dal fatto che l’agente sia o meno in possesso dei fondi dei clienti. Ove, invece, l’agente commerciale agisca per conto sia del pagatore sia del beneficiario, quest’ultimo dovrebbe beneficiare dell’esenzione solo qualora non entri mai in possesso dei fondi dei clienti. Quest’ultimo requisito è stato specificato nel Decreto PSD2 in linea con i consideranda della Direttiva.
Inoltre, la crescente applicazione dell’esenzione relativa alle cd. carte a spendibilità limitata a grandi reti di distribuzione con elevati volumi di pagamenti e ampie gamme di prodotti e servizi ha creato in alcuni casi uno svantaggio competitivo per gli operatori regolamentati. Una tale applicazione ha indotto il legislatore comunitario a limitare ulteriormente tale esenzione chiarendone le finalità. Al tal riguardo, è opportuno notare che la revisione di tale esenzione non dovrebbe avere un impatto significativo nel mercato italiano alla luce del fatto che la Banca d’Italia, già in sede di implementazione della PSD1, ha emanato linee guida molto dettagliate sull’applicabilità dell’esenzione in oggetto e adottato un approccio molto restrittivo rispetto alle autorità di vigilanza dei principali Stati membri.
E’ stata confermata ma meglio specificata l’esenzione applicabile alle operazioni di pagamento per l’acquisto di contenuti digitali effettuate tramite un fornitore di reti o servizi di comunicazione elettronica a titolo accessorio rispetto alla propria attività principale. Tale esenzione è ad oggi applicabile a condizione che il valore di ciascuna operazione non superi i 50 EUR e che il valore complessivo delle operazioni stesse non superi i 300 EUR mensili. E’ stato inoltre introdotto un riferimento esplicito alle operazioni di pagamento per l’acquisto di biglietti elettronici che rientrano nell’ambito di applicazione dell’esenzione in questione.
E’ stata altresì mantenuta l’esenzione relativa ai gestori di ATM, nonostante la proposta iniziale della Commissione Europea di abrogare tale esenzione. Più nello specifico, la Commissione Europea aveva rilevato come l’esclusione dall’ambito di applicazione della PSD1 relativa ai servizi di prelievo di contante tramite sportelli automatici di prestatori indipendenti avesse determinato la creazione di reti di distributori automatici che addebitano ai consumatori commissioni elevate sui prelievi. Al tal riguardo, il Decreto PSD2, in linea con la Direttiva, ha mantenuto l’esenzione imponendo al contempo ai prestatori di servizi di prelievo di contante che non siano parte del contratto quadro con il cliente specifici obblighi di trasparenza in merito alle commissioni applicabili, a maggior tutela dei consumatori.
Infine, l’esenzione relativa alle operazioni in cui il beneficiario fornisce contante al pagatore a seguito di una richiesta esplicita di quest’ultimo immediatamente precedente l’esecuzione dell’operazione di pagamento per l’acquisto di beni o servizi, già prevista dalla precedente normativa, viene mantenuta. Tuttavia, è interessante notare che il Decreto PSD2 attribuisce al Ministro dell’Economia e delle Finanze la facoltà di stabilire dei limiti con decreto da adottarsi sentita la Banca d’Italia.
Terzi prestatori di servizi
Tra le principali novità introdotte dal Decreto PSD2, in linea con la Direttiva, vi è altresì l’introduzione di due nuovi servizi di pagamento, i.e. il servizio di disposizione di ordini di pagamento e il servizio di informazione sui conti. Come evidenziato dalla Commissione Europea, lo sviluppo di nuove tecnologie ha favorito l’operatività di nuovi operatori del mercato, non soggetti a regolamentazione, che offrono servizi basati sull’online banking. Tali servizi rappresentano una valida, e spesso meno costosa, alternativa rispetto ai pagamenti con carta. Gli operatori che offrono tali servizi non rientravano nell’ambito di applicazione della previgente Direttiva in quanto non entrano mai in possesso dei fondi dei clienti. Tuttavia, l’operatività di tali soggetti ha suscitato preoccupazioni in termini di sicurezza, protezione dei dati e responsabilità. Il legislatore comunitario ha pertanto ritenuto necessario includere tali servizi nell’elenco dei servizi di pagamento della PSD2, prevedendo al contempo un regime autorizzativo agevolato per i soggetti che li prestano. L’obiettivo finale è quello di favorire lo sviluppo di nuove soluzioni di pagamento elettronico a basso costo garantendo al tempo stesso norme appropriate in materia di sicurezza.
Il servizio di disposizione di ordini di pagamento è definito dalla normativa come ‘un servizio che dispone l’ordine di pagamento su richiesta dell’utente di servizi di pagamento relativamente a un conto di pagamento detenuto presso un altro prestatore di servizi di pagamento’. Il servizio di disposizione di ordine di pagamento si basa, dunque, sull’accesso, diretto o indiretto, dei prestatori di detto servizio al conto del pagatore. Come specificato dalla PSD2, tali servizi consentono al prestatore di servizi di disposizione di ordine di pagamento di assicurare al beneficiario che il pagamento è stato disposto così da incentivare il beneficiario stesso a consegnare i beni o a prestare il servizio senza indebiti ritardi. Tali servizi offrono una soluzione a basso costo per i commercianti e i consumatori e consentono a questi ultimi di fare acquisti online anche senza carte di pagamento.
Il servizio di informazione sui conti è invece definito come ‘un servizio online che fornisce informazioni relativamente a uno o più conti di pagamento detenuti dall’utente di servizi di pagamento presso un altro prestatore di servizi di pagamento o presso più prestatori di servizi di pagamento’. Tali servizi forniscono all’utente informazioni online aggregate su uno o più conti di pagamento detenuti presso un altro prestatore di servizi di pagamento. L’accesso ai conti avviene mediante interfacce online (cd. Application Programming Interface, API) del prestatore di servizi di pagamento di radicamento del conto. L’utente può così disporre immediatamente di un quadro generale della propria situazione finanziaria in un dato momento.
L’EBA sta elaborando norme tecniche di regolamentazione che saranno emanate con atto delegato dalla Commissione Europea aventi ad oggetto le misure di sicurezza da adottare e rispettare per la protezione dei dati e l’integrità delle credenziali di sicurezza personalizzate degli utenti nonché gli standard di comunicazione sicura da adottare per la comunicazione tra prestatori di servizi di radicamento del conto e terzi prestatori di servizi.
L’offerta sul mercato di servizi di disposizione di ordine di pagamento e di informazione sui conti è principalmente dovuta allo sviluppo della tecnologia applicata al mercato dei servizi di pagamento o, più in generale, allo sviluppo del settore Fintech. Difatti, in questo scenario assume un ruolo sempre più importante l’offerta di tecnologia legata allo sviluppo di nuovi servizi sempre più orientati a garantire agli utenti un utilizzo dei servizi di pagamento semplice e veloce. In tal senso, la PSD2 rappresenta un’importante opportunità per nuovi operatori del mercato.
I prestatori di servizi di disposizione di ordine di pagamento e i prestatori di servizi di informazione sui conti non detengono in nessun momento i fondi dei clienti. Conseguentemente, tali soggetti non sono tenuti al rispetto dei requisiti previsti in materia di fondi propri. Tali operatori devono, tuttavia, stipulare una polizza della responsabilità civile o analoga forma di garanzia per i danni arrecati nell’esercizio dell’attività derivanti da condotte proprie o di terzi.
Strong customer authentication
La PSD2 interviene anche sotto il profilo della sicurezza dei pagamenti elettronici. Più nello specifico, ai sensi del Decreto PSD2, i prestatori di servizi di pagamento dovranno adottare delle procedure di autenticazione rafforzata della clientela quando l’utente accede al proprio conto di pagamento online, dispone un’operazione di pagamento elettronico ed effettua qualsiasi azione, tramite canali a distanza, che possa comportare un rischio di frode o altri abusi. Per autenticazione forte o rafforzata si intende un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce, ad esempio una password statica, un codice, un numero di identificazione personale), del possesso (qualcosa che solo l’utente possiede, ad esempio un token, una smart card, un cellulare) e dell’inerenza (qualcosa che caratterizza l’utente, ad esempio una caratteristica biometrica, quale può essere un’impronta digitale), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri. In caso di operazioni di pagamento elettronico a distanza, inoltre, l’autenticazione deve comprendere elementi che colleghino in maniera dinamica l’operazione a uno specifico importo e a un beneficiario specifico.
L’EBA sta elaborando norme tecniche di regolamentazione che saranno adottate con atto delegato dalla Commissione Europea aventi ad oggetto i requisiti di autenticazione forte della clientela e le relative esenzioni. A tal riguardo, è opportuno notare che la necessità di adottare una procedura di autenticazione rafforzata della clientela era stata già prevista dall’EBA nel 2014 ai sensi degli ‘Orientamenti sulla sicurezza dei pagamenti via Internet’. Tali Orientamenti sono stati traposti nel quadro giuridico nazionale dalla Banca d’Italia nel maggio 2016 e sono attualmente in vigore.
Spese applicabili
Per quanto riguarda le spese applicabili alle operazioni di pagamento, il Decreto PSD2 conferma l’obbligo per il pagatore e per il beneficiario di sostenere ciascuno le spese applicate dal rispettivo prestatore di servizi di pagamento laddove il prestatore di servizi di pagamento del pagatore e del beneficiario (ovvero l’unico prestatore di servizi di pagamento coinvolto) siano situati nell’Unione Europea (il cd. principio dello share).
Inoltre, al fine di promuovere la concorrenza e favorire l’uso di strumenti di pagamento efficienti, viene confermato il divieto di surcharge, ovvero il divieto per il beneficiario di imporre spese per l’utilizzo di determinati strumenti di pagamento. In linea con tale divieto generale, il Decreto PSD2, non prevede più la possibilità per il beneficiario di applicare una riduzione del prezzo del bene venduto o del servizio prestato in considerazione dell’uso di un determinato strumento di pagamento (cd. ‘surcharge al contrario’). Difatti, un utilizzo distorto della cd. ‘scontistica’, ha reso tale pratica uno strumento utilizzato per eludere il generale divieto di surcharge.
L’Autorità Garante della Concorrenza e del Mercato viene designata quale autorità competente a verificare l’effettiva osservanza di tale divieto e ad applicare le relative sanzioni previste dal Codice del Consumo. L’Autorità Garante della Concorrenza e del Mercato collabora con la Banca d’Italia a tal fine.
Conferma della disponibilità dei fondi
Ai sensi del Decreto PSD2, con riferimento alle operazioni con carta, è stata introdotta la possibilità per il prestatore di servizi di pagamento emittente di chiedere al prestatore di servizi di pagamento di radicamento del conto se sul conto del pagatore vi sia la disponibilità dell’importo richiesto per l’esecuzione dell’operazione di pagamento con carta. Ciò potrà avvenire a condizione che, al momento della richiesta, il conto del pagatore sia accessibile online e il pagatore abbia prestato il consenso esplicito al prestatore di servizi di pagamento di radicamento del conto a rispondere a richieste di conferma da parte di uno specifico prestatore di servizi di pagamento in merito alla disponibilità sul proprio conto dell’importo corrispondente a una determinata operazione di pagamento basata su carta. La conferma può consistere esclusivamente in una risposta positiva o negativa, e non in un estratto conto, e non può essere memorizzata o utilizzata per scopi diversi. Inoltre, ciò non consente al prestatore di servizi di pagamento di radicamento del conto di bloccare i fondi necessari all’operazione sul conto del pagatore.
Responsabilità del pagatore
Con riferimento alla responsabilità dell’utente, il Decreto PSD2, in linea con la Direttiva, riduce da 150 EUR a 50 EUR l’importo massimo che il pagatore può sopportare in relazione ad operazioni di pagamento non autorizzate derivanti dall’utilizzo indebito dello strumento di pagamento conseguente al suo furto, smarrimento o appropriazione indebita. Tale limitazione non si applica in caso di dolo o colpa grave dell’utente di servizi di pagamento.
Disposizioni transitorie
Con riferimento, infine, alle disposizioni transitorie, il Decreto PSD2 prevede che gli istituti di pagamento e gli istituti di moneta elettronica già autorizzati ad operare possano continuare ad esercitare le loro attività fino al 13 luglio 2018. Dopo tale data, al fine di continuare ad operare, tali soggetti dovranno trasmettere alla Banca d’Italia, entro il 13 aprile 2018, la documentazione attestante il rispetto dei nuovi requisiti.
Gli istituti di pagamento che al 13 gennaio 2018 prestano il servizio di pagamento di esecuzione di operazioni di pagamento ove il consenso del pagatore ad eseguire l’operazione sia dato mediante un dispositivo di telecomunicazione, digitale o informatico – servizio di pagamento previsto dal previgente quadro normativo e non più previsto dalla PSD2 – possono ora svolgere il servizio di esecuzione di operazioni di pagamento (incluso il trasferimento di fondi su un conto di pagamento presso il prestatore di servizi di pagamento dell’utilizzatore o presso un altro prestatore di servizi di pagamento) senza necessità di ottenere una nuova autorizzazione. Tuttavia, tali soggetti sono tenuti a trasmettere la documentazione attestante il rispetto dei requisiti relativi al capitale iniziale e al calcolo dei fondi propri alla Banca d’Italia entro il 13 gennaio 2020.
Le misure di sicurezza applicabili alla conferma della disponibilità di fondi, all’accesso ai conti di pagamento da parte dei terzi prestatori di servizi di disposizione di ordine di pagamento e di informazione sui conti e alle procedure di autenticazione forte degli utenti saranno applicabili 18 mesi dopo l’entrata in vigore delle norme tecniche di regolamentazione emanate dalla Commissione Europea. Fino alla data di applicazione delle suddette norme tecniche di regolamentazione, continuano a trovare applicazione le disposizioni emanate dalla Banca d’Italia ai sensi di norme abrogate o sostituite per effetto del Decreto PSD2, in quanto compatibili. Durante tale periodo transitorio la Banca d’Italia potrà tuttavia modificare e abrogare tali disposizioni.
Per quanto riguarda i contratti in essere al 13 gennaio 2018, i prestatori di servizi di pagamento devono comunicare ai propri clienti, in forma scritta o mediante altro supporto durevole, entro il 12 marzo 2018, le proposte di modifica del contratto rese necessarie dalla entrata in vigore del Decreto PSD2. Il cliente ha diritto di recedere senza spese dal contratto entro sessanta giorni dal ricevimento della comunicazione. Ove il cliente non receda, la modifica si intende approvata.