Il presente contributo analizza le proposte formulate dall’EBA per la revisione della Direttiva (UE) 2015/2366 sui servizi di pagamento (PSD2).
Introduzione
La Direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio del 25 novembre 2015 relativa ai servizi di pagamento nel mercato interno (“PSD2” o “Direttiva”) prevede all’art. 108 una clausola di revisione ai sensi della quale la Commissione presenta al Parlamento europeo, al Consiglio, alla BCE e al Comitato economico e sociale europeo una relazione sull’applicazione e l’impatto della PSD2. In tale contesto, il 20 ottobre 2021, la Commissione ha presentato all’Autorità Bancaria Europea (European Banking Authority o “EBA”) una Call for Advice (“CfA“) con l’obiettivo di raccogliere informazioni in merito all’applicazione e all’impatto della PSD2 e di identificare, anche sulla base degli sviluppi di mercato, gli aspetti in relazione ai quali sarebbe auspicabile intervenire nell’ambito della revisione della PSD2.
Il 23 giugno 2022, l’EBA ha pubblicato le proprie risposte alla CfA della Commissione all’interno della Opinion of the European Banking Authority on its technical advice on the review of Directive (EU) 2015/2366 on payment services in the internal market (“Opinion”)[1]. L’Opinion è divisa in 9 sezioni e include le osservazioni dell’EBA in risposta alle 28 domande poste dalla Commissione. A tal riguardo, si riportano di seguito alcune delle principali osservazioni dell’EBA.
Definizioni della PSD2
Tra gli operatori del mercato sono sorte alcune incertezze relative all’interpretazione dei vari servizi di pagamento. A tal riguardo, l’EBA ritiene che, sebbene i servizi di pagamento elencati nell’Allegato I della PSD2 assicurino neutralità dal punto di vista tecnologico e in relazione ai vari modelli di business, potrebbe essere utile fornire ulteriore chiarezza su alcuni specifici aspetti di alcuni di tali servizi.
Più in particolare, potrebbe essere auspicabile chiarire gli elementi distintivi tra l’ esecuzione di bonifici e il servizio di rimessa di denaro. Difatti, seppure in alcuni casi i modelli di business utilizzati nel mercato sono molto simili, i suddetti due servizi di pagamento sono però oggetto di un trattamento normativo differenziato. Per esempio, sono diversi i requisiti in tema di capitale iniziale e fondi propri per gli istituti di pagamento (“IP“) che offrono tali servizi. Per distinguere i due servizi di pagamento, secondo l’EBA, potrebbe essere auspicabile chiarire che l’esecuzione di bonifici debba essere accompagnata dall’apertura di un conto di pagamento a nome dell’ utente di servizi di pagamento.
Inoltre, le operazioni di pagamento di cui ai numeri 3 e 4 dell’Allegato I della PSD2 sono sostanzialmente identiche tra loro, differenziandosi esclusivamente per il fatto che i servizi di cui al numero 4 dell’Allegato I prevedono l’esistenza di una linea di credito accordata all’utente di servizi di pagamento. Pertanto, secondo l’EBA, i suddetti servizi potrebbero essere accorpati in unico servizio di pagamento.
Diversamente, i servizi di emissione di strumenti di pagamento e di convenzionamento di operazioni di pagamento (acquiring) presentano caratteristiche molto diverse tra loro e dovrebbero pertanto costituire due servizi di pagamento autonomi.
Con riferimento all’apertura e alla gestione di un conto di pagamento, l’EBA suggerisce di esplicitare che queste attività non costituiscono un servizio di pagamento autonomo e che gli IP e gli istituti di moneta elettronica (“IMEL“) che gestiscono un conto di pagamento possono essere autorizzati per la prestazione dei singoli servizi di pagamento senza che ciò richieda necessariamente l’ottenimento di un’autorizzazione per i servizi di cui al numero 1 e 2 dell’Allegato I della PSD2. L’EBA ha altresì indicato la necessità di introdurre una definizione di “conto di pagamento” più chiara e dettagliata che non limiti l’ambito dei servizi di pagamento che possono essere eseguiti da o verso un conto di pagamento ad uno specifico servizio di pagamento o ad una combinazione di servizi. Inoltre, anche l’attuale definizione di “strumento di pagamento” andrebbe rivista, anche al fine di tenere in debita considerazione alcune specifiche casistiche (ad esempio in quali casi un cellulare o un computer possano essere considerati strumenti di pagamento).
Ambito di applicazione della PSD2
Con riferimento all’ambito di applicazione della PSD2, l’EBA ha analizzato, inter alia, il servizio di informazione sui conti (Account information Service o “AIS“). A tal riguardo, l’EBA ha riscontrato la necessità di fornire chiarimenti in merito alle attività che un prestatore del servizio di informazione sui conti (Account Information Service Provider “AISP“) può svolgere e, in particolare, se lo stesso possa fornire informazioni consolidate sui conti di pagamento esclusivamente all’utente di servizi di pagamento o anche direttamente a terzi, previo consenso espresso dell’utente. L’EBA si è detta favorevole alla seconda opzione, come già indicato nelle proprie Q&A in risposta alle domande degli operatori del mercato e, in particolare, nella Q&A 4098 L’EBA ritiene tuttavia auspicabile chiarire questo aspetto all’interno della Direttiva .
In relazione, invece, all’ambito di applicazione negativo della PSD2, sono state numerose le richieste di chiarimenti pervenute all’EBA in relazione, in particolare, alla esenzione relativa ai servizi prestati sulla base di strumenti a spendibilità limitata (cosiddetta limited network exemption). A tal riguardo, l’EBA ha pubblicato lo scorso febbraio i propri “Orientamenti sull’esclusione relativa alle reti limitate a norma della direttiva relativa ai servizi di pagamento nel mercato interno“[2] chiarendo, inter alia, che gli strumenti di pagamento che consentono al detentore di acquistare beni o servizi unicamente nei locali dell’emittente possono essere utilizzati soltanto in locali fisici e non nei punti vendita online. Avendo gli Orientamenti analizzato molte delle questioni sollevate dal mercato sull’esenzione in questione, l’EBA propone di includere gli Orientamenti nella Direttiva o di ricevere un mandato per la redazione di norme tecniche di regolamentazione.
Con riferimento all’esenzione relativa alle operazioni di pagamento effettuate tramite un agente commerciale, l’EBA ha evidenziato come i) gli agenti commerciali sono spesso identificati sulla base di disposizioni di diritto nazionale divergenti, ii) l’espressione “negoziare o concludere” non è sufficientemente chiara specialmente nel caso di contratti conclusi elettronicamente, iii) non è del pari certo che un soggetto che consegna beni accettando il pagamento per conto del venditore possa beneficiare dell’esenzione in questione e iv) permangono dubbi sull’applicabilità dell’esenzione ai cosiddetti escrow agent e ad alcune piattaforme. L’EBA suggerisce di chiarire, inter alia, i suddetti aspetti all’interno della Direttiva.
L’EBA ha indicato la necessità di fornire chiarimenti anche con riferimento alla cosiddetta esenzione sugli ATM (Automatic Teller Machine) indipendenti di cui art. 3 (o) della PSD2. L’EBA ha sottolineato la mancanza di chiarezza, in particolare, in relazione ai casi in cui un gestore di ATM agisce per conto di un prestatore di servizi di pagamento (“PSP“) in qualità di emittente di carte di pagamento. Più in particolare, non è chiaro se in tali circostanze sia necessaria la conclusione di un contratto tra il gestore di ATM ed ogni singolo PSP emittente di carte di pagamento o se, invece, possa essere sufficiente la conclusione di un contratto quadro con uno schema di carte di pagamento (i cui membri sono numerosi PSP emittenti carte di pagamento).
Da ultimo, in relazione al cosiddetto servizio cash-in-shop – ovvero il servizio che consente all’utente di servizi di pagamento di prelevare contante dall’esercente utilizzando la propria carta senza però effettuare alcun acquisto – l’EBA ha notato che per alcuni operatori del mercato tale fenomeno è riconducibile al servizio di acquiring (convenzionamento di operazioni di pagamento) e sarebbe assimilabile al cash-back mentre, per altri, ricadrebbe nell’esenzione di cui all’art. 3 (o) della PSD2 sugli ATM indipendenti. L’EBA propone, pertanto, di chiarire se tali servizi rientrino nell’ambito di applicazione positivo della PSD2 e, in tal caso, chi debba essere considerato l’effettivo prestatore del servizio o se, invece, debbano essere esclusi dall’ambito di applicazione della Direttiva in ragione del minor rischio loro connesso.
Operazioni cd. one-leg
Con riferimento alle operazioni cd. one-leg, le principali criticità riscontrate nell’Opinion dell’EBA: sono relative all’applicazione della autenticazione forte del cliente (Strong Customer Authentication o “SCA“) e, in particolare, al fatto che alcuni esercenti cerchino di eludere l’obbligo di effettuare la SCA concludendo contratti per l’accettazione dei pagamenti con acquirers basati in Stati terzi in cui tale misura di sicurezza non è richiesta. L’EBA ritiene, tuttavia, che tale prassi non sia consentita dalla PSD2.
Prestatori di servizi tecnici: schemi di pagamento, payment gateway e e-wallet provider
L’EBA ha osservato come gli schemi di carte di pagamento ricoprano un ruolo cruciale per il rispetto dei principali obblighi previsti dalla PSD2, in particolare l’applicazione della SCA. Difatti, gli schemi di carte di pagamento forniscono i protocolli di comunicazione utilizzati dai PSP per effettuare la SCA ed eventuali ritardi o malfunzionamenti potrebbero avere un impatto significativo sul rispetto della suddetta misura di sicurezza. Anche gli esercenti svolgono a tal riguardo un ruolo molto importante. Premesso quanto sopra, l’EBA suggerisce di prevedere nella Direttiva specifici obblighi in capo agli schemi di carte di pagamento e agli esercenti per assicurare un’adeguata applicazione della SCA.
In linea con quanto sopra, anche con riferimento ai servizi di payment gateway – sebbene non sia necessario ricomprenderli interamente nell’ambito di applicazione della Direttiva trattandosi di servizi di natura tecnica – l’EBA propone di prevedere delle disposizioni specifiche loro applicabili.
Con riferimento, invece, ai prestatori di servizi di portafoglio digitale (e-wallet), l’EBA ritiene che l’emissione di un token collegato ad uno strumento di pagamento sottostante o al conto di pagamento dell’utente di servizi di pagamento costituisca emissione di uno strumento di pagamento e che tale attività rientri pertanto già ora nell’ambito di applicazione della PSD2.
White labelling e buy now pay later
L’EBA ha altresì pubblicato le proprie osservazioni in merito a due fenomeni recentemente molto diffusi nel mercato, i.e. i servizi prestati in modalità white labelling e i servizi buy now pay later. Con riferimento ai modelli di business in cui i servizi di pagamento sono prestati da un soggetto in modalità white label agendo per conto di IP e/o IMEL, l’EBA è del parare che tale modalità operativa sia classificabile come un rapporto di agenzia (soprattutto nei casi in cui il prestatore white label abbia il controllo della relazione con l’utente di servizi di pagamento il quale non sempre è a conoscenza di chi sia il soggetto autorizzato alla prestazione dei servizi di pagamento).
Da ultimo, l’EBA ha chiarito che i servizi buy now pay later hanno natura di finanziamento, più che di servizi di pagamento, e dovrebbero pertanto essere inquadrati come tali. A tal riguardo, considerando che IP e IMEL possono (a determinate condizioni) concedere crediti come servizi accessori, l’EBA ha sottolineato che ad oggi non è chiaro se e in quale misura i servizi buy now pay later possano essere prestati come servizi accessori da IP e IMEL.
Capitale iniziale e fondi propri
L’EBA ha valutato una potenziale revisione delle previsioni in materia di capitale iniziale e fondi propri applicabili agli IP attualmente previsti nella PSD2 al fine di meglio riflettere l’evoluzione dei più recenti modelli di business presenti nel mercato. A tal riguardo, se da un lato non è stato ritenuto necessario dall’EBA introdurre dei requisiti di capitale iniziale per la concessione di crediti da parte di IP, dall’altro lato, l’EBA ha proposto di aumentare a EUR 125.000 l’ammontare del capitale iniziale richiesto per la prestazione del servizio di rimessa di denaro. Ciò al fine di assicurare un level-playing-field con gli altri operatori di mercato. Tuttavia, l’EBA ha allo stesso tempo osservato che tale obbligo potrebbe comportare oneri eccessivi con riferimento agli obblighi in tema di fondi propri ai sensi dell’art. 8 della PSD2 che richiede agli IP di mantenere fondi propri non inferiori al capitale iniziale.
Con riferimento ai fondi propri l’EBA ha altresì notato divergenze applicative in relazione al metodo di calcolo prescelto dagli IP ed ha indicato che le autorità di vigilanza, e non l’IP, dovrebbero essere responsabili per tale scelta. Anche i requisiti in materia di tutela dei fondi ricevuti dagli utenti di servizi di pagamento dovrebbero essere oggetto di revisione e chiarimenti al fine di assicurare una maggiore armonizzazione a livello europeo e superare potenziali arbitraggi.
Da ultimo, con riferimento ai prestatori del servizio di disposizione di ordini di pagamento (Payment Initiation Service Provider o “PISP“) ed agli AISP, l’EBA ha sottolineato come non sussista ad oggi la necessità di modificare il regime loro applicabile. I requisiti attualmente previsti sarebbero, secondo l’EBA, adeguati ai servizi prestati dai PSP sopra menzionati e proporzionati ai rischi associati a tali attività.
Libertà di stabilimento e libera prestazione di servizi
L’EBA ha sottolineato nella propria Opinion la necessità di introdurre criteri utili ad una più chiara distinzione tra libertà di stabilimento e libertà di prestazione di servizi. A tal riguardo, l’EBA ha riscontrato prassi divergenti fra autorità di vigilanza dei singoli Stati membri, in particolare con riferimento all’utilizzo da parte di IP e IMEL di agenti e distributori in Stati membri diversi dallo Stato membro di origine.
Nel 2019 l’EBA ha pubblicato la propria Opinion on the nature of passport notifications for agents and distributors of e-money[3] nella quale ha identificato una serie di criteri di ausilio alle autorità di vigilanza ai fini della distinzione tra la libertà di stabilimento e la libera prestazione di servizi. La suddetta Opinion – basata tra l’altro su giurisprudenza della Corte di Giustizia dell’Unione Europea non avente specificamente ad oggetto l’operatività di agenti e distributori di IP e IMEL – non è tuttavia vincolante per le autorità di vigilanza. Pertanto, secondo l’EBA, la stessa PSD2 dovrebbe chiarire i criteri per la classificazione dell’uno o dell’altro regime.
Inoltre, alcune autorità di vigilanza dei singoli Stati membri hanno sollevato criticità in relazione alle attività cross-border prestate dagli IP/IMEL nel loro territorio. Più nello specifico, non sembrerebbe essere sempre assicurata una sufficiente visibilità delle attività svolte in libera prestazione di servizi nel proprio territorio da IP e IMEL basati in un altro Stato membro con conseguenze in termini di rischi derivanti dall’inosservanza delle regole di condotta e di trasparenza previste a tutela dei consumatori nello Stato membro ospitante. A tal riguardo, la revisione della PSD2 dovrebbe prevedere la possibilità per le autorità competenti dello Stato membro ospitante di richiedere agli IP/IMEL l’invio di relazioni sull’attività svolta nello Stato membro in questione.
L’EBA ha inoltre esaminato alcune prassi relative al cd. passaporto “triangolare”, i.e. i casi in cui un IP/IMEL autorizzato in uno Stato membro A utilizza la propria succursale o agenti/distributori stabiliti in uno Stato membro B per offrire servizi di pagamento in un altro Stato membro C. In tali circostanze, non è chiaro quale sia il regime di vigilanza applicabile e quali siano le norme applicabili in materia di antiriciclaggio e tutela dei consumatori. Tali aspetti dovrebbero essere disciplinati dalla Direttiva.
Da ultimo, con riguardo all’esercizio simultaneo della libertà di stabilimento e della libera prestazione di servizi, secondo l’EBA sarebbe opportuno che la Direttiva chiarisse ulteriormente l’ammissibilità e le modalità di esercizio simultaneo delle due libertà. Ad esempio, si potrebbe prevedere che laddove un IP o IMEL operi in uno Stato membro ospitante sulla base della libera prestazione di servizi e della libertà di stabilimento, salva prova contraria, tutti i servizi prestati in quello Stato membro vengano considerati prestati nell’ambito della libertà di stabilimento. Alternativamente, si potrebbe richiedere agli IP/IMEL di indicare chiaramente alle autorità competenti ed ai propri clienti quali attività sono prestate nell’ambito della libertà di stabilimento e quali, invece, in libera prestazione di servizi.
Prestazione da parte di IP e IMEL di parte dei servizi nello Stato membro di origine
L’articolo 11, terzo comma, della PSD2 prevede che “un istituto di pagamento che, in base alla normativa nazionale del proprio Stato membro di origine, è tenuto ad avere una sede legale, deve avere la propria sede centrale nello stesso Stato membro in cui ha la sede legale e ivi svolgere almeno una parte dell’attività in materia di servizi di pagamento”. A tal riguardo, per prevenire ulteriormente forum shopping con riferimento allo Stato membro dove ottenere l’autorizzazione, l’EBA propone di introdurre requisiti ulteriori come, ad esempio, l’obbligo di stabilire le funzioni principali, quali la funzione di controllo, nello Stato membro di origine. Tale approccio potrebbe, tuttavia, risultare svantaggioso per i gruppi in cui alcune delle funzioni sono centralizzate o esternalizzate.
Trasparenza delle condizioni e requisiti informativi
L’EBA ha risposto alle domande poste dalla Commissione anche in relazione all’adeguatezza dell’attuale quadro normativo europeo in tema di trasparenza. A tal riguardo, inter alia, l’EBA ha svolto alcune considerazioni in merito alla possibilità di introdurre l’obbligo per il PSP del pagatore di notificare il pagatore prima dell’esecuzione di ogni operazione di pagamento ed ha ritenuto tale soluzione eccessivamente onerosa.
Inoltre, l’EBA ha notato alcune criticità nei casi in cui la denominazione del beneficiario non corrisposta al proprio nome commerciale, con particolare riferimento alla trasparenza e chiarezza delle informazioni nell’informativa da fornire alla clientela e/o ai casi in cui tali informazioni sono utilizzate come elementi di collegamento dinamico per l’avvio di un’operazione di pagamento elettronico a distanza ai sensi dell’art. 97, comma 2 della PSD2.
L’EBA ha valutato la possibilità di introdurre l’obbligo di utilizzare il nome e l’IBAN del beneficiario per la sua identificazione. Sebbene tale approccio potrebbe migliorare la trasparenza nei confronti degli utenti di servizi di pagamento, l’EBA ha valutato che i costi di tale soluzione in termini IT sarebbero particolarmente rilevanti.
Diritti ed obblighi delle parti
Con riferimento ai diritti e agli obblighi delle parti, l’EBA ha indicato nella propria Opinion che per le operazioni di pagamento il cui importo non sia noto in anticipo, il blocco dei fondi operato dai PSP risulta a volte sproporzionato. A tal riguardo, sebbene non sia necessario prevedere soglie massime per il blocco dei fondi, l’EBA ritiene che l’introduzione di alcuni requisiti specifici potrebbe essere auspicabile. Più in particolare, secondo l’EBA, si potrebbe prevedere i) che i PSP blocchino i fondi al ricorrere di giustificati motivi e concordino con l’utente dei servizi di pagamento l’ammontare dei fondi da bloccare, ii) che il blocco dei fondi avvenga previo consenso dell’utente dei servizi di pagamento e iii) che lo sblocco dei fondi avvenga al ricorre di specifiche condizioni.
In secondo luogo, l’EBA si è soffermata sulla necessità di introdurre chiarimenti in merito all’allocazione delle responsabilità tra PSP e PISP o AISP, a seconda dei casi, nonché in generale sul riparto di responsabilità tra PSP del pagatore e PSP del beneficiario nei casi in cui venga applicata un’esenzione dall’obbligo di autenticazione forte del cliente (SCA).
Con particolare riguardo ai pagamenti istantanei, l’EBA ritiene che il quadro regolamentare di cui alla PSD2, sebbene in via generale adeguato, andrebbe rivisto per riflettere talune loro specificità e rischi.
Da ultimo, l’EBA ha riscontrato alcune criticità in relazione alla possibilità per i PSP di aumentare unilateralmente i limiti di spesa per le operazioni di pagamento eseguite mediante strumenti di pagamento ai sensi dell’art. 68 della PSD2. La Direttiva dovrebbe infatti vietare tale pratica espressamente mentre dovrebbe consentire ai PSP di abbassare unilateralmente i limiti di spesa in caso di sospetto di frode.
Autenticazione forte del cliente (SCA)
Con riferimento alla SCA, l’EBA ha esaminato diverse aree che potrebbero auspicabilmente essere oggetto di modifiche e chiarimenti. In particolare, con riferimento ai casi di esternalizzazione, sebbene sia previsto, in via generale, che la responsabilità per la corretta applicazione della SCA ricada sul PSP che ha emesso le credenziali di sicurezza personalizzate dello strumento di pagamento, l’EBA ha proposto di indicare più chiaramente nella Direttiva i soggetti responsabili nei casi di esternalizzazione e/o delega a terzi per l’applicazione della SCA.
Nelle Q&A 4047 e 4651, l’EBA ha chiarito, rispettivamente, che i PSP possono utilizzare la tecnologia fornita da terzi – ad esempio, smartphone per la rilevazione dell’impronta digitale – per supportare l’applicazione della SCA e che i PSP possono utilizzare credenziali biometriche registrate nel singolo dispositivo a tal fine, previa verifica del rispetto dei requisiti di sicurezza richiesti dalla normativa . A tal riguardo, l’EBA ha tuttavia notato l’assenza in alcuni casi di un rapporto contrattuale tra il PSP ed il produttore dello smartphone e che quest’ultimo risulta a volte in ultima istanza avere il controllo sulla corretta applicazione della SCA. Ciò potrebbe sollevare significative criticità laddove il PSP non operasse un adeguato controllo sulle misure di sicurezza utilizzate ed il rispetto dei requisiti di cui alla PSD2 ed alle norme tecniche di regolamentazione. Per tale ragione, L’EBA ha suggerito di indicare chiaramente nella Direttiva se l’utilizzo di questo tipo di tecnologie fornite da terzi richieda un accordo di esternalizzazione o meno. La stessa osservazione è valida altresì per la delega da parte di PSP a PISP e/o AISP.
Merchant Initiated Transaction (MIT) e Mail Order or Telephone Order (MOTO)
Ai sensi del considerando (95) della PSD2, la sicurezza dei pagamenti elettronici è fondamentale per garantire la protezione degli utenti e lo sviluppo di un contesto affidabile per il commercio elettronico. Tutti i servizi di pagamento offerti elettronicamente dovrebbero essere prestati in maniera sicura, adottando tecnologie in grado di garantire l’autenticazione sicura dell’utente e di ridurre al massimo il rischio di frode. Non si ravvisa tuttavia la necessità di garantire lo stesso livello di protezione per le operazioni di pagamento disposte ed eseguite con modalità diverse rispetto all’uso di piattaforme o dispositivi elettronici, ad esempio operazioni di pagamento su supporto cartaceo, ordini per corrispondenza o ordini telefonici.
Tali “esclusioni” sono risultate a volte di difficile applicazione in ragione della formulazione poco chiara e sono state oggetto di numerose richieste di chiarimento all’EBA. Con particolare riferimento all’esclusione dell’applicazione della SCA per le operazioni disposte dagli esercenti (Merchant Initiated Transaction or “MIT“), l’EBA suggerisce di introdurre nella Direttiva alcune specifiche previsioni quali, inter alia, i) una definizione chiara di MIT ii) previsioni specifiche sul mandato elettronico per le operazioni disposte dal beneficiario/esercente, chiarendo l’applicabilità della SCA alla creazione del mandato (e non anche alle operazioni successive) iii) limiti al numero di operazioni di pagamento da eseguire sulla base del mandato e/o alla durata dello stesso, iv) chiarimenti sul rapporto tra MIT e gli addebiti diretti.
Allo stesso modo, specifiche previsioni dovrebbero essere introdotte con riferimento agli ordini per corrispondenza e gli ordini telefonici (Mail Order or Telephone Order o “MOTO“) anche sulla base delle numerose Q&A pubblicate dall’EBA sul tema. A tal riguardo, l’EBA ha suggerito di introdurre, inter alia, una chiara definizione di MOTO all’interno della Direttiva, anche volta a limitare l’ambito di applicazione dell’esenzione dalla SCA in questione il più possibile. Difatti, ad una definizione molto ampia, corrisponderebbe un più elevato rischio di frode secondo l’EBA. Inoltre, sarebbe auspicabile prevedere dei requisiti di sicurezza minimi, come ad esempio l’identificazione dell’utente tramite telefono .
Da ultimo, l’EBA ha evidenziato come spesso le operazioni di pagamento vengano classificate come MIT e MOTO – come alternativa alle operazioni di pagamento disposte dal pagatore – al solo scopo di eludere l’obbligo di applicazione della SCA. L’introduzione di definizioni e previsioni specifiche dovrebbe eliminare o quantomeno ridurre tale prassi.
Responsabilità per mancata applicazione della SCA
Ad opinione dell’EBA, la Commissione dovrebbe introdurre delle misure più efficaci per assicurare una più stringente applicazione delle disposizioni in tema di SCA e prevedere che, nei casi in cui la SCA o altre potenziali misure di sicurezza non siano applicate per la mancata adozione da parte dell’esercente di soluzioni IT in grado di supportarle, la responsabilità in caso di operazioni di pagamento non autorizzate e/o fraudolente passi dal PSP del beneficiario all’esercente.
L’elemento dell’inerenza ed il Regolamento GDPR
Numerose richieste di chiarimenti sono state presentate all’EBA con riferimento alla possibilità di considerare la biometrica comportamentale come elemento di inerenza ai fini della SCA. In molti sostengono infatti che le caratteristiche comportamentali riguardanti le abitudini di pagamento (localizzazione dell’utente, orari dell’operazione, dispositivo utilizzato) siano in effetti elementi di inerenza. Ci si chiede, tuttavia, se la memorizzazione di tali caratteristiche e processi comportamentali possa comportare la profilazione degli utenti mediante l’utilizzo di dati sensibili ai sensi del Regolamento GDPR (General Data Protection Regulation).
Operazioni di rimborso e SCA
L’EBA ha indicato la necessità di introdurre chiarimenti con riferimento alla classificazione delle operazioni di rimborso e l’applicabilità della SCA alle stesse. Più in particolare, ci si è chiesti se un rimborso costituisca un’operazione di pagamento autonoma e indipendente o se, invece, si tratti di un mero diritto degli esercenti nel contesto del servizio di acquiring. L’EBA nella Q&A 4855 ha chiarito che il rimborso disposto da un esercente, in qualità di pagatore, rappresenta un’operazione di pagamento elettronico e, pertanto, il PSP dell’esercente dovrebbe applicare la SCA, salvo non sia applicabile un’esenzione.
Standardizzazione di API
Sebbene a livello europeo sussistano plurime iniziative di standardizzazione, l’EBA registra ancora un elevato grado di frammentarietà nell’implementazione di API (Application Programming Interface) da parte dei PSP. Al riguardo, la Commissione dovrebbe valutare la possibilità di introdurre API standard a livello europeo.
PSD2 e EMD2
Con riferimento ai rapporti tra la PSD2 e la Direttiva 2009/110/CE concernente l’avvio, l’esercizio e la vigilanza prudenziale dell’attività degli IMEL (“EMD2“), l’EBA ha riscontrato una serie di difficoltà applicative tra le due Direttive che hanno sino ad oggi operato in parallelo. L’EBA ritiene che la fusione della PSD2 e della EMD2 consentirebbe di risolvere molte delle criticità ad oggi sollevate dal mercato.
Infine, la revisione della PSD2 dovrà tenere in debita considerazione il rapporto con il Regolamento MiCa (Markets in Crypto-assets) per assicurare un allineamento nel trattamento dei token di moneta elettronica, nonché con il Regolamento DORA (Digital Operational Resilience for the financial sector), il Regolamento GDPR (General Data Protection Regulation) e le Direttive in materia di antiriciclaggio.
[1] https://www.dirittobancario.it/art/modifiche-alla-psd2-sui-servizi-di-pagamento-le-proposte-delleba/
[2]https://www.dirittobancario.it/art/psd2-linee-guida-eba-sugli-strumenti-di-pagamento-utilizzabili-in-modo-limitato/
[3]https://www.eba.europa.eu/sites/default/documents/files/documents/10180/2622242/da05ad8a-eed2-410a-bd08-072403d086f3/EBA%20Opinion%20.pdf