La revisione, ovvero il testo “ri-editato” della Direttiva sui Servizi di Pagamento, più comunemente nota tra gli addetti ai lavori con l’acronimo di PSD2, è una legge europea che disciplina e rende più sicuri i servizi di pagamento nell’Unione Europea (UE), ovvero regola l’accesso ai nostri dati di pagamento da parte di soggetti diversi dalla nostra banca. A che pro? Più sicurezza, più trasparenza, più innovazione, più concorrenza.
PSD2, la parte normativa
Facciamo un passo indietro. Cos’è una direttiva? Uno studente di Giurisprudenza vi direbbe che, all’interno dell’Unione Europea, una direttiva è una delle cosiddette “fonti del diritto”, dotata di efficacia vincolante. Detta più semplicemente, una direttiva è a tutti gli effetti una legge, che viene in prima istanza adottata congiuntamente dal Parlamento europeo e dal Consiglio europeo, e che in virtù dei Trattati che hanno portato alla creazione dell’UE, saranno successivamente recepite dagli Stati membri: ovvero diventano legge in ogni singolo Stato.
A differenza dei Regolamenti, che devono essere applicati integralmente all’interno dell’Unione, la direttiva stabilisce un obiettivo che tutti i paesi dell’Unione devono realizzare, ma spetta poi a loro decidere come e con quali disposizioni nazionale raggiungerli.
PSD2, la parte tecnologica (tutto inizia con le API)
Adesso che abbiamo fatto questo bel ripassino di Diritto dell’Unione Europea, però, dobbiamo esplorare il contesto nel quale si muove la PSD2. Un contesto che non è solo norme, leggi, cavilli burocratici. Il contesto di una società in continua trasformazione in senso, soprattutto, tecnologico.
La crescente digitalizzazione degli ultimi anni, infatti, non ha cambiato solo il modo in cui interagiamo con i nostri dispositivi e, in subordine, il modo in cui i diversi dispositivi “dialogano” tra loro: ha cambiato (soprattutto) il modo in cui ciò che li fa “girare”, ovvero i software (e le app) vengono progettati e distribuiti. In questo nuovo perimetro tecnologico che potremmo definire “dall’iPhone in poi” o forse anche “da Facebook in poi”, si è andato affermando in modo esponenziale un nuovo modello di sviluppo, un nuovo “standard” nella creazione di applicazioni in un momento storico particolare dell’economia digitale: le Application Programming Interface (API), che in italiano potremmo tradurre come “interfaccia di programmazione di una applicazione”.
Vi siete persi? Dai, non ci credo, in fondo siamo tutti un po’ nerd! Allora ve la spiego così: prima i software, tutti i software, sin dai tempi di Dos e prima di Internet e delle reti, erano concepiti come monoliti: centinaia, migliaia, milioni e anche centinaia di milioni di righe di codice che “parlava” ad altro codice. E tutto all’interno di un unico “recinto”. Poi, col passare degli anni, è aumentata la capacità di calcolo dei nostri computer ma sono cresciute anche le infrastrutture telematiche, spianando la strada al cloud, che porterà con sé anche una re-ingegnerizzazione dei processi attraverso i quali le applicazioni sono sviluppate e dialogano tra di loro: inizia l’era dei “microservices” e delle interfacce che ne facilitano l’estensione.
Una vera e propria manna dal cielo per tutti gli sviluppatori, perché le API semplificano e velocizzano enormemente i processi. Ok, ve le spiego ancora più facili: sono come dei pezzi prefabbricati che che possono essere “installati” ovunque, sia all’interno di un piccolo monolocale che di un grattacielo di 80 piani. La differenza non è nel pezzo in sé, ma nell’uso che se ne vuole fare.
Così è nato l’Open banking
Quindi, una volta creato, anzi meglio re-ingegnerizzato il software, questo può fare qualsiasi cosa. Raccogliere e monitorare dati, ad esempio. Fatte le nuove autostrade tecnologiche, però, si rendeva necessario ripensare radicalmente anche l’impalcatura normativa che fino a non più di un decennio fa ha retto gran parte dei sistemi chiusi, a partire da quello bancario.
La gente in filiale ha iniziato ad andarci sempre meno, così come aveva già iniziato a fare con i negozi (“da Amazon in poi”, potremmo dire). Le banche, in onestà, avevano iniziato a investire diverse decine di milioni, miliardi in innovazione. Ma in questo nuovo mondo digitale non potevano più operare di fatto, da oligopoliste. Pur volendo, nel momento in cui le più grandi aziende al mondo sono le cosiddette “big tech” sarebbe impossibile anche solo pensarlo.
Così, dopo un primo tentativo avviato nel 2007 per dare ai Paesi dell’Unione Europea un quadro giuridico comunitario moderno, “da Facebook in poi” questo processo di allargamento normativo ha subito un’accelerazione senza precedenti.
E’ così che, nel 2018, si è arrivati alla Payment Services Directive 2 (PSD2), con l’obiettivo di modernizzare e rafforzare la regolamentazione del settore dei servizi di pagamento, in particolare per quanto riguarda l’utilizzo di nuove tecnologie e l’apertura del mercato a nuovi operatori, le cosiddette “terze parti”, favorendo la trasparenza, la sicurezza, l’innovazione e la concorrenza. Terze parti – comprese le cosiddette fintech e le aziende che sono fuori dal perimetro “tradizionale” del sistema bancario, definite Third Party Providers (TPP) – che dalla sua entrata in vigore hanno diritto di libero accesso al vero grande tesoro che, soldi a parte, era sempre sempre custodito esclusivamente da banche e società finanziarie: i dati dei clienti. Dati che sono riconosciuti da questa e altri regolamenti europei (a partire dal GDPR) come di esclusiva proprietà dei clienti/utenti/cittadini europei.
Nello specifico, queste terze parti sono a loro volta suddivise in PISP (Payment Initiation Service Providers), AISP (Account Information Service Providers), CISP (Card Issuers Service Providers). Una classificazione facilmente intuibile anche masticando poco la lingua inglese. Non entreremo nei tecnicismi. Non ora, visto che avete avuto già molta pazienza!
Quello che ci interessa è capire bene questo nuovo perimetro, perché ci siamo già dentro.
Questo nuovo perimetro si concretizza nel concetto di Open Banking, ovvero la condivisione di dati tra i diversi attori del sistema bancario, autorizzata dai clienti.
Perché la PSD2 non è affatto “pericolosa”…
“Ma quindi chiunque può accedere ai dati del mio conto?”. No, non facciamo confusione. I dati sono i tuoi, sempre. Prima dell’introduzione della PSD2, solo tu e la tua banca avevate accesso ai tuoi dati bancari, o meglio ai tuoi dati finanziari. Meglio ancora, alla gestione dei tuoi soldi. La PSD2 ha rotto questo paradigma, consentendoci di decidere a chi farli visualizzare e, soprattutto, utilizzare. In un’ottica sempre più “integrata”. Ed ovviamente, bene ripeterlo, solo e soltanto dopo aver ottenuto in modo inequivocabile il tuo consenso.
Per farci cosa? Ad esempio, le terze parti potrebbero combinare in un’unica interfaccia le transazioni da te effettuate con conti diversi, aiutandoti per esempio a pianificare il tuo budget, organizzare i pagamenti, simulare previsioni sulla tua vita finanziaria, offrirti consulenza. Oppure chissà, in un futuro non molto lontano potremmo avere frigoriferi che si approvvigionano da soli, acquistando il latte e pagandolo al supermercato (manco a dirlo, online) direttamente attraverso il nostro conto. Non è fantafinanza. Parafrasando Blaise Pascal in chiave PSD2, potremmo dire che tutte le buone tecnologie e le infrastrutture normative per farlo esistono già, resta solo da integrarle.
… al contrario, la PSD2 è il nostro cane da guardia!
E giova ribadire fino allo sfinimento che nessuno può avere libero accesso ai dati così facilmente. Ripetete con me: nessuna “terza parte” potrà accedere ai miei conti senza una mia specifica autorizzazione.
Ergo, se un’azienda chiede il mio consenso per accedere ai miei dati bancari, devo assolutamente sempre stare in guardia. Il web è oramai pieno di truffe che sfiorano il limite della perfezione, e che rendono sempre più difficile proteggersi da phishing (ovvero le truffe tramite email), smishing (quelle via SMS) o vishing (le più consolidate, ovvero al telefono).
La PSD2 obbliga banche e terze parti ad adottare misure di sicurezza adeguate per proteggere i dati dei clienti e garantire la sicurezza delle transazioni, introducendo il concetto di “accesso sicuro a distanza” (SCA).
Per far sì che passi il concetto “proteggersi, sempre”, deve valere soprattutto il contrario: ovvero, i clienti/utenti/cittadini devono essere messi nelle condizioni di essere ogni giorno più consapevoli di cosa voglia dire proteggere queste informazioni. Anche a costo di “stressarli”, ad esempio con una serie di obblighi a carico degli operatori di servizi di pagamento, come la verifica dell’identità dei clienti, all’interno di una “infrastruttura di autenticazione forte”, in altre parole l’obbligo di autenticazione a due fattori per tutti i pagamenti online effettuati con carte di credito o di debito. E infatti da qualche anno ci siamo abituati, ad esempio, oltre a inserire il nostro numero di carta e il codice di sicurezza, a fornire anche una seconda forma di autenticazione, come ad esempio un codice di verifica “usa e getta” che le piattaforme (comprese quelle della banca) generano e ci inviano via SMS per riconoscerci o per autorizzare la transazione.
In ultimo, un piccolo inciso: è importante sottolineare che la PSD2 non riguarda solo i servizi di pagamento online, ma anche i servizi di pagamento “fisici” tradizionali, come ad esempio gli assegni o le carte di credito.
Scenari (spoiler: evviva l’UE!)
Facile ipotizzare che arriveranno prossimamente una PSD3, o un GDPR2, eccetera. Ma a differenza di tutti quei dispositivi tecnologici che inseguiamo coi soldi in mano ad ogni aggiornamento, queste saranno sempre disponibili, immediatamente, a tutti. Per il semplice fatto di essere nati in Europa.
Mi sia passata questa piccola considerazione personale: in un contesto globale sempre più polarizzato tra Stati Uniti da una parte, per il software, e Asia dall’altro, per l’hardware, probabilmente noi europei stiamo giocando e giocheremo una partita completamente diversa: quella della consapevolezza.
E in questa partita in UE non esistono nemici. Banche, fintech, istituzioni, regolatori, cittadini, siamo già tutti dalla stessa parte del campo.
Aldo V. Pecora
