FinTech e PSD2: opportunità o minaccia per il Financial Services?

Con l'attuazione della PSD2, l'ago della bilancia tenderà verso coloro i quali sapranno sfruttare al meglio le risorse offerte da questa direttiva. Le FinTech saranno uno degli attori principali per garantire la Digital Innovation.

Introduzione

Entro la scadenza del gennaio 2018, tutti gli Stati membri dell'UE hanno recepito all'interno dei propri ordinamenti nazionali la nuova direttiva 'Payment Service Directive' (PSD2) in termini di pagamenti digitali, emanata dall'Unione Europea e dal Consiglio Europeo. La stessa normativa in termini di sicurezza delle autenticazioni dovrà invece essere recepita dagli Stati Membri entro settembre 2019.

L'obiettivo della normativa consiste nell'introdurre il mercato a nuovi servizi digitali (complementari agli attuali servizi di pagamento), cercando di standardizzare e agevolare i pagamenti digitali, garantendo la massima sicurezza e trasparenza per i clienti. I soggetti coinvolti nella normativa sono tutti coloro che offrono un servizio di pagamento: dalle banche alle assicurazioni, fino ai 'Third Party Providers' (TPP), servizi non sempre coincidenti con istituti bancari (e.g. Amazon, Google, Apple, Facebook). Il presente documento vuole dare una panoramica generale della normativa europea PSD2, chiarendo il contesto attuale e futuro che andrà ad impattare, gli attori coinvolti e gli scenari che si presenteranno.

Contesto

La continua evoluzione tecnologica e un maggior uso da parte degli utenti di strumenti tecnologici (tablet, smartphone, wereable) portano a un cambiamento nelle abitudini dei consumatori che effettuano ormai frequentemente pagamenti digitali. Tutto questo ha reso quindi necessaria la promozione e la regolamentazione del mercato dei pagamenti digitali.

La nuova Direttiva Europea sui servizi di pagamento si pone l'obiettivo di promuovere un mercato dei pagamenti digitali che sia efficiente e competitivo, rafforzando allo stesso tempo la sicurezza per il cliente nell'utilizzo dei pagamenti elettronici. In questo scenario, nel mercato saranno presenti, oltre gli attori principali e tradizionali del mercato, nuovi attori denominati 'Third Party Players'. La regolamentazione del mercato e dei suoi attori è dettata dai 'Regulatory Technical Standards' (RTS), mentre il trattamento dei dati sensibili, a prescindere dalla finalità di trattamento, è regolato dal 'General data protection regulation' (GDPR), il quale definisce anche le modalità con le quali i dati, in funzione della sensibilità, devono essere trattati contestualmente alla trasmissione degli stessi.

L’importanza di Fintech

.
Come definito da Banca d’Italia, il termine FinTech si riferisce alla Financial Technology, ossia all'offerta di servizi di finanziamento, di pagamento, di investimento e di consulenza ad alta intensità tecnologica, che comportano forti spinte innovative nel mercato dei servizi finanziari.

L’evoluzione del FinTech è stata molto veloce e ha coinvolto due categorie:

  • Servizi bancari: sono aziende che entrano in diretta concorrenza con le banche fornendo ai clienti offerte alternative a quelle tradizionali offerte dagli Istituti finanziari.

  • Aziende che si possono integrare in sistemi informativi bancari per digitalizzare i processi: un esempio di questa categoria sono le aziende che offrono soluzioni dette "RegTech", ovvero aziende che cercano di offrire, semplificare e automatizzare i processi di adeguamento ai requisiti normativi.

Con il grande consenso ricevuto da parte dei clienti finali, l’influenza che FinTech sta avendo sul mercato è in forte crescita, cosicché gli Istituti finanziari tradizionali stanno attivando collaborazioni e partnership per essere in linea con le richieste del mercato ed essere maggiormente efficienti per rispondere alle richieste degli utenti. Da qui nasce la partnership tra le startup FinTech, che hanno bisogno di capitali in quanto appena nate, e gli Istituti già presenti sul mercato, che hanno bisogno di innovazione e approcci moderni alle nuove tecnologie. Adottare questo tipo di partnership permette agli Istituti finanziari tradizionali di portare sul mercato rapidamente soluzioni innovative ed esternalizzare ricerca e sviluppo. D’altro canto anche alle società FinTech traggono beneficio dalla partnership, grazie all’accesso ed utilizzo di grandi quantitativi di dati necessari per lo sviluppo di nuovi modelli e di test. Questa collaborazione nell’ottica dell’integrazione e dell’innovazione è sì vantaggiosa ma allo stesso tempo non facile in termini sia gestionali che culturali. Gli Istituti tradizionali non sono in genere predisposti ad un veloce adeguamento al mercato a differenza delle nuove FinTech, nate in un contesto tecnologico avanzato e di conseguenza più flessibili di fronte ai vari cambiamenti. Con l’avvento del FinTech, gli Istituti Finanziari dovranno capire meglio la rapidità con cui la tecnologia evolve e dovranno essere al passo del cambiamento e delle innovazioni. Quindi è essenziale comprendere le esigenze dei clienti finali e come i concorrenti si stanno muovendo sul mercato. Per rimanere competitivi nel settore finanziario, nel presente e nel futuro, ed evitare quindi di diventare un semplice attore passivo del mercato, gli Istituti finanziari dovranno definire il percorso di innovazione finanziaria / tecnologica, considerandola pervasiva di tutti gli aspetti societari, piuttosto che essere considerata come una nuova iniziativa a sé stante. In conclusione, gli Istituti finanziari dovrebbero valutare le seguenti possibilità:

  • Considerare l’evoluzione tecnologica del mercato.

  • Valutare possibili partnership.

  • Integrarsi con le nuove società FinTech.

  • Sostenere l’innovazione.

  • Analizzare e fare azioni mirate alle esigenze del cliente.

  • Cambiare la cultura aziendale, convergendo verso l’innovazione.

Essere parte attiva nella PSD2: criticità e opportunità
Nell’ottica di recepire la nuova normativa, le banche dovranno attivarsi per analizzare i costi, le opportunità e il posizionamento derivanti dall’adozione della PSD2. Sicuramente un primo step sarà quello di essere compliant alla direttiva, quindi adeguare le infrastrutture ai cambiamenti richiesti dalle normative. L’approccio da intraprendere entro il 2019 sarà diverso in base alle dimensioni di una banca e alla strategia da adottare. Un approccio possibile è anche quello di stabilire alleanze con i nuovi operatori finanziari (cioè le FinTech- focus specifico del capitolo successivo). L’approccio di una banca di medie o piccole dimensioni potrebbe essere quello di fare investimenti per offrire maggiori servizi al cliente e maggiori servizi di aggregazione, come l’integrazione di informazioni provenienti da più istituti finanziari. L’approccio più consono ad una banca di grandi dimensioni, potrebbe essere invece quello di investire per arricchire l’offerta digitale permettendo di aumentare la clientela, operando quindi con grandi volumi di dati, in tale contesto quindi è necessario avere un team altamente preparato ed in linea con le nuove tecnologie. In entrambi i contesti, sia per le banche di piccole/medie o grandi dimensioni, risulta essere opportuno stipulare accordi con terze parti (FinTech), per rendere il servizio più efficiente e innovativo, acquisendo nuovi clienti sul mercato. In base alla strategia che ogni istituto finanziario deciderà di adottare, sarà comunque necessario che vengano coinvolte nel processo tutte le strutture facenti parte dell’organizzazione: dall’IT al business, al marketing, alla sicurezza e alla privacy. La PSD2 è una nuova opportunità per gli istituti finanziari di innovarsi, ma potrebbe anche comportare delle criticità. Le criticità maggiori che può incontrare una banca nell’adottare la PSD2 sicuramente sono in termini:

  • Tecnologici e di sicurezza: nel breve tempo si richiede che le banche siano compliant alle nuove normative, sia per quanto riguarda l’accesso ai conti da parte dei TPP, sia per quanto riguarda la maggiore sicurezza per i clienti, quindi ci si potrebbe trovare davanti a mancanza di competenze adeguate e/o infrastrutture adeguate.

  • Adeguamento all’RTS: tale adeguamento, comportando un alto grado di complessità, potrebbe rallentare il compimento di iniziative e progetti innovativi.

  • Vincoli di budget: sarà vietato agli istituti finanziari far ricadere sui propri clienti costi aggiuntivi nelle operazioni verso le TPP.

Uno degli obiettivi dell'entrata in vigore della PSD2 è quello di ampliare il mercato dei pagamenti regolarizzando l'azione dei nuovi metodi e attori di pagamento potenzialmente non bancari, quali i Third Party Providers (TPP):

  • PISP - 'Payment Initiation Service Providers'

  • AISP - 'Account Information Services Providers'

  • CISP - 'Card Issuer Service Provider' nei pagamenti digitali e introducendo inoltre maggiore sicurezza per i pagatori grazie a: standard sicuri per lo scambio di informazioni tra TPP e banche e rafforzamento del processo di autenticazione.

La nuova normativa si propone di rendere attiva una collaborazione fra gli istituti finanziari 'tradizionali' e gli istituti finanziari 'nuovi', nel rispetto dei requisiti che gli istituti devono garantire in termini di autenticazione e sicurezza. In questo contesto, se l'utente finale autorizza i TPP all'utilizzo delle proprie informazioni personali, le banche devono permettere l'accesso a dati e informazioni di conti bancari che potranno essere usufruiti dai TPP. Oltre alla collaborazione aperta tra banche e parti terze si aggiungono anche elevati standard di sicurezza, attraverso l'accertamento della identità al momento dell'autenticazione e unicità della transazione. Al fine di garantire una standardizzazione nella comunicazione tra banche e parti terze, la PSD2 introduce un documento di sintesi, il Regulatory Technical Standards (RTS), definendo regole sia per chi si avvale della Strong Customer Authentication (SCA), sia per chi decide di non si avvalersi della SCA. Tale documento definisce inoltre le regole da seguire in termini di sicurezza per l'utente finale. La direttiva apre la possibilità ai TPP di poter autonomamente farsi carico del processo di autenticazione dell'utente, previo consenso da parte delle banche. L'identità dell'utente dovrà comunque essere convalidata attraverso due o più strumenti di autenticazione, come: PIN, Token, impronta digitale o SCA. Tali strumenti di autenticazione devono essere conformi alle regole definite nel GDPR, che disciplina il trattamento dei dati sensibili e la sensibilità con cui vengono trasmessi. Con l'entrata in vigore quindi della nuova direttiva, si dà la possibilità all'utente, previo suo consenso, di poter accedere ai propri conti, movimenti, spese e così via, attraverso nuove applicazioni realizzate da terze parti, i Third Party Provider.

Uno tra i principali temi introdotti della PSD2, seppur non di immediato impatto in quanto entrerà in vigore con l'RTS a settembre 2019, è sicuramente il sistema di autenticazione sicura, il cosiddetto 'Strong Customer Authentication' (SCA). Con il termine SCA si intende un metodo di 'autenticazione forte' da applicare ogni qual volta l'utente accede online a un conto di pagamento, effettua operazioni per i pagamenti, od ogni operazione di pagamento in remoto da cui possa scaturire un rischio di frode o altri abusi. La SCA è un tema importante e obbligatorio nella nuova normativa in quanto pone l'attenzione sul miglioramento della sicurezza nei pagamenti digitali. Il sistema di autenticazione sicura è basata sull'utilizzo di almeno due dei fattori definiti di seguito:

  • Knowledge: ovvero qualcosa a conoscenza solo dell'utente, come password, PIN, domande di sicurezza, ecc.

  • Possession: ovvero qualcosa che ha a disposizione solo l'utente, come telefono, un token, una carta ecc.

  • Inherence: ovvero qualche caratteristica dell'utente, come un'impronta digitale, il riconoscimento facciale, la scansione dell'iride ecc.

Tutti questi elementi sono indipendenti tra di loro per evitare ogni forma di abuso e inaffidabilità. L'utilizzo di almeno due dei tre elementi porta alla generazione di un codice di autenticazione, mono-uso, che dovrà essere disponibile all'utente nel momento di necessità. Negli RTS viene definito anche che il codice di autenticazione sia specifico per l'importo dell'operazione che si sta effettuando, e che vengano tempestivamente informati sia il cliente che il beneficiario. In una prima fase la SCA sarà richiesta solo per due tipi di pagamento:

  • Pagamenti online dell'utente (per esempio un bonifico)

  • Pagamenti all'interno dell'Unione Europea (si intende il caso in cui l'istituto della carta di emissione dell'utente e il fornitore di servizi di pagamento abbiano sede in Europa)

Il servizio di Strong Customer Authentication sarà, come detto sopra, obbligatorio entro il 2019 ma l'EBA (European Banking Authority) negli RTS definisce anche dei particolari casi per i quali non è prevista l'utilizzo della SCA.

I casi per i quali è possibile non adottare la SCA sono i seguenti:

  • Beneficiari inclusi in whitelist gli utenti avranno la possibilità di inserire in una 'whitelist' (sia per pagamenti tramite carta che tramite bonifico) i beneficiari che ritengono sicuri e affidabili. Il Sistema di autenticazione sicura è richiesto solo una volta in fase di creazione della whitelist e per ogni volta che si modifica la hitelist, mentre per i successivi pagamenti non verrà più richiesta la SCA

  • Pagamenti ricorrenti non viene richiesta la SCA per pagamenti, bonifici ricorrenti e continuativi dello stesso importo e verso lo stesso beneficiario, a esclusione della prima operazione e/o in caso di modifica dell'importo e/o beneficiario

  • Transazioni di basso importo sono esenti da SCA, le transazioni con carte contactless che non superano i 50€ o tali per cui il totale dei pagamenti effettuati dall'ultima applicazione della SCA non superi i 150€

  • Transazioni aziendali sicure per i pagamenti che avvengono con carte aziendali è disponibile un'esenzione che prevede che la sicurezza sia raggiunta attraverso mezzi differenti dall'autenticazione

  • Consultazione del conto sono esenti gli accessi alla consultazione del conto dell'utente (AISP) ma è comunque prevista l'autenticazione al primo accesso

  • Pagamenti di basso importo esenti i pagamenti tramite canale remoto (PISP) con importo massimo di 10€ e importo cumulativo pari a 100€

  • Bonifici si intendono i bonifici effettuati dall'utente su conti correnti in una stessa banca, o su conti correnti di diversi istituti bancari ma intestati alla stessa persona.

Come già anticipato nei capitoli precedenti, per regolamentare i comportamenti nel nuovo contesto 'digitale', la Commissione Europea ha emanato degli standard tecnici, i 'Regulatory Technical Standard' (RTS), che tutti i player che operano sul mercato dovranno adottare. L'RTS definisce le regole tecniche e di sicurezza da seguire per applicare la nuova PSD2 in termini di:

  • Nuove collaborazioni con i TPP e quindi la gestione delle informazioni e l'accesso ai dati

  • SCA, autenticazione 'forte', e regole per l'esenzione

  • Requisiti tecnici per lo sviluppo e gestione della normativa

  • Requisiti di sicurezza per tutelare la riservatezza e l'integrità dei dati degli utenti

  • Verifica degli standard di sicurezza da parte di un terzo soggetto con documentazione da riportare all'EBA

  • Monitoraggio e tracciabilità delle transazioni dei pagamenti con un report periodico verso l'EBA

  • Struttura delle informazioni da notificare all'EBA

Altri temi che sono trattati all'interno dell'RTS, riguardano:

  • I criteri per valutare la rilevanza degli incidenti

  • Importo monetario dell'assicurazione

  • Procedure di reclamo

  • Informazioni riguardo l'atorizzazione agli istituti di pagamento

  • Applicazione di uno standard di comunicazione europeo ISO27001

Una tra le novità principali che sono introdotte negli RTS, in termini di partnership e colloqui tra banche e altri player, è che non viene definita una standardizzazione unica dei 'colloqui' ma gli Istituti classici devono impegnarsi a rendere disponibili:

  • le interfacce utili ad abilitare gli AISP e i PISP

  • i documenti tecnici necessari

  • le infrastrutture

  • eventuali modifiche

PISP e AISP si impegnano invece a rendere le loro applicazioni personalizzate per lo specifico player a cui rispondono, garantendo le stesse informazioni e servizi (con le opportune regole di sicurezza per quanto riguarda i dati di pagamento).

Conclusioni

Dall'entrata in vigore della PSD2, il 13 gennaio 2018, tutti gli Stati Membri dell'Unione Europea sono stati chiamati ad essere conformi alla nuova direttiva in termini di pagamenti digitali. Il contenuto della direttiva non è stato certamente di facile implementazione a causa delle molteplici innovazioni tecnologiche e dei livelli di sicurezza imposti. La PSD2 può essere considerata una direttiva complessa, ma allo stesso tempo altrettanto sfidante, che si pone l'obiettivo di sfruttare i dati degli utenti, grandi quantitativi di dati, portando ad una necessaria conoscenza e attenzione dei propri clienti. Tutto ciò si traduce in una maggiore attenzione nei confronti del cliente finale e in particolare ad una maggiore sicurezza e trasparenza, con la possibilità, per gli istituti finanziari, di innovarsi e aumentare servizi e prodotti offerti, ai fini di acquisire nuove fette di mercato. Per i clienti finali ciò si traduce invece in minor costi nei pagamenti e in altre operazioni online, con la possibilità di avere maggiori servizi e prodotti tecnologicamente avanzati.