Al fine di completare l’armonizzazione del mercato dei pagamenti all’interno dell’Unione Europea, già cominciata con la c.d. PSD11 in materia di servizi di pagamento, e di far fronte all’innovazione tecnologica che ha caratterizzato i servizi di pagamento nel sistema finanziario negli ultimi anni, è stata emanata la seconda Direttiva sui Servizi di Pagamento (Direttiva (UE) 2015/2366), nota come PSD2, volta a rendere il mercato europeo dei pagamenti più libero e competitivo, rendendo più efficienti le operazioni svolte nel mondo dell’e-commerce e al contempo garantendo la sicurezza e la tutela dei consumatori e condizioni di parità per i fornitori di servizi di pagamento e accessori. Tali obbiettivi vengono perseguiti all’interno di un contesto soggetto ad una costante evoluzione tecnologica2, che spinge verso un sempre più “cashless society” in cui sono nati nuovi operatori e nuovi servizi innovativi, che hanno dato vita al c.d. “open banking”.
Infatti, la Direttiva in esame rappresenta il passaggio normativo volto alla creazione e regolamentazione dei nuovi player del mondo dei servizi di pagamento, i Third Party Providers (c.d. TPP o Terze Parti), i quali, previa richiesta ed espressa autorizzazione del cliente, possono ottenere informazioni e disporre ordini di pagamento sui conti correnti, cui l’accesso è consentito dai player tradizionali – di cui il concetto di open banking. I player tradizionali quali banche e istituti di pagamento sono costretti a cedere il monopolio sui dati dei propri clienti, in favore dei TPP, tramite apposite interfacce informatiche definite API (Application Programming Interface), che consentono una rapida e sicura comunicazione tra software e consentono di gestire con rapidità lo scambio di informazioni tra gli operatori.
I TPP possono prestare principalmente due differenti tipologie di servizi tipizzati dalla nuova normativa3. Il servizio di disposizione di ordini di pagamento, o Payment Initiation Service – PIS (art. 4, n. 15, PSD2), è prestato dal provider c.d. PISP che intermedia il rapporto tra cliente e l’istituto di radicamento del proprio conto online (c.d. ASPSP, Account Servicing Payment Service Provider), tipicamente la sua banca, disponendo l’ordine di pagamento verso il conto di un terzo beneficiario4. Il servizio di informazione sui conti, o Account Information Service – AIS (art. 4, n. 16, PSD2), invece, fornisce all’utente titolare di uno o più conti accessibili online, informazioni consolidate relative a ciascuno di essi, quandanche radicati presso diversi soggetti, attraverso un’unica interfaccia online, restituendo i dati in maniera aggregata e secondo i criteri prescelti dal cliente5.
Dunque, mentre in precedenza l’intera esperienza dell’utente era controllata dal proprio ASPSP, oggi, al proliferare dei soggetti coinvolti nelle singole operazioni di open banking, i cui rapporti non sono necessariamente disciplinati da accordi preventivi, corrisponde il moltiplicarsi nuovi potenziali rischi, sia per gli utenti che per l’intero sistema. Per questo motivo, la PSD2 prevede una ripartizione delle responsabilità fra gli operatori coinvolti, affinché sia l’utente abbia chiari il ruolo e la responsabilità dei diversi soggetti coinvolti, egli compreso, sia gli ASPSP non si trovino più esposti a responsabilità non chiaramente definite rispetto a quelle dei TPP, posto che la normativa prevede che il servizio possa essere prestato all’utente indipendentemente dall’esistenza di un rapporto contrattuale con l’ASPS.
Inoltre, a presidio del rischio operativo cui sono soggetti i TPP, che dovranno essere in grado di far fronte alle responsabilità relative alle loro attività, la PSD2 prevede l’obbligo in capo ad essi di stipulare una polizza di assicurazione per la responsabilità civile per i danni eventualmente arrecati nell’esercizio della propria attività (art. 5, PSD2)6. In particolare, per i PISP, la polizza ha ad oggetto i rischi derivanti dal compimento di operazioni di pagamento non autorizzate e/o dalla mancata o inesatta esecuzione di ordini di pagamento, mentre per gli AISP oggetto di copertura sono i rischi derivanti dall’accesso fraudolento alle informazioni del conto di pagamento o dall’uso non autorizzato di queste.
Ai fini dell’autorizzazione ad operare e quindi dell’iscrizione nell’apposito Albo predisposto da Banca d’Italia, i TPP devono dotarsi di suddetta polizza, il cui massimale e condizioni minime sono stabilite dall’EBA (Orientamenti EBA/GL/2017/08 del 19/09/2017), che costituisce lo strumento con cui i TPP sopperiscono alla minore dotazione patrimoniale7, al fine di assicurare la copertura finanziaria per le eventuali ipotesi di responsabilità civile derivanti dai danni eventualmente arrecati, nell’esecuzione dei loro servizi, ai clienti, ai prestatori che forniscono e amministrano i conti di pagamento, o ai terzi.
Per quanto concerne l’oggetto dell’assicurazione, esso è rappresentato per il servizio PIS, dalla responsabilità di cui agli artt. 73, 89, 90 e 92 della PSD2, e dunque la polizza dovrà operare per i casi di responsabilità del provider nei confronti del pagatore per le operazioni di pagamento non autorizzate e per la mancata esecuzione o l’esecuzione inesatta o tardiva delle operazioni di pagamento, nonché nei confronti dell’ASPSP che eserciti il proprio diritto di regresso di quanto rimborsato al cliente danneggiato, laddove il PISP non riesca a fornire la prova liberatoria della correttezza ed autenticità dell’operazione posta in essere. Alla luce dell’obbligo degli ASPSP di rimborsare immediatamente, e in ogni caso entro la fine della giornata operativa successiva, l’importo dell’operazione di pagamento non autorizzata all’utente (art. 73.2, PSD2), la richiesta di risarcimento che attiva le garanzie della polizza in esame, sarà svolta dall’ASPSP, piuttosto che dal pagatore.
Con riferimento all’AISP, la polizza assicurativa avrà ad oggetto la responsabilità di questo nei confronti degli ASPSP o degli utenti dei servizi di pagamento derivanti dall’accesso non autorizzato o fraudolento alle informazioni del conto di pagamento o dall’uso non autorizzato o fraudolento delle stesse. In tal caso, si assiste ad un vuoto normativo, in quanto non esiste una previsione speculare all’art. 73, comma 2, PSD2. Per queste fattispecie, dovrà essere stabilito in via preliminare se il danno lamentato dall’utente è imputabile ad una condotta sostenuta dal TPP o dall’ASPSP, per poi stabilire su chi debba ricadere l’obbligo di risarcimento, con il conseguente impatto economico sulla polizza ovvero sulla dotazione patrimoniale del TPP e/o dell’ASPSP.
Pertanto, le conseguenze della responsabilità imputabile ai TPP sono ben differenti a seconda che si tratti di un PISP o di un AISP. Si deve considerare che i PISP hanno responsabilità rilevanti in quanto processano operazioni di pagamento in cui un grave errore potrebbe avere gravi conseguenze economiche, spesso irreparabili per utenti e banche. Sono invece differenti i rischi in cui può incorrere un AISP: questo accede a numerose informazioni bancarie e di pagamento di diversi utenti, cui sono collegati i rischi tipici del mondo cyber, quali la perdita o la diffusione di dati, da cui possono derivare non solo gravi danni economici all’utente vittima, ma soprattutto un danno reputazionale.
Gli orientamenti EBA su cui si deve fondare la costruzione della polizza assicurativa indicano che il massimale di polizza debba essere sufficiente a coprire i costi e le spese sostenute dagli utenti dei e dagli ASPSP che siano stati danneggiati a causa di una condotta del TPP, nonché il rimborso dovuto in virtù della proprie responsabilità, sulla base di un’autovalutazione effettuata dall’istituto stesso. Proprio in virtù delle differenti attività svolte da PISP e AISP e quindi delle responsabilità che possano derivare da eventuali errori commessi nello svolgimento delle stesse, la definizione dell’importo monetario del massimale di polizza può essere definito secondo quattro diversi criteri individuati dall’EBA, che tengono conto: del profilo di rischio, del tipo di attività e della dimensione dell’attività. Il calcolo dell’importo monetario minimo è poi effettuato – su base annuale – individuando l’importo relativo a ciascun criterio separatamente, i quali poi verranno sommati ed inseriti nell’equazione per cui la loro somma è uguale all’importo monetario minimo della polizza di responsabilità civile.
Ciascun criterio, a sua volta, considera diversi aspetti legati sia all’attività, sia al valore delle operazioni, che allo storico delle richieste di rimborso che il TPP in questione abbia ricevuto nel corso del tempo: tuttavia, poiché lo sviluppo di questi istituti è assai recente, alcune delle voci sono assai mutevoli oppure non possono essere compilate proprio a causa della nuova costituzione8. Anche per questo, la durata del periodo di assicurazione consigliato dall’EBA dovrebbe essere annuale, affinché le imprese effettuino la revisione dell’importo minimo necessario della polizza almeno una volta all’anno.
Infine, viene indicato che la valutazione di adeguatezza dovrà essere svolta dall’Autorità di vigilanza di ogni Paese Membro, sia in fase di accesso al mercato che in fase di regime, affinché venga assicurata la solvibilità finanziaria del TPP, anche analizzando eventuali franchigie o i c.d. “buchi di copertura” temporale, nonché la numerosità ed entità delle richieste di rimborso.
In definitiva, è evidente che sia dal punto di vista della costruzione della polizza che della definizione della responsabilità degli attori dell’open banking, la normativa e gli orientamenti che sono stati forniti contengono disposizioni molto astratte e molto generiche, in ragione del fatto che si tratta di disciplinare una realtà nuova ed in continua evoluzione. Anche dal punto di vista assicurativo, infatti, è consigliato di stipulare coperture di durata annuale e sottoposte ad una sorveglianza continua, forti del fatto che con lo studio delle fattispecie concrete degli incidenti che possono verificarsi, si potrà avere contezza dell’entità e della frequenza dei rischi che si corrono in questo nuovo contesto ricco di tante opportunità quanto di problematiche. Anche per queste ragioni è in corso una pubblica Consultazione sulla normativa in esame, indetta dalla Commissione europea, ai fini della definizione della revisione della PSD2 e per definire la c.d. PSD3.
1. Direttiva 2007/64/EC, c.d. PSD1, attuata nel nostro ordinamento attraverso il D.lgs. n. 11 del 2010.
2. Il considerando n. 3, PSD2, recita “La direttiva 2007/64/CE è stata adottata nel dicembre 2007, sulla base di una proposta della Commissione del dicembre 2005. Da allora, con la rapida crescita del numero di pagamenti elettronici e tramite dispositivo mobile e con la commercializzazione di nuovi tipi di servizi di pagamento, il mercato dei pagamenti al dettaglio ha registrato considerevoli innovazioni tecniche che rimettono in discussione il quadro attuale”.
3. Esiste altresì il servizio di pagamento basato sulle carte (Card Initiated Service – CIS), che richiede una procedura di controllo di disponibilità di fondi su un conto (fund checking) che l’utente detiene presso un altro prestatore di servizi di pagamento che non è preventivamente associato tramite un accordo contrattuale alla carta di pagamento, ai fini dell’esecuzione di un’operazione di pagamento. I relativi prestatori del servizio sono i c.d. CISP, Card Initiated Service Provider o CBPII, Card-Based Payment Instrument Issuers.
4. Si tratta quindi di una nuova opzione di pagamento digitale tramite bonifico tradizionale o istantaneo: i clienti effettuano pagamenti tramite bonifico direttamente dai canali del terzo beneficiario (sito e-commerce o canale di vendita fisico), con addebito dell’importo sul proprio conto.
5. Tramite l’AISP l’utente può ottenere una visione complessiva della propria situazione finanziaria, senza necessità di contattare singolarmente i vari prestatori di pagamento.
6. Il Considerando n. 35), PSD2 statuisce altresì che “l’ABE dovrebbe emanare orientamenti conformemente all’articolo 16 del regolamento (UE) n. 1093/2010 sui criteri da seguire da parte degli Stati membri per stabilire l’importo monetario minimo dell’assicurazione per responsabilità civile professionale o della garanzia comparabile”.
7. Per gli AISP non sono previsti requisiti patrimoniali minimi commisurati ai rischi assunti, mentre per i PISP essi sono pari al capitale minimo iniziale fissato dalla Banca d’Italia (pari ad € 50.000,00).
8. Ad esempio, dall’entrata in vigore e sino alla fine del 2020, “quattro istituti di moneta elettronica e tre istituti di pagamento sono stati autorizzati a svolgere servizi AIS e PIS in Italia, mentre due istituti di pagamento sono stati autorizzati a prestare in via esclusiva il servizio AIS”, Banca d’Italia, op. cit., p. 10.