IL QUADRO NORMATIVO DELLE TERZE PARTI (PSD2 - & - FinTech)

 


Il quadro normativo delle terze parti non ha la presunzione di fornire una informativa completa di questo processo innovativo digitale ma ha la pretesa di districarsi in un fenomeno complesso dal linguaggio tecnico che sintetizza una “rivoluzione in atto” tra soggetti bancari e, soggetti non bancari di matrice europea quali gli Istituti di pagamento i cui servizi rappresentano il “motore” di nuovi modelli di business per quelle imprese che intendono, in continuità, liberare valore aggiunto.

L’Autore.

 

Questo contributo si è ispirato significativamente a: “Quaderni di Ricerca Giuridica” degli avvocati di Banca d’Italia, e precisamente:

a) I Third Party Provider: profili soggettivi e oggettivi, di Vincenza Profeta, e,
b) Considerazioni in materia di contrasto del riciclaggio e del finanziamento del terrorismo in relazione a servizi con TPP, di Eugenio Maria Mastropaolo, che si ringraziano.



 

LA SINTESI

LEGENDA
[UTENTE DI SERVIZI DI PAGAMENTO] (o utilizzatore di servizi di pagamento) – persona fisica o giuridica che si avvale di un servizio di pagamento in qualità di pagatore, di beneficiario o di entrambi rivolgendosi al [PISP].
[AISP] – Prestatore di servizi di informazione sui conti (account information service provider) – Istituto di pagamento (IP) che offre il servizio di [AIS].
[AIS] - Servizio di informazione sui conti (account information service) – servizio online che fornisce informazioni consolidate relativamente a uno o più conti di pagamento detenuti dall’utente di servizi di pagamento presso un altro prestatore di servizi di pagamento o presso più prestatori di servizi di pagamento [ASPSP].
[PISP] Prestatore di servizi di disposizione di ordine di pagamento (payment initiation service provider) – Istituto di pagamento (IP) che presta il servizio di PIS.
[PIS] Servizio di disposizione di ordine di pagamento (payment initiation service) – servizio che dispone (inizia NDR) l'ordine di pagamento su richiesta dell'utente di servizi di pagamento relativamente a un conto di pagamento detenuto presso un altro prestatore di servizi di pagamento (Banca del pagatore NDR) (ASPSP).
[ASPSP]Prestatore di servizi di pagamento di radicamento del conto (account servicing payment service provider) – che gestisce il conto del cliente che sarà tramitato per eseguire l’operazione (Banca dell’Utente - Pagatore NDR).
1. I soggetti che erogano nuovi servizi di pagamento

1.1 Le nuove “FinTech”


Il Legislatore Europeo, nell’emanare la Direttiva Comunitaria PSD2 ha “tracciato un solco e indicato la via maestra”, elevando l’innovazione finanziaria unita alla tecnologia digitale (Modello FinTech dell’Open Banking”) a “motore” dei nuovi servizi di pagamento erogati dalle “Terze Parti”.

Nella direttiva PSD2 il rapporto Banche - FinTech è scritto in una logica concorrenziale ma va letto in una logica sinergica in cui la Banca, quale soggetto strutturato destinatario di significativi investimenti deve soddisfare le esigenze evolute dell’Utente Comunitario e, nel contempo, deve garantire la sicurezza finanziaria parte integrante della sicurezza sistemica.

Il binomio Banca-FinTech, a valle, integra:

a) Spazi condivisi per servizi condivisi;
b) Soggetti bancari che godono della fiducia relazionale ma che hanno implementato processi e presidi molto strutturati;
c) Soggetti FinTech che dispongono di una struttura snella caratterizzata da competenze tecnologiche–digitali finalizzate a soddisfare esigenze di efficacia, efficienza ed economicità di un Utente Europeo sempre più evoluto.

La logica concorrenziale si traduce in una logica sinergica misurata attraverso il valore aggiunto liberato.

1.2 Le PSD2 e le Terze Parti


La PSD2 con l’adozione del modello FinTech ha quindi generato nuovi diritti su cui si fondano nuovi servizi per il tramite dei nuovi soggetti coniati “TERZE PARTI”, le quali, conseguenzialmente, hanno rivoluzionato il sistema bancario stabilendo, di fatto, che i dati riportati sui conti non sono patrimonio della banca che li ha scritturati bensì del cliente che li ha posti in essere, e in quanto artefice, ne ha diritto all’utilizzo.

I nuovi soggetti sono individuati dalla stessa PSD2 negli “Istituti di pagamentoquando assumono il ruolo di Terze Parti ed esplicano la funzione di:

A. PISP (Payment Initiation Service Providers) - Prestatori di inizializzazioni di servizi che erogano i servizi di ordine di pagamento; e/o di
B. AISP (Account Information Service Providers) – Prestatori di servizi su informazioni conti.
C. CISP (Card Issuing Service Provider) prestatori che possono emettere carte di debito legate a conti accesi presso altri intermediari con la possibilità di interrogarne i conti per eseguire preventivamente il controllo fondi.

I CISP per la loro estrema peculiarità non saranno oggetto di approfondimento per cui, in prosieguo, saranno oggetto di argomentazione esclusivamente i servizi correlati ai soggetti PISP e AISP.



1.3 La “Famiglia” delle terze parti


Le Terze Parti vanno a far parte di una famiglia “allargata” intesa come soggetti che assumono il ruolo di Prestatori di Servizi di Pagamento che possono erogare anche altri servizi di pagamento ovvero svolgere altre attività, finanziarie o meno, ancorché contestuali. La famiglia è così composta:

1. AISP-Terza Parte - Istituto di pagamento che svolge esclusivamente il servizio di informazione sui conti (AIS) per cui si iscrive in una sezione speciale dell’albo degli Istituti di pagamento;
2. IP-Terza Parte: l’Istituto di Pagamento eroga servizi di PIS e AIS;
3. IMEL-Terza Parte: Istituto di Moneta Elettronica che eroga servizi di terze parti (PIS e AIS) in quanto IMEL che per sua natura può erogare tutti i servizi di pagamento e in aggiunta può emettere la (vera, ndr) moneta elettronica con lo strumento delle carte prepagate o conti prepagati;
4. IBRIDO FINANZIARIO-Terza Parte: Intermediario finanziario 106 TUB che integra l’attività caratteristica di concessione di finanziamento con erogazioni di servizi di pagamento caratteristici delle Terze Parti;
5. IBRIDO PURO-Terza Parte: Società commerciali – Società di produzione – Società di servizi, che integrano la funzione di terza parte con la costituzione di un patrimonio destinato.

Si evidenzia che relativamente all’Ibrido Puro-Terza Parte di cui al punto 5, il TUB prevede che gli Istituti di pagamento che svolgono anche attività imprenditoriali diverse dalla prestazione dei servizi di pagamento costituiscano per la prestazione dei servizi di pagamento un patrimonio destinato, per cui una società che ha il core business nelle attività commerciali, di produzione e o di servizi, ricoprirà la funzione di società gemmante con un patrimonio destinato che potrà erogare entrambi i servizi destinati alle terze parti.

Maggiori approfondimenti sono riportati nel “Quadro Normativo degli Istituti di Pagamento Finanziari

2. L’oggetto dei nuovi servizi di pagamento

2.1 I nuovi servizi


I nuovi servizi erogati dai nuovi soggetti (Terze Parti) sono così rappresentati:

1. [SERVIZIO DI DISPOSIZIONE DI ORDINE DI PAGAMENTO] [PIS - Payment Initiation Service] –in cui il PISP dispone l'ordine di pagamento su richiesta dell'utente di servizi di pagamento relativamente a un conto di pagamento radicato presso un altro prestatore di servizi di pagamento.
2. [SERVIZIO DI INFORMAZIONE SUI CONTI] [AIS - Account Information Service] -un servizio online che fornisce “informazioni consolidate” concernenti uno o più conti di pagamento detenuti dall’utente-richiedente presso un altro prestatore di servizi di pagamento o presso più prestatori di servizi di pagamento.
3. CIS (Card Issuing Service) Servizio di emissione carte di debito legate a conti accesi presso altri intermediari con la possibilità di interrogarne i conti per eseguire preventivamente il controllo fondi.

2.2 La riserva di attività dei nuovi servizi


La “riserva di attività” estrinseca, infatti, quel diritto che sottende un processo tecnologico, attivato digitalmente, in cui convergono più intermediari specializzati aventi ruoli diversi ma accomunati da un obiettivo specifico elevato a interesse comune. I soggetti che erogano i suddetti servizi sono infatti definiti Terze Parti in quanto sono soggetti terzi che si frappongono, appunto, nel rapporto Cliente-Banca sempre su richiesta e nell’ interesse del cliente medesimo.

La peculiarità della riserva di attività delle Terze Parti risiede nel costrutto che questi soggetti non detengono mai i fondi dei clienti, anche se in base al consenso esplicito dei clienti:

A. “Impartiscono” un ordine di bonifico o di pagare (PISP); e/o
B. Forniscono” informazioni sui conti (AISP).



3. Le regole dei nuovi servizi

3.1 Le norme comunitarie e i diritti connessi ai nuovi servizi


La riserva di attività viene fondamentalmente tutelata, dall’art 37 della PSD2 che impone il divieto di prestare servizi di pagamento da parte di soggetti non appositamente autorizzati andando ad annoverare specificatamente gli “istituti di pagamento”, disciplinandone regole, diritti e obblighi.

L’autorizzazione per l’esecuzione dei servizi di disposizione di ordini di pagamento (PIS) e servizi di informazione sui conti (AIS) materializza quindi il diritto all’iscrizione dell’istituto di pagamento (e dei relativi agenti) in un “pubblico registro rappresentato dall’ALBO” - che a sua volta fa nascere il diritto a svolgere l’attività riservata. Questo registro è liberamente consultabile, accessibile online e tempestivamente aggiornato, presso lo Stato membro di origine (art. 14, commi 1 e 2, PSD2) e il diritto di svolgere attività riservata di cui gli AISP – operatori esentati - sono riportati in un’apposta sezione. La stessa iscrizione viene eseguita nel registro unico elettronico centralizzato tenuto dall’European Banking Authority (EBA), di nuova istituzione, all’interno del quale sono riportate tutte le informazioni nei rispettivi registri nazionali che funge quindi da registro generale unitario. Il registro dell’EBA, pubblicato sul sito web dell’Autorità e consultabile gratuitamente, consente al cittadino facile accesso e agevole ricerca delle informazioni.

I nuovi diritti vengono inoltre tutelati dall’obbligo della polizza assicurativa per la responsabilità civile professionale valida in tutti i territori in cui prestano i loro servizi (domestici e comunitari), ovvero altra analoga garanzia, finalizzata alla copertura della riveniente dalle seguenti attività: a) Compimento di operazioni non autorizzate (art. 73); b) Mancata, inesatta o tardiva esecuzione delle operazioni di pagamento (artt. 89 e 90); c) Esercizio del regresso da parte di altri prestatori di servizi di pagamento (art. 92). L’EBA avendone titolo interviene nel definire (in base all’art. 5.4 della PSD2) i criteri per quantificare l’importo minimo dell’assicurazione per la responsabilità civile professionale, (o di altra comparabile garanzia), relativamente ai servizi PIS e AIS con la peculiarità che mentre il servizio di disposizione di ordini di pagamento (PIS), è relazionato al valore delle operazioni disposte, il servizio di informazione sui conti (AIS) è relazionato al numero dei clienti che fruiscono dei servizi di informazione sui conti

3.1.1 Requisiti connessi ai nuovi diritti all’interno della PSD2


Il diritto a svolgere una attività riservata viene, in particolare, preventivamente riconosciuto inizialmente e in continuità, dall’implementazione di una “politica di sicurezza”, che modula presidi organizzativi e di controllo concernenti dati e informazioni, in quanto esposti alla frode e uso illegale di dati sensibili.

Gli istituti di pagamento, detentori del diritto devono, quindi, preventivamente individuare idonee misure di controllo volte a mitigare i rischi in materia di sicurezza andando a specificare le modalità con cui viene garantito il livello elevato di sicurezza tecnica e di protezione dei dati finalizzati a ridurre il rischio connesso ad un livello considerato accettabile. Gli stessi istituti di pagamento devono quindi descrivere le procedure esistenti per monitorare e gestire gli incidenti relativi alla sicurezza e i reclami dei clienti in materia di sicurezza; aspetti, dispensabili dall’EBA. La PSD2, infatti, ha previsto elevati profili di sicurezza informatica finalizzati a tutelare l’integrità e quindi la continuità operativa dell’istituto, a fronte di una sottesa struttura tecnologica destinataria di una attività di controllo da parte dell’Autorità di vigilanza .



3.1.2 Gli OBBLIGHI previsti dalla PSD2


Gli istituti di pagamento che ottengono la specifica autorizzazione a erogare tali servizi assumono il ruolo di TPP (terze parti), sono, come tali, assoggettati a vigilanza informativa e ispettiva delle autorità nazionali competenti e alle raccomandazioni e agli orientamenti dell’EBA e ai provvedimenti amministrativi connessi (art. 23, comma 1, par. 2 lett. c)). L’autorità di competenza può, di converso adottare provvedimenti di sospensione o revoca dell’autorizzazione al ricorrere delle condizioni previste dall’art. 13 della PSD2 (art. 23, comma 1, par. 2 lett. d)) e comminare sanzioni amministrative nei confronti di detti intermediari o di coloro che di fatto controllano l’attività degli istituti di pagamento che si sono resi colpevoli di infrazioni alle disposizioni legislative, regolamentari o amministrative in materia di vigilanza o di esercizio dell’attività di servizi di pagamento, o adottare nei loro confronti provvedimenti la cui applicazione è diretta specificamente a far cessare le infrazioni accertate o a rimuoverne le cause (art. 23, comma 2)

3.2 La normativa Primaria


Il decreto legislativo n. 218/2017 ha recepito la normativa comunitaria, trasfondendola nel Testo Unico Bancario, e, precisamente, nella parte in cui disciplina gli istituti di pagamento (Titolo V-ter) unitamente alla trasparenza dei rapporti dei prestatori di servizi di pagamento con i clienti (Titolo VI), unitamente al decreto legislativo n. 10/2011, modificando conseguenzialmente rapporti contrattuali tra i prestatori di servizi di pagamento e i clienti.

La nuova disciplina ha quindi modificato e ampliato i servizi di pagamento, con la rivisitazione - descrittiva e contenutistica - del nuovo servizio di disposizione di ordini di pagamento (PIS) e l’aggiunta del nuovo servizio di informazione sui conti (AIS): (rispettivamente cfr. art. 1, lett. h-septies.1, nn.7) e 8) TUB). Il TUB integra la nuova attività riservata, (art.114-sexies) per il combinato disposto dell’art. 131-ter.

3.3 Normativa secondaria di settore


Per fruire del diritto di svolgere la nuova attività riservata i soggetti preposti devono essere autorizzati e iscritti nell’Albo degli Istituti di pagamento – ex art 114 septies TUB per i servizi PIS e AIS ovvero nella sezione speciale dell’Albo se richiesto esclusivamente il servizio AIS, conformandosi alle disposizioni di settore che prevedono peculiarmente:

a. Il programma di attività correlato ai nuovi servizi di pagamento;
b. Il piano aziendale che dimostri che il richiedente sia in grado di utilizzare “sistemi, risorse e procedure” adeguati e proporzionati, finalizzati ai nuovi servizi e a conseguire una sana e prudente gestione;
c. La procedura di monitoraggio e gestione degli incidenti relativi alla sicurezza;
d. La procedura di archiviazione, monitoraggio e gestione dei dati sensibili relativi ai pagamenti; la procedura che assicuri la continuità operativa;
e. Il documento relativo alla politica di sicurezza;
f. La copertura assicurativa ovvero la stipula di un’analoga garanzia per la responsabilità nei confronti del prestatore di servizi di pagamento di radicamento del conto o dell’utente dei servizi di pagamento derivante dall’accesso non autorizzato o fraudolento alle informazioni del conto di pagamento o dall’uso non autorizzato o fraudolento delle stesse.

L’Autorità, nello specifico, procede preliminarmente ad un esame che annovera procedure e documenti che impone una valutazione di merito in particolare di carattere tecnico oltre che di sostenibilità soggettiva e organizzativa in quanto i nuovi soggetti “subentrano” nei processi informatici di banche nazionali ed estere esponendole al rischio medesimo.

La normativa secondaria degli istituti di pagamento si integra peculiarmente di misure connesse al rischio informatico di cui l’EBA va a disciplinare disposizioni cogenti. La normativa secondaria rafforza le misure organizzative di cui gli IP devono dotarsi attraverso efficaci presidi dei rischi, che vanno a garantire elevati livelli di sicurezza dei pagamenti.

Per quanto concerne l’ubicazione, i nuovi istituti di pagamento nascenti in Italia devono avervi la sede, dove svolgono almeno “una parte della loro attività” di erogazione di servizi di pagamento (art. 114-novies, comma 1, lett. b) unitamente a:

Il rilascio dell’autorizzazione all’esito della verifica dei requisiti previsti dalla normativa primaria e secondaria (disposizione di vigilanza degli istituti di pagamento e moneta elettronica) (art. 114-novies, TUB);
La verifica nel continuo del possesso di detti requisiti attraverso l’azione di vigilanza;
La presenza ex art 114-septies, TUB nell’albo nazionale, consultabile liberamente online tenuto dalla banca d’Italia.



3.4 Le agevolazioni del servizio informazione sui conti (AIS)


Gli Istituti di Pagamento che svolgono soltanto l’attività di informazione (AIS), a fronte di modeste penalizzazioni godono di significativi vantaggi in termini di barriere all’entrata. Infatti mentre non possono svolgere attività accessoria riconducibile alla concessione di credito e di prestazione di garanzia o di gestione di sistemi di pagamento (art. 114-octies TUB) sono sollevati da specifici adempimenti quali:

a. Le norme di tutela sulle partecipazioni azionarie,
b. Le norme concernenti i requisiti di onorabilità e correttezza dei partecipanti al capitale (art.114-undecies, commi 1 e 1ter, TUB) (1) e,
c. Disposizioni concernenti i conti di pagamento e il patrimonio destinato (114-duodecies e 114-terdecies TUB) (2).

______________________________

Articolo 114-undecies
1
. Agli istituti di pagamento si applicano, in quanto compatibili, le disposizioni contenute negli articoli 19, 20, 21, 22, 23, 24, 52, 139 e 140 nonché nel titolo VI. I provvedimenti previsti nell’articolo 19 sono adottati dalla Banca d’Italia 1-ter. Ai titolari delle partecipazioni indicate all’articolo 19 in istituti di pagamento si applica l’articolo 25, ad eccezione del comma 2, lettera b); il decreto di cui all’articolo 25 può prevedere l’applicazione dei criteri di competenza definiti ai sensi del medesimo articolo, comma 2, lettera b), avuto riguardo alla complessità operativa, dimensionale e organizzativa degli istituti, nonché alla natura specifica dell’attività svolta.
Articolo 114-duodecies - (Conti di pagamento e forme di tutela)
1. Gli istituti di pagamento registrano per ciascun cliente in poste del passivo, nel rispetto delle modalità stabilite dalla Banca d’Italia, le somme di denaro della clientela in conti di pagamento utilizzati esclusivamente per la prestazione dei servizi di pagamento. 1-bis. Gli istituti di pagamento che prestano i servizi di pagamento di cui all’articolo 1, comma 2, lettera h-septies.1), numeri da 1 a 6, tutelano tutti i fondi ricevuti dagli utenti di servizi di pagamento, ivi inclusi quelli registrati in conti di pagamento di cui al comma 1 e tramite un altro prestatore di servizi di pagamento per l’esecuzione di operazioni di pagamento, secondo quanto previsto al comma 2.
Articolo 114-terdecies - (Patrimonio destinato)
1. Gli istituti di pagamento che svolgano anche attività imprenditoriali diverse dalla prestazione dei servizi di pagamento, autorizzati ai sensi dell’articolo 114-novies, comma 4, devono costituire un patrimonio destinato per la prestazione dei servizi di pagamento e per le relative attività accessorie e strumentali. A tal fine essi adottano apposita deliberazione contenente l’esatta descrizione dei beni e dei rapporti giuridici destinati e delle modalità con le quali è possibile disporre, integrare e sostituire elementi del patrimonio destinato. La deliberazione è depositata e iscritta a norma dell’articolo 2436 del codice civile. Si applica il secondo comma dell’articolo 2447-quater del codice civile
.

4. Le peculiarità dei nuovi servizi PIS e AIS

4.1 Le caratteristiche dei servizi PIS e AIS

4.1.1 Le caratteristiche comuni


Le Terze Parti sono quindi rappresentate dagli Istituti di Pagamento che stabiliscono un rapporto contrattuale con il cliente-committente, per conto del quale dispongono l’ordine di bonifico (PIS), oppure con il cliente-utente al quale forniscono le informazioni sui conti (AIS); gli stessi Istituti di pagamento non sono obbligati ad instaurare un rapporto contrattuale con i prestatori di servizi di pagamento del conto (ASPSP), con i quali sono invece obbligati ad interagire in maniera sicura in conformità alle norme tecniche di regolamento adottate dalla commissione europea per il tramite della EBA.

La PSD2, ha “limitato il dialogo” tra (le banche degli utenti) i prestatori di radicamento del conto (ASPSP) e nuovi I.P. (TPP) disponendo che gli istituti di Pagamento che forniscono servizi di disposizione di ordine di pagamento (PIS) e di informazione sui conti (AIS) non assumono una “relazione contrattuale” con la banca o meglio con il diverso prestatore di servizi che detiene il conto.

La PSD2 ha quindi cristallizzato questo diritto di favorire la libertà e l’economicità in capo al cliente-utente per cui le banche del cliente (o meglio gli ASPSP quali prestatori di servizi di pagamento di radicamento del conto) non possono rifiutare l’accesso né discriminare i TPP.



4.1.2 L’accesso ai conti tramite i servizi AIS e PIS


La modalità di accesso ai conti è l’elemento informatico trainante che automatizza, velocizza e “blinda” l’esecuzione della operazione e nel contempo si rende garante della sicurezza dei fondi e dei dati in modo tale da prevenire frodi informatiche: la direttiva infatti ne ha puntualizzato le caratteristiche. Tutti i soggetti, quindi, devono comunicare reciprocamente “in maniera sicura conformemente all’articolo 98, paragrafo 1, lett. d)” della PSD2, ovvero nel rispetto delle norme tecniche che sono state introdotte per garantire:

a. Un livello adeguato di sicurezza per gli utenti e i prestatori di servizi di pagamento mediante l’adozione di requisiti efficaci e basati sul rischio;
b. La sicurezza dei fondi e dei dati personali degli utenti;
c. La concorrenza equa tra i prestatori di servizi di pagamento;
d. La neutralità dei modelli tecnologici e commerciali e permettere lo sviluppo di mezzi di pagamento accessibili, innovativi e di facile utilizzo.

La Commissione Europea nel rafforzare i presidi dei rischi informatici ha imposto l’obbligo in capo ai prestatori di servizi di pagamento della “autenticazione forte” (SCA) del cliente in sede di accesso e di operatività del suo conto online.

Il regolamento comunitario nel fissare le “regole” ne individua le “eccezioni”. Nello specifico, con l’autenticazione forte (SCA), sono individuate una serie di fattispecie classificate a basso rischio di frode, “in relazione alla tipologia di operazione, alle modalità con le quali la stessa è compiuta, ai beneficiari del pagamento (3) ovvero, semplicemente, all’importo dell’operazione.
Le Terze parti quali soggetti preposti, svolgenti attività riservata devono quindi implementare “tecniche di crittografia” finalizzate ad assicurare la riservatezza e l’integrità dei dati durante lo scambio dei dati via Internet con la peculiarità che ciascuna sessione deve avere una durata quanto più breve possibile. Questa “regola informatica” è finalizzata a garantire la sicurezza dei fondi e la sicurezza dei dati di pagamento in quanto esposti alla frode informatica, per cui vanno debitamente rilevati, evidenziati, e monitorati gli elementi negativi manifestati in itinere.

Parimenti, con il generale il recepimento della disciplina comunitaria, sono stati introdotti anche i limiti all’accesso ai conti di pagamento da parte dei terzi prestatori di servizi di pagamento (art. 6-bis d.lgs. n. 11/2010), in base ai quali, gli ASPSP (Banche del cliente) possono rifiutare l’accesso “per giustificate e comprovate ragioni connesse all’accesso fraudolento o non autorizzato al conto di pagamento” da parte dei prestatori di servizi di informazione sui conti o di disposizione di ordine di pagamento, “compresi i casi di ordini di pagamento fraudolenti o non autorizzati”.

In questo caso, il prestatore di radicamento del conto (ASPSP) deve informare gli istituti di pagamento quali TPP - possibilmente prima di formalizzare il rifiuto-, comunicandone i motivi, fatto salve ragioni di ordine pubblico o di pubblica sicurezza, individuate con proprio regolamento dal Ministro dell’economia e delle finanze ovvero per altri giustificati motivi connessi con l’applicazione delle disposizioni in materia di riciclaggio e finanziamento del terrorismo. Il suddetto “rifiuto di accesso al conto” unitamente alle ragioni sottese vanno comunicati immediatamente anche alla Banca d’Italia, la quale “effettua le valutazioni di competenza e, ove necessario, adotta le misure ritenute opportune” (art. 6-bis, comma 2, d.lgs. n. 10/2011).

_____________________________

(3) È il caso dei beneficiari di fiducia (art. 13 del regolamento di attuazione 2018/389/UE) o dei bonifici effettuati tra conti intestati al medesimo soggetto (art. 15 del regolamento di attuazione 2018/389/UE).

4.1.3 La disciplina contrattuale delle Terze Parti


I contratti che disciplinano l’erogazione del servizio di disposizione di ordine di pagamento (PIS), rientrando nella categoria dei contratti di servizi di pagamento, in quanto tali, sono soggetti, alla trasparenza delle condizioni contrattuali e dei rapporti con i clienti, come richiamato all’art. 114-undecies, comma 1, del TUB unitamente alle disposizioni secondarie in materia di trasparenza emanate dalla Banca d’Italia.

Nello specifico i PISP, quali soggetti che erogano il servizio di disposizioni ordini di pagamento, hanno l’obbligo di stipulare il contratto quadro e di fornire le informazioni indicate dalle disposizioni secondarie della Banca d’Italia (cfr. artt. 126-quinquies e 126-quater TUB) oppure quelli per l’esecuzione di operazioni isolate, per gli obblighi informativi contrattuali concernenti le operazioni di pagamento per le quali hanno disposto l’ordine di pagamento.

Il servizio AIS, quale servizio di informazione sui conti, invero prevede l’applicazione di norme speciali, che disciplinano forma e modalità di redazione del contratto, sia relativamente ai contratti quadro, che ai contratti relativi ad operazioni di pagamento compiute in forma isolata.

Gli obblighi quindi di trasparenza delle Terze Parti (TPP) nei rapporti con la clientela attengono conseguenzialmente alla vigilanza della Banca d’Italia che può richiedere agli istituti di pagamento nel ruolo Terze Parti come negli altri servizi di informazioni, atti e documenti nonché eseguire ispezioni” (art. 128, comma 1, TUB) e, nel caso di riscontrate irregolarità, può adottare misure di sospensione o di inibizione dell’attività o dell’offerta, promozione o conclusione di specifici contratti, nonché la restituzione di somme indebitamente percepite, disponendo anche forme di pubblicità di tali misure (art. 128-ter TUB).

Il legislatore primario ha quindi stabilito che l’illecito amministrativo dell’istituto di pagamento e violazione di alcune specifiche disposizioni del titolo VI del TUB tra cui:

a. L’obbligo di fornire le informazioni relative alle operazioni di pagamento e ai contratti di cui all’art. 126-quater e 126-quinquies, comma 2, (applicabili anche agli AISP);
b. Il rispetto delle disposizioni sulla modifica unilaterale delle condizioni di contratto e sul recesso, ex artt. 126-sexies e 126-septies;
c. L’obbligo di rispettare le misure inibitorie disposte dall’Autorità di vigilanza ex art. 128-ter del TUB;
d. L’inosservanza delle norme contenute nel richiamato art. 128, comma 1, ovvero la condotta di ostacolo all’esercizio delle funzioni di controllo previste dal medesimo articolo;
e. L’obbligatoria adesione ai sistemi di risoluzione stragiudiziale delle controversie e al rispetto delle misure inibitorie adottate dalla Banca d’Italia in forza del richiamato art. 128-ter (art. 144, commi 1 e 4, TUB).

La sanzionabilità delle condotte illecite presuppone che le infrazioni rivestano carattere rilevante, secondo i criteri definiti dalla Banca d’Italia con provvedimento di carattere generale, tenuto conto dell’incidenza delle condotte sulla complessiva organizzazione e sui profili di rischio aziendali (art. 144, comma 8, TUB).



4.2 Le Modalità operative nell’esercizio del servizio PIS


Il PISP per la sua caratteristica di Terza Parte (TPP) ha il naturale “diritto di accedere ai conti dell’utente”, in quanto preventivamente autorizzato da quest’ultimo. Il bonifico, quale strumento di pagamento, quindi non viene eseguito direttamente dal cliente che comunque lo autorizza ma per il tramite da un terzo intermediario, il -PISP- e, comunque, a valere sul conto del medesimo cliente. Il processo del pagamento si articola quindi nei seguenti canoni: Il prestatore di servizi di disposizione di ordine di pagamento (PISP):

a. Non detiene in alcun momento i fondi del pagatore in relazione alla prestazione del servizio di disposizione di ordine di pagamento;
b. Provvede affinché le credenziali di sicurezza personalizzate del pagatore non siano accessibili ad altri fuorché' al pagatore stesso e all'emittente delle credenziali di sicurezza personalizzate e che esse siano trasmesse attraverso canali sicuri ed efficienti;
c. Provvede affinché qualunque altra informazione sul pagatore, ottenuta nella prestazione del servizio di disposizione di ordine di pagamento, sia fornita esclusivamente al beneficiario e solo con il consenso esplicito del pagatore;
d. Si identifica, ogni volta che dispone un ordine di pagamento, presso il prestatore di servizi di pagamento di radicamento del conto del pagatore, comunicando con quest'ultimo, il pagatore e il beneficiario in maniera sicura, in conformità a quanto previsto dall'articolo 98, paragrafo 1, lett. d), della direttiva (UE) 2015/2366 e dalle relative norme tecniche di regolamentazione adottate dalla Commissione europea;
e. Non chiede al pagatore dati diversi da quelli necessari per prestare il servizio di disposizione di ordine di pagamento; non usa né conserva dati né vi accede per fini diversi dalla prestazione del servizio di disposizione di ordine di pagamento e non conserva dati sensibili relativi ai pagamenti del pagatore;
f. Non modifica l'importo, il beneficiario o qualsiasi altro dato dell'operazione;
g. Quando dispone un ordine di pagamento mette a disposizione del prestatore di servizi di pagamento di radicamento del conto il riferimento dell'operazione di pagamento.

L’applicazione caratteristica del PIS è rappresentata dall’esecuzione del commercio elettronico tramite operazioni di pagamento online in cui vi è un rapporto diretto fra il fornitore del bene/servizio e l’istituto presso cui il cliente detiene il conto oppure in caso di accordo tra banche che consente di pagare con immediata certezza del buon esito per il fornitore convenzionato, ovvero grazie all’intermediazione di un nuovo soggetto terzo.

4.3 Le Modalità operative nell’erogazione del servizio AIS


l’AISP (Account Information Service Provider), sempre previo consenso del cliente, accede ai conti online del Cliente-Committente aperti presso altri intermediari (l’ASPSP) e modula l’acquisizione di informazioni consolidate, (p.e. saldo del conto, operazioni eseguite nel periodo a una o più date, etc.): in modo tale che lo stesso cliente possa disporre di informazioni aggiornate sulla propria situazione finanziaria, senza dover accedere separatamente ovvero in momenti diversi a tutti i conti online di cui è titolare.

Il servizio AIS di informazione sui conti viene quindi erogato per il tramite di tecnologie digitali, e tramitato con applicazioni sviluppate su specifici strumenti (es. cellulari); per cui l’utente installa preventivamente l’applicazione e l’APP sul proprio cellulare come strumento e vi registra i propri conti accessibili online: a questo punto l’AISP è automaticamente autorizzato ad accedere ai conti registrati dell’utente e prestare anche ulteriori servizi che comunque necessitano di specifica accettazione al cliente.

Il prestatore di servizi di informazione sui conti rispetta i seguenti canoni:

a. Presta il proprio servizio unicamente sulla base del consenso esplicito dell'utente;
b. Provvede affinché le credenziali di sicurezza personalizzate dell'utente non siano accessibili ad altri fuorché all'utente stesso e all'emittente delle credenziali di sicurezza personalizzate e che esse siano trasmesse attraverso canali sicuri ed efficienti;
c. Si identifica per ogni sessione di comunicazione, presso il prestatore o i prestatori di servizi di pagamento di radicamento del conto, comunicando con questi e con l'utente in maniera sicura, conformemente all'articolo 98, paragrafo 1, lett. d), della direttiva (UE) 2015/2366 e alle relative norme tecniche di regolamentazione adottate dalla Commissione europea;
d. Accede soltanto alle informazioni sui conti di pagamento designati e sulle operazioni di pagamento effettuate a valere su tali conti, non richiede dati sensibili relativi ai pagamenti;
e. Non usa, né conserva dati, né vi accede per fini diversi dalla prestazione del servizio di informazione sui conti, conformemente alle norme sulla protezione dei dati.

Di converso, l’ASPSP (comunemente Banca dell’utente) in forza della PSD2 deve consentire l’accesso ai conti da parte dell’AISP che si identifica secondo le modalità stabilite dalle norme tecniche elaborate dalla PSD2 medesima stabilite dall’EBA.

In caso di accesso non autorizzato ai propri conti o di cessione non autorizzata di dati a terzi, il cliente deve rivolgersi all’AISP o all’ASPSP, in relazione della fattispecie concreta verificatasi, in quanto:

A. l’AISP è responsabile in caso di accesso ai conti in assenza di esplicito mandato conferito dal cliente, di accesso secondo modalità diverse rispetto alle pattuizioni contrattuali, nonché in caso di cessione a terzi di tali dati in mancanza di un preventivo esplicito consenso, mentre,
B. l’ASPSP è responsabile nei confronti del cliente del mancato rispetto dell’obbligo di verifica della corretta identificazione e autenticazione dell’AISP al momento dell’accesso ai conti. L’ASPSP è altresì chiamato a rispondere nei confronti del cliente anche nel caso in cui abbia consentito l’accesso all’AISP oltre quattro volte nell’arco di 24 ore (a meno che non risulti una diversa pattuizione contrattuale) o a seguito di revoca del consenso dell’utente.



4.4 Il consenso alla prestazione dei nuovi servizi


Per accedere ai conti, gli Istituti di pagamento quando assumono il ruolo di TPP, necessitano preventivamente del consenso esplicito del cliente-committente-utente, ovvero dell’utente nel caso del servizio di informazione sui conti, per lo svolgimento dei nuovi servizi di pagamento (artt. 5-ter, comma 2, lett. c), e (5-quater, comma 2, lett. a), d.lgs. n. 11/2010). È usuale che ciò venga prestato in maniera informatica considerata la natura informatica dell’attività da essi svolta e le modalità con cui essi interagiscono con gli utenti. Le modalità di prestazione del consenso per l’esecuzione della singola operazione di pagamento rientrano nel contratto quadro che regola lo svolgimento del servizio.

In particolare, il carattere esplicito del consenso a disporre l’esecuzione di un ordine di pagamento inerisce all’importo del pagamento, al beneficiario e ad ogni altro dato dell’operazione nonché alla disponibilità a fornire al beneficiario qualunque informazione ottenuta nella prestazione del servizio di disposizione di ordine di pagamento. Il prestatore che dispone l’ordine non può modificare i dati forniti.

Il consenso ad eseguire la disposizione di ordine di pagamento non va necessariamente replicato nei confronti del prestatore di pagamento di radicamento del conto in quanto l’art. 62, comma 2, PSD2, che dispone “il consenso ad eseguire un’operazione di pagamento può anche essere prestato tramite il prestatore di servizi di disposizione di ordine di pagamento” e, in tal caso, il prestatore di servizi di pagamento di radicamento del conto non dovrà richiedere ulteriori verifiche del consenso dato dagli utenti ai prestatori che dispongono l’ordine di pagamento così come a quelli che svolgono il servizio di informazione sui conti (cfr. art. 32, comma 3, reg. delegato (UE) n. 2018/389).

Parimenti, il prestatore di radicamento del conto tramitato (ASPSP) non ha il compito di indagare sulla relazione contrattuale tra il cliente e il TPP in quanto si presume che per effetto dell’autenticazione e dell’utilizzo delle credenziali di accesso al conto che questi agisca sulla base del “consenso esplicito” del cliente medesimo.

Si addiviene quindi al punto che il pagatore non può revocare l’ordine di pagamento dopo aver prestato il proprio consenso a disporre l’operazione di pagamento al prestatore di servizi di disposizione di ordine di pagamento (art. 17, comma 2) e che, decorsi i termini di legge, l’ordine di pagamento può essere revocato solo se la revoca è stata concordata dall’utente con tutti i prestatori di servizi di pagamento coinvolti nell’operazione di pagamento. Pertanto, ne consegue che se l’utente si è avvalso di un prestatore di servizi di disposizione d’ordine di pagamento, non sarà sufficiente negoziare la revoca con il prestatore di radicamento del conto, ma occorrerà acquisire anche il consenso del PISP e viceversa (art. 17, comma 5).

Per quanto concerne i Limiti all'accesso ai conti di pagamento da parte dei prestatori di servizi di pagamento, anche il punto precedente ha la sua eccezione in quanto il prestatore di servizi di pagamento di radicamento del conto (ASPSP) può rifiutare l'accesso a un conto di pagamento a un prestatore di servizi di informazione sui conti o a un prestatore di servizi di disposizione di ordine di pagamento, per giustificate e comprovate ragioni connesse all'accesso fraudolento o non autorizzato al conto di pagamento da parte di tali soggetti, compresi i casi di ordini di pagamento fraudolenti o non autorizzati. In tali casi, il prestatore di servizi di pagamento di radicamento del conto, secondo le modalità convenute con l'utente, informa quest'ultimo del rifiuto e dei relativi motivi. Ove possibile, tale informazione è resa prima che l'accesso sia rifiutato o, al più tardi, immediatamente dopo, salvo che tale informazione non debba essere fornita in quanto in contrasto con obiettivi di ordine pubblico o di pubblica sicurezza, individuati ai sensi dell'articolo 126 del decreto legislativo 1° settembre 1993, n. 385, o ricorrano altri giustificati motivi ostativi in base alle disposizioni in materia di contrasto del riciclaggio e del finanziamento del terrorismo, di legge o di regolamento. Al venir meno delle ragioni che hanno portato al rifiuto, il prestatore di servizi di pagamento di radicamento del conto consente l'accesso al conto di pagamento.

Le operazioni di pagamento eseguite dopo la revoca del consenso legittimamente espresso non sono quindi considerate autorizzate e, in tali casi, potrebbe essere inibito l’accesso al conto al TPP.

5. Diritti e obblighi a capo delle Terze Parti

SOMMARIO

5.1

INFORMATIVA

5.2

TRASPARENZA

5.2.1

Operazioni rientranti in un contratto quadro

5.2.2
5.2.3
5.2.4
5.3
5.3.1
5.3.2
5.3.3
5.4
5.4.1
5.4.2
5.4.3
5.4.4
5.4.5
5.5
5.5.1
5.6
5.7
5.8
5.8.1
5.8.2
5.8.3

5.1 INFORMATIVA


Gli I.P. devono consentire ai clienti di conoscere in tempo utile tutte le condizioni, anche economiche, che saranno applicate in relazione alla prestazione del servizio; una volta che l’operazione di pagamento è stata eseguita, saranno rendicontati gli oneri effettivamente sostenuti e indicate le tempistiche di accredito nei confronti del beneficiario.



5.2 TRASPARENZA

5.2.1 Operazioni rientranti in un contratto quadro


L’istituto di pagamento in quanto Terza Parte mette a disposizione il foglio informativo relativo al contratto quadro del conto di pagamento e consegna al cliente, prima della conclusione del contratto, alternativamente, il documento di sintesi delle condizioni contrattuali oppure la copia del contratto idonea per la stipula; tali documenti riportano tutte le informazioni prescritte dalla normativa, compresi i costi a carico dell’utente e le condizioni cui è subordinata la prestazione.

Relativamente ai contratti relativi a conti di pagamento offerti a consumatori, gli Istituti di pagamento mettono a disposizione anche il “Documento informativo sulle spese” redatto in conformità del Regolamento (UE) 2018/34 del 28 settembre 2017, riportante tutte le spese che il consumatore è tenuto a pagare in relazione ai servizi collegati al conto di pagamento più rappresentativi a livello nazionale, indicati con la terminologia standardizzata europea e inclusi nell’elenco pubblicato dalla Banca d’Italia; il documento informativo sulle spese deve essere in ogni caso consegnato al consumatore prima della conclusione del contratto e riporta l’Indicatore dei Costi Complessivi (ICC) del conto, utile ad orientare la scelta del consumatore tra le diverse offerte di mercato; inoltre, immediatamente prima dell’esecuzione dell’operazione, l’intermediario deve fornire, su richiesta del cliente e secondo le modalità previste dal contratto, le informazioni sui costi che verranno applicati e sui tempi di esecuzione.

L’Istituto di Pagamento deve fornire un’informativa sulle operazioni eseguite contenente, ivi incluso, un riferimento univoco che consenta di individuare ciascuna di esse; ciò può avvenire sia subito dopo l’esecuzione di ciascuna operazione mediante la consegna di una ricevuta o in alternativa vi è il diritto del cliente – previsto nel contratto quadro – di richiedere un’informativa periodica almeno mensile (cd. Estratto conto).

Ai consumatori, titolari di un conto di pagamento, in aggiunta all’estratto conto e al documento di sintesi, – gli intermediari forniscono, gratuitamente e almeno una volta all’anno, un documento denominato “Riepilogo delle spese”, redatto in conformità del Regolamento (UE) 2018/33 del 28 settembre 2017 , che riporta un riepilogo di tutte le spese sostenute dal consumatore nel periodo di riferimento nonché informazioni sugli interessi applicati sulle somme depositate o relativi ad eventuali sconfinamenti.

5.2.2 Singole operazioni di pagamento non rientranti in un contratto quadro.


La normativa sulla trasparenza prevede modalità semplificate relativamente a singole operazioni di pagamento che non rientrano in un contratto quadro riconducibili a Istituti di pagamento quando non erogano anche altri servizi. In questi casi, infatti, la normativa ha previsto un quadro informativo ridotto così articolato:

a. Per il tramite di apparecchiature tecnologiche consultabili dal cliente (quest’ultimo può comunque richiedere che l’informativa sia fornita su supporto cartaceo o altro supporto durevole) oppure,
b. Attraverso la consegna della copia del contratto idonea per la stipula.

Per ciascuna operazione di pagamento eseguita, l’I.P. deve fornire una ricevuta che include un riferimento che consenta all’utente di individuare le operazioni di pagamento, il correlativo importo, tutte le spese, la data valuta dell’addebito o la data di ricezione dell’ordine di pagamento. A differenza di quanto previsto per i contratti quadro, l’I.P. può, a sua scelta, mettere a disposizione queste informazioni anziché consegnarle al cliente.

Se un ordine di pagamento per una singola operazione viene trasmesso per il tramite di uno strumento di pagamento contemplato da un contratto quadro con un altro intermediario, il prestatore della singola operazione può non fornire al cliente le informazioni che questi ha già ricevuto o riceverà in base al contratto quadro.

5.2.3 Trasparenza delle operazioni di pagamento PIS


Il servizio di disposizione di ordini di pagamento, prestato nell’ambito di un contratto quadro stipulato tra il PISP e l’utente deve consentire al cliente-utente di conoscere in anticipo le condizioni economiche del servizio, il PISP deve mettere a disposizione il foglio informativo e consegnare al cliente, prima della stipula del contratto, la copia del testo contrattuale idoneo per la stipula; tali documenti riportano, tra le altre cose, l’importo delle commissioni applicabili al servizio nonché le modalità per prestare o revocare il consenso alla disposizione di un ordine di pagamento.

Nel caso di operazioni non rientranti in un contratto quadro, l’informativa precontrattuale viene fornita attraverso apparecchiature tecnologiche consultabili dal cliente (quest’ultimo può comunque richiedere che l’informativa sia fornita su supporto cartaceo o altro supporto durevole) oppure attraverso la consegna della copia del contratto idonea per la stipula.

Nel corso della predisposizione dell’ordine di pagamento da parte del cliente, prima che questi confermi l’ordine, congiuntamente all’importo dell’operazione il PISP mostra anche le eventuali commissioni a suo favore a carico del cliente.

Subito dopo la prestazione del consenso da parte dell’utente, il PISP consegna una ricevuta contenente la conferma del buon esito dell’operazione di disposizione di ordine di pagamento, il riferimento univoco dell’operazione di pagamento e il relativo importo, nonché il riepilogo di tutte le eventuali commissioni pagate dall’utente a favore del PISP. Per le operazioni non rientranti in un contratto quadro, il PISP può mettere a disposizione le informazioni anziché consegnarle al cliente.

5.2.4 La trasparenza connessa al servizio (AIS)


Gli I.P. che offrono unicamente il servizio di informazione sui conti (AIS) sono tenuti ad adempiere esclusivamente in materia di informativa precontrattuale. Tali operatori possono presentare l’informativa precontrattuale anche con modalità diverse per cui non sono obbligati a redigere il foglio informativo, il documento di sintesi o la copia del contratto.

5.3.SICUREZZA

5.3.1 Premessa


La Direttiva 2015/2366/CE (PSD2 –Direttiva sui Servizi di Pagamento) recepita nel nostro ordinamento con d.lgs. n. 218 del 2017, detta norme di sicurezza minime per l’offerta di servizi di pagamento e definisce un quadro giuridico di riferimento in grado di promuovere una revisione e un adeguamento continuo dei processi operativi e della stessa normativa alla evoluzione dei rischi tecnologici. La PSD2 demanda all’Autorità Bancaria Europea (ABE) il compito di definire, le norme e le specifiche tecniche per diversi profili, tra cui l’individuazione di requisiti specifici per l’autenticazione forte e i possibili casi di esenzione.

I servizi di pagamento erogati dalle Terze Parti sono connessi a specifici requisiti tecnici di sicurezza, riguardanti sistemi e procedure degli IP oltre agli strumenti di pagamento offerti ai clienti. Tali requisiti sono finalizzati a garantire un livello di sicurezza base uniforme per tutti i servizi di pagamento elettronici regolamentati, per minimizzare il rischio di frodi e favorire la fiducia dei cittadini nelle modalità di trasferimento della moneta.

Il livello di sicurezza di uno specifico strumento di pagamento è ancorché correlato al contesto di utilizzo e dalle ulteriori misure di sicurezza che gli IP decidono di predisporre in considerazione dei rischi rilevati nel proprio modello di business. Per questa ragione, pur essendo fissato dalla normativa un livello minimo di sicurezza, i vari strumenti di pagamento presenti sul mercato sono caratterizzati, in generale, da livelli di sicurezza diversi.



5.3.2 Autenticazione forte (SCA)


Tra le principali misure di sicurezza previste dalla PSD2, figura l’autenticazione forte del cliente (o SCA – Strong Customer Authentication). La SCA è una procedura di autenticazione basata sull’uso di due o più elementi, classificati in almeno due categorie tra le seguenti:

1. Conoscenza (qualcosa che solo l’utente conosce, come una password o un PIN);
2. Possesso (qualcosa che solo l’utente possiede, come un token, o uno smartphone);
3. Inerenza (qualcosa che caratterizza l’utente, come l’impronta digitale).

Tali elementi (o credenziali di autenticazione) devono essere indipendenti, in modo che un’eventuale violazione di uno di essi non comprometta l’affidabilità degli altri. Su questa base, la normativa richiede ad esempio che se lo smartphone del cliente viene utilizzato per veicolare tutti gli elementi utilizzati per l’autenticazione, debbano essere adottate specifiche misure per la prevenzione e il contenimento del rischio di compromissione della sicurezza del dispositivo.

La procedura di autorizzazione di un pagamento tramite SCA deve garantire che:

a) il codice di autorizzazione generato sulla base delle credenziali inserite dall’utente sia monouso, ovvero accettato una sola volta dal PSP;
b) il codice di autorizzazione del pagamento sia legato indissolubilmente all’importo e al beneficiario: in questo modo, se carpito o intercettato, tale codice non può essere usato per altri pagamenti (i.e. pagamenti verso altri beneficiari o con diverso importo).

Si precisa altresì che fino a 500 euro, i PSP possono optare per l’esenzione dall’autenticazione forte del cliente a condizione che l'operazione di pagamento elettronico presenti un basso livello di rischio secondo i meccanismi di monitoraggio realizzati (cfr. infra) e che, per i pagamenti sotto la soglia, i propri sistemi di sicurezza consentano di mantenere il tasso di frode entro un limite fissato (cfr. tabella).

Tabella - Soglie di esenzione alla SCA e corrispondenti tassi di frode massimi consentiti (in percentuale del valore) per i pagamenti elettronici a distanza basati su carta e per i bonifici elettronici a distanza.

Valore della soglia di esenzione

Max. tasso di frode - carta

Max. tasso di frode – bonifico

€ 500

0,01 %

0,005 %

€ 250

0,06 %

0,01 %

€ 100

0,13 %

0,015 %

 

Si evidenzia altresì che i pagamenti fino a 30 euro possono essere esentati dalla SCA a prescindere dal tasso di frode registrato; scatta però l’obbligo di SCA quando l'importo cumulativo delle precedenti operazioni di pagamento elettronico effettuate dall’utente superano i 100 Euro o, comunque, dopo 5 operazioni di pagamento consecutive eseguite senza SCA.

Un’altra importante opzione di esenzione dalla SCA riguarda i pagamenti verso i “beneficiari di fiducia”: il PSP può dare ai clienti la possibilità di creare e aggiornare, tramite SCA, un elenco di beneficiari considerati affidabili ed esentare dalla SCA pagamenti dei propri clienti se il beneficiario è incluso nel rispettivo elenco.

La consapevolezza dei clienti sulle politiche di sicurezza adottate dai prestatori dei servizi di pagamento, in termini sia di misure di protezione predisposte che di esenzioni applicate, consente loro di scegliere uno strumento di pagamento anche valutandone la rispondenza alle proprie esigenze e alla propria sensibilità riguardo i profili di sicurezza. In ogni caso, poiché è il PSP (e non il cliente) a scegliere di avvalersi dell’esenzione per una certa transazione, se ne assume la responsabilità: qualora l’operazione esentata non sia stata autorizzata dal cliente, il PSP dovrà sempre rimborsare quest’ultimo, eccetto il caso in cui dimostri di essere stato vittima di una frode da parte dell’utente stesso.



5.3.3 Presidi di controllo tecnico-organizzativo


Oltre alla SCA, la normativa prevede ulteriori presidi di controllo di natura tecnico-organizzativa, che concorrono a determinare il livello di sicurezza complessivo adeguato dei servizi di pagamento online. In particolare sono richiesti:

A. Presidi di controllo interno

o Gli operatori devono dotarsi di meccanismi di monitoraggio delle operazioni che, tenendo conto degli aspetti che caratterizzano il normale comportamento dell’utente, consentano di rilevare operazioni di pagamento non autorizzate o fraudolente (un esempio tipico di operazione sospetta, che deve essere prontamente rilevata, è quello di un pagamento effettuato dopo un breve lasso temporale e da un luogo molto distante dal pagamento precedente);
o È obbligatorio il riesame delle misure di sicurezza: queste devono essere sottoposte periodicamente a test, nonché valutate, con riferimento al quadro giuridico applicabile, da revisori con competenze in materia di sicurezza informatica e pagamenti e indipendenti dal punto di vista operativo;

B. Notifiche da/verso i clienti

o I clienti devono notificare senza indugio al prestatore dei servizi di pagamento, o al soggetto specificato da quest’ultimo, non appena ne abbiano conoscenza, lo smarrimento, il furto, l’appropriazione indebita o l’utilizzo non autorizzato dello strumento di pagamento; l’intermediario deve assicurare ai propri clienti la disponibilità in ogni momento di mezzi e modalità di comunicazione che consentano loro tale comunicazione tempestiva;
o Nel caso in cui l’intermediario sia vittima di un grave incidente operativo o di sicurezza, qualora gli interessi degli utenti siano messi a rischio, esso è tenuto a comunicare l’evento ai propri clienti, indicando tutte le misure a disposizione per attenuarne gli effetti.
o L’intermediario può prevedere nel contratto con i propri clienti la facoltà di bloccare lo strumento di pagamento per fondati motivi di sicurezza; il blocco, in generale, deve essere comunicato tempestivamente al cliente, insieme ai motivi che lo hanno reso opportuno. Il cliente può richiedere lo sblocco dello strumento di pagamento tramite mezzi di cui l’intermediario assicura la disponibilità in ogni momento e lo sblocco o la sostituzione dello strumento deve in ogni caso essere effettuata dal PSP una volta cessati i motivi che ne hanno determinato il blocco.

C. Segnalazioni all’Autorità competente e ad organismi di cooperazione

o In caso di grave incidente riguardante l’operatività o la sicurezza di quest’ultima, anche qualora gli interessi finanziari degli utenti non siano messi a repentaglio, il PSP è tenuto è notificare senza indugio l’accaduto alla propria Autorità di riferimento;
o Al fine di valutare il perseguimento dell’obiettivo – stabilito dalla PSD2 – di “ridurre, al massimo grado possibile, il rischio di frode”, la normativa prevede che gli operatori forniscano, su base almeno annuale, dati statistici sulle frodi relative ai diversi strumenti di pagamento offerti all’Autorità competente (che a sua volta forniscono tali dati, in forma aggregata, all'ABE e alla BCE);
o Un’ulteriore casistica da segnalare all’Autorità è quella in cui l’intermediario sospetti di essere stato frodato dal proprio cliente e per tale ragione sospenda il rimborso dell’operazione disconosciuta.

5.4 PRIVACY

5.4.1 Premessa

 

Il Regolamento (UE) 2016/679 (GDPR - Regolamento Generale sulla Protezione dei Dati) polarizza l’importanza del consenso dell’interessato all’utilizzo dei propri dati e impone agli intermediari l’adozione di specifici presidi organizzativi che si aggiungono a quelli previsti dalla PSD2 in materia di sicurezza.

Lo stesso regolamento GDPR disciplina nell'Unione europea il trattamento dei dati personali; tale regolamento è applicabile in tutti gli Stati membri dal 25 maggio 2018. L’ambito di applicazione territoriale si estende, al ricorrere di alcune condizioni, anche al di fuori del territorio dell’Unione; norme specifiche regolano il trasferimento di dati verso paesi terzi ed organizzazioni internazionali.

Il GDPR rafforza il ruolo della informativa come strumento di trasparenza e la centralità del consenso dell’interessato al trattamento dei propri dati; il trattamento è consentito solo per scopi specifici e dichiarati, nei limiti del necessario. È previsto anche il diritto di ottenere la cancellazione dei propri dati personali (cosiddetto "diritto all'oblio"). Il consenso dell'interessato al trattamento dei dati personali deve essere libero, specifico, informato e inequivocabile, anche se espresso attraverso mezzi elettronici o con un semplice flag. Riguardo ai dati cd. “Sensibili”, ovvero i dati di cui all’art. 9 del GDPR (cfr. paragrafo 2.1), il consenso deve sempre riferirsi esplicitamente a tale tipo di informazioni. Gli interessati dovranno inoltre sapere se i loro dati sono trasmessi al di fuori dell’Ue e con quali garanzie; oggetto di informativa è anche il diritto di revocare il consenso a trattamenti specifici, in ogni momento.

5.4.2 Applicazione del GDPR ai servizi di pagamento


La Direttiva 2015/2366/CE (PSD2 – Direttiva sui Servizi di Pagamento), recepita nel nostro ordinamento con d.lgs. n. 218 del 2017, non costituisce legge speciale rispetto al GDPR, da ciò scaturisce che il Regolamento dispiega i propri effetti dunque anche nell’ambito dei servizi di pagamento. Infatti, gli intermediari che offrono servizi di pagamento devono porre in essere una serie di attività volte a recepire nella propria organizzazione interna le innovazioni introdotte dal GDPR; tra queste ultime rilevano: la designazione di un responsabile della protezione dei dati, l'istituzione di un registro delle attività di trattamento e l’adozione di accorgimenti quali attività preventive di pianificazione e progettazione per la protezione dei dati (privacy by design) e misure di sicurezza da attuare nel continuo (privacy by default), per garantire il presidio del trattamento, i limiti allo stesso e la corretta conservazione dei dati.

Alcune misure organizzative e tecniche previste dal GDPR si sovrappongono, e in parte si aggiungono, a quelle stabilite dalla PSD2 e dalle linee guida EBA in materia di sicurezza. Per esempio, il Regolamento introduce obblighi di segnalazione per gli intermediari dei cd. data breach all'Autorità nazionale per la protezione dei dati. Tali obblighi si sommano agli obblighi di reporting, alle autorità nazionali competenti previsti per gli incidenti gravi sulla base della PSD2 e delle linee guida EBA.



5.4.3 GDPR e PSD2


Riguardo ai rapporti tra GDPR e PSD2, sono emerse esigenze di armonizzazione, in relazione, in particolare, alla nozione di dati cd. “Sensibili” e alla natura del consenso prestato dall’interessato/utente.

 

5.4.4 La nozione di dati sensibili


Preliminarmente, si osserva che la definizione di “dati sensibili” secondo la PSD2 e quella di “categorie particolari di dati” ex art. 9 GDPR (tradizionalmente considerati “dati sensibili”) non coincidono. I primi sono infatti dati che «possono essere usati per commettere frodi»” (cfr. art. 4, punto 32, della PSD2); tra questi sono espressamente incluse le credenziali di sicurezza personalizzate fornite all’utente a fini di autenticazione, ovvero al fine di «verificare l’identità» dell’utente stesso oppure «la validità dell’uso di uno specifico strumento di pagamento» (cfr. art. 4, punti 29 e 31, della PSD 2). Non costituiscono, invece, dati sensibili relativi ai pagamenti il nome del titolare del conto e il numero del conto.

Le “categorie particolari di dati” ai sensi del GDPR sono invece riferite a dati personali che rivelano origini razziali o etniche, opinioni politiche, credenze religiose, convinzioni filosofiche o appartenenza sindacale, nonché dati genetici e dati biometrici, o relativi alla salute e alla vita sessuale di una persona. Tale definizione è generale, nel senso che la relativa disciplina si applica ogni qualvolta si tratti, anche nell’ambito dei servizi di pagamento, questo tipo di dati. La nozione di dati sensibili ai sensi della PSD2 non è in contrasto con il GDPR perché più cautelativa, ad esempio, laddove viene esclusa la possibilità per gli intermediari che svolgono i servizi di disposizione di ordini di pagamento (PISP) e di informazione sui conti (AISP), rispettivamente, di conservare e richiedere dati sensibili relativi ai pagamenti collegati ai conti di pagamento.

È utile osservare che una coincidenza nella tipologia di dati ex art. 9 GDPR e di dati sensibili ai sensi della PSD2 può realizzarsi ove si tratti di dati biometrici che vengano sfruttati ai fini di autenticazione dell’utente di un servizio di pagamento (e che costituiscono quindi un elemento delle credenziali di sicurezza). In tal caso si applicheranno, ciascuna in relazione al proprio contesto, entrambe le normative.

5.4.5 Il consenso al trattamento dei dati


1. Il consenso dell’interessato

Quanto alla nozione di consenso dell’interessato al trattamento dei dati contenuta nelle due normative in esame, lo European Data Protection Board (EDPB) ha chiarito che gli intermediari possono trattare i dati necessari all’esecuzione del servizio di pagamento sulla base di uno specifico ed esplicito consenso espresso preventivamente sul contratto.

Il consenso previsto dalla PSD2 (art.94) avrebbe pertanto natura contrattuale, con ciò distinguendosi dal consenso richiesto ai sensi del GDPR. Il GDPR (art. 6, c.1., lett.b) prevede, tra l’ altro, quale presupposto di liceità del trattamento, che esso sia necessario per l’esecuzione di un contratto di cui l’interessato è parte; ciò premesso, da una lettura combinata del GDPR e della PSD2, come sopra interpretata, si evince che, una volta approvato il contratto per l’esecuzione di un servizio di pagamento, l’interessato non debba ulteriormente prestare il consenso se il trattamento è funzionale all’esecuzione del contratto stesso (cfr. anche Linee guida sul consenso ai sensi del regolamento (UE) 2016/679 del 28 novembre 2017, come modificate e adottate da ultimo il 10 aprile 2018).

2. Il consenso del beneficiario

Secondo l’EDPB, inoltre, all’intermediario che presta servizi di informazione sui conti non occorre uno specifico consenso per il trattamento dei dati del beneficiario del pagamento, posto che l’utilizzo di questi dati avviene, in conformità al GDPR, per il perseguimento di un legittimo interesse all’esecuzione del servizio (art. 6, c.1., lett.f).

3. Legittimità dell’accesso ai dati da parte delle terze parti

Allo stesso modo, l’intermediario presso cui è aperto il conto (ASPSP) può legittimamente consentire l’accesso ai dati dell’utente da parte degli intermediari che offrono il servizio di disposizione di ordini di pagamento e di informazione sui conti - che abbiano acquisito il consenso dell’utente - in virtù di specifiche disposizioni della PSD2 (artt. 66 e 67) - che obbligano gli ASPSP a tale astensione - e, pertanto, in conformità al GDPR, secondo cui il trattamento dei dati in esecuzione di un obbligo di legge è lecito.



5.5 DILIGENZA

5.5.1 Premessa


Per assicurare efficienza e sicurezza nell’offerta di servizi di pagamento, gli obblighi posti in carico agli I.P. sono integrati con quelli posti in capo ai clienti. Il mancato rispetto degli obblighi rileva ai fini del rimborso da parte degli intermediari.

Di seguito sono elencati gli obblighi previsti dalla legge cui è tenuto l’utente; tali obblighi sono solitamente richiamati anche nel contratto tra l’utente e l’I.P. e possono essere integrati da ulteriori obblighi posti in capo alla clientela che sono stabiliti pattiziamente dalle parti (obblighi contrattuali) e prevedono particolari cautele nell’utilizzo degli strumenti di pagamento.

a) Obblighi di diligenza

Il cliente è tenuto a prestare diligenza nella custodia delle credenziali identificative per l’accesso ai conti e dispositive per l’esecuzione delle operazioni di pagamento. Egli è tenuto inoltre alla verifica delle transazioni effettuate a valere sul proprio conto.

b) Obblighi di comunicazione

Il cliente deve comunicare tempestivamente all’I.P. eventuali irregolarità nella prestazione del servizio. In particolare, vi è l’obbligo di comunicare senza indugio, non appena ne viene a conoscenza, che si è verificata un’operazione di pagamento non autorizzata o non correttamente eseguita, al fine di richiederne la rettifica.
Il cliente deve comunicare all’intermediario, non appena se ne accorge, il furto o lo smarrimento degli strumenti di pagamento e/o delle credenziali, utilizzando i contatti che gli intermediari devono mettere a disposizione dei clienti a questi fini.

5.6 Adeguato Comportamento


La corretta esecuzione di un’operazione di pagamento dipende da un idoneo comportamento congiunto all’ intermediario-cliente. Il legislatore attribuisce agli intermediari l’onere di strutturare l’operazione di pagamento in modo sicuro e di fornire al cliente mezzi sicuri per l’esecuzione. I clienti devono rispettare specifiche norme di comportamento che tutelano loro stessi e il sistema.

 

5.7 Responsabilità civile


Le nuove regole sulla responsabilità dei TPP, ricalcano la normativa esistente in relazione, sia alla presunzione di responsabilità del prestatore del servizio di pagamento, sia all’inversione dell’onere della prova a tutela dell’utente.
Per evitare gli obblighi di rimborso e di risarcimento il PISP deve dimostrare che il prestatore di pagamento di radicamento del conto ha ricevuto l’ordine tempestivamente (art. 15, d.lgs. n. 11/2010) e che, in relazione al servizio prestato di disposizione di ordine di pagamento, vale a dire per la fase di perfezionamento e di trasmissione dell’ordine di pagamento di sua competenza, l’operazione è stata autenticata, correttamente registrata e non ha subito le conseguenze di guasti tecnici o altri inconvenienti che ne hanno determinato la mancata, tardiva o inesatta esecuzione (art. 25-bis, comma 2, d.lgs. n. 11/2010).

Fermo restando il diritto dell’utente ad ottenere dal gestore del proprio conto il rimborso e l’eventuale risarcimento per l’esecuzione di operazioni di pagamento non autorizzate, fraudolente e per le operazioni di pagamento non eseguite o eseguite tardivamente o erroneamente, il prestatore che ha eseguito in prima battuta il pagamento conserva il diritto di regresso verso gli altri prestatori di servizi di pagamento e verso gli altri soggetti che siano stati coinvolti nella catena dell’operazione di pagamento; l’obbligo gravante sul PISP di dotarsi di una copertura assicurativa riferita espressamente ad eventi di danno conseguenti: i) al compimento di operazioni non autorizzate (art. 73 PSD2), ii) alla mancata, inesatta o tardiva esecuzione delle operazioni di pagamento (artt. 89 e 90 PSD2), iii) all’esercizio del regresso da parte di altri prestatori di servizi di pagamento (art. 92 PSD2) – come previsto dall’art. 5, comma 2, della PSD2 – dovrebbe garantire al prestatore di radicamento del conto il ristoro patrimoniale delle somme rimborsate al cliente a prima richiesta.



5.8 PRESIDI ANTIRICICLAGGIO E FINANZIAMENTO AL TERRORISMO (AML-CFT)

5.8.1 Elementi comuni inerenti ai servizi PIS e AIS


La presenza di una pluralità di intermediari che intervengono alla prestazione dell’attività da parte di un PISP o di un AISP rende complessa l’attribuzione a ciascun soggetto degli obblighi previsti dalla normativa in materia di contrasto del riciclaggio e del finanziamento del terrorismo di cui al d.lgs. n. 231 del 21 novembre 2007, modificato dal d.lgs. n. 90 del 25 maggio 2017, in capo ai soggetti obbligati.

Con riferimento appunto ai soggetti obbligati richiamati dal suddetto Decreto Antiriciclaggio, le attività di disposizione di ordini di pagamento e di informazione sui conti sono prestate da soggetti obbligati che annoverano qualunque intermediario abilitato alla prestazione di servizi di pagamento (dunque banche, istituti di moneta elettronica ed istituti di pagamento). Rispetto tuttavia agli altri servizi di pagamento, le attività di disposizione di ordini di pagamento e di informazione sui conti, non prevedono da parte del soggetto abilitato alla prestazione di tali servizi, l’intermediazione di valori monetari. Infatti per la prestazione di questi servizi non è necessario avere la disponibilità di mezzi di pagamento intestati al disponente, oppure non è necessario adempiere ad alcuna obbligazione pecuniaria derivante dall’esecuzione dei servizi stessi.

In considerazione dell’assenza di mezzi finanziari oggetto di intermediazione, gli obblighi in materia di contrasto del riciclaggio e del finanziamento del terrorismo, fondamentalmente, si concretizzano nell’adeguata verifica del cliente che richiede la prestazione del servizio; al monitoraggio delle operazioni di disposizione degli ordini di pagamento; alla restituzione delle informazioni aggregate, oltre ovviamente alla conservazione dei dati, delle informazioni e dei documenti derivanti dalla prestazione di tali attività. Il ridotto numero di obblighi, in particolar modo in materia di adeguata verifica della clientela, come vedremo nel prosieguo, ovviamente è applicabile solo allorquando l’intermediario che presti le attività di PISP o di AISP, si limiti a tali servizi e dunque il rapporto con il cliente sia esclusivamente loro dedicato. Tali obblighi qualitativamente ridotti infatti sono in funzione delle peculiarità del servizio prestato.

All’interno della adeguata verifica della clientela per quanto riguarda gli obblighi di identificazione formale del cliente, dell’eventuale titolare effettivo e degli eventuali soggetti deputati ad operare in nome e per conto del cliente, di acquisizione e di valutazione delle informazioni relative allo scopo e alla natura dei servizi prestati, essi vanno eseguiti alla stessa stregua e con lo stesso approccio qualitativo rispetto a quanto sarebbe eseguito da qualunque altro intermediario, in riferimento a qualunque altra attività continuativa prestata da un soggetto del settore finanziario. Ben diversa è la situazione rispetto agli obblighi di controllo costante dell’andamento del rapporto contrattuale (monitoraggio) infatti in questa situazione di limitata attività prestata dai soggetti in parola rende l’esecuzione di tali obblighi, più complessa in quanto viene a mancare un adeguato quadro informativo d’insieme alimentato sia dall’informazione sul cliente che dall’informazione sull’operazione.

5.8.2 Servizio PIS e Antiriciclaggio e finanziamento al Terrorismo (AML/CFT)


In riferimento al servizio di disposizione di ordini di pagamento, il suo oggetto è rappresentato dalle disposizioni di trasferimento di mezzi di pagamento che il prestatore, dietro indicazioni del titolare del conto, fornisce all’intermediario dove è radicato il conto.

Il prestatore non dispone quindi di altre informazioni se non quelle relative alle disposizioni di volta in volta impartite e quelle che gli sono state fornite nella fase genetica del rapporto con il cliente. Sulla base di queste, l’unica possibilità che il prestatore ha di adempiere correttamente agli obblighi di monitoraggio è riconducibile all’analisi di congruità e ragionevolezza delle disposizioni impartite rispetto alla posizione economico-finanziaria desumibile dalle informazioni fornite dal cliente stesso oppure ricavate attraverso fonti esterne o documenti indipendenti e/o formali.

Diversamente da altri intermediari presso i quali sono “visibili” le disponibilità finanziarie del cliente, il prestatore soggetto obbligato, è “privato da tale situazione. Ne deriva come al di là del richiedere di informazioni al cliente stesso, l’analisi del PISP sia ridotta appunto dall’assenza delle informazioni. Per effetto di tale configurazione informativa il prestatore non ha una congrua rappresentazione del quadro d’insieme connessa all’operazione e non ha contestualmente elementi quantitativi e qualitativi per considerare sospetta (o non sospetta) tale operatività. Il delegato alle SOS dovrà valutare se ritenere comunque sospetta l’operatività (o la singola operazione di disposizione dell’ordine) e pertanto segnalare all’UIF rappresentando fedelmente il reale contesto in cui ha eseguito tale segnalazione.

La stessa valutazione può non essere specularmente effettuata dall’intermediario presso il quale è radicato il conto. Questi, giuridicamente, è il soggetto deputato all’esecuzione dell’ordine di trasferimento dei mezzi di pagamento, ovviamente nei limiti delle disponibilità liquide presenti sul conto stesso. Poiché tale intermediario (contrariamente al PISP) ha una maggiore visibilità sulla situazione economico-finanziaria del cliente ed in particolare sull’origine, normalmente lecita, dei fondi, ha anche una migliore posizione per effettuare una più compiuta valutazione. Ne deriva che, mentre l’eventuale segnalazione di un’operazione sospetta effettuata dal prestatore potrebbe non tradursi in una segnalazione dell’intermediario presso il quale è radicato il conto, il contrario non potrebbe accadere. Infatti a fronte della medesima operazione, le ragioni del sospetto dovrebbero essere oggettivamente tanto più fondate/infondate quante più informazioni sul soggetto siano a disposizione di un intermediario. Conseguentemente se è normale che il PISP segnali e l’intermediario presso il quale è radicato il conto di pagamento non segnali, se questi ha invece ritenuto sospetto l’ordine di pagamento come disposto dal PISP, il PISP dovrebbe aver effettuato la medesima valutazione.
Lo stesso approccio andrebbe tenuto qualora l’analisi si sposti dall’ammontare dell’operazione di pagamento eseguita per mezzo dell’ordine disposto dal prestatore, all’analisi della posizione relativa al destinatario del pagamento.

Il PISP nell’ambito del controllo costante del rapporto e dell’operatività a valere sullo stesso, potrebbe ritenere sospetta la richiesta di impartire una disposizione di un ordine di pagamento a valere su di un determinato beneficiario. Per contro la stessa analisi potrebbe dare un risultato diverso se effettuata dall’intermediario presso il quale è radicato il conto, sulla base della complessiva operatività anche storicizzata.
Più insidiosa per l’intermediario presso il quale è radicato il conto è invece l’ultima situazione. Un cliente potrebbe infatti aprire più rapporti di disposizione di ordini di pagamento con diversi PISP al fine di frazionare l’operatività (sia quantitativamente che nei confronti del medesimo beneficiario degli ordini) e “confondere” l’intermediario presso il quale è radicato il conto di pagamento.

Questi dovrebbe dotarsi di strumenti di analisi anche delle operazioni impartite da terzi (tra cui probabilmente anche una forma di registrazione del PISP come delegato ad operare) al fine di poter aggregare le stesse per ammontare, ma soprattutto per il destinatario del pagamento. Infatti potrebbe costituire un indicatore di anomalia il fatto che l’intermediario sia chiamato ad eseguire una pluralità di pagamenti a favore del medesimo beneficiario a fronte di disposizioni provenienti da diversi PISP a valere sul medesimo conto. In tal caso, si ritiene che, acclarato il motivo del sospetto dato dall’unificazione logica ed economica delle diverse operazioni, l’intermediario dovrebbe procedere con una segnalazione di operazione sospetta.

5.8.3 Servizio AIS e l’Antiriciclaggio e finanziamento al Terrorismo (AML/CFT)

In riferimento al servizio di informazioni dei conti, l’oggetto del servizio è invece l’aggregazione delle informazioni provenienti da più conti e la presentazione delle stesse per categorie di spese. Ad una prima analisi, il prestatore effettivamente non ha molto da controllare, unificando e mostrando al cliente giusto delle informazioni sull’operatività pregressa avvenuta sui conti del cliente stesso.

L’attività dell’AISP assume altresì un profilo rilevante relativamente al contrasto del riciclaggio e del finanziamento del terrorismo in quanto l’aggregazione delle informazioni potrebbe rappresentare all’AISP incongruenze complessive dal lato delle spese e delle disposizioni varie, rispetto al profilo economico-finanziario del cliente, il quale sul punto dovrebbe essere sollecitato dall’AISP a fornire tali informazioni. Infatti l’aggregazione dei dati da parte dell’AISP risolve i limiti informativi derivanti dalla possibile esistenza di altri intermediari che prestino servizi di pagamento, che impediscono a ciascun soggetto obbligato di svolgere un’analisi complessiva, ed assolve invece alla funzione di rappresentare un quadro completo non solo al cliente ma anche alle autorità di vigilanza. È pur vero che l’utente potrebbe non segnalare all’AISP tutti i propri conti da “analizzare”.

La presenza di più intermediari che prestino i servizi di disposizione di ordini di pagamento, esecuzione degli stessi, informazione sui conti ed apertura dei conti, fraziona comunque l’applicazione delle disposizioni in materia di contrasto del riciclaggio e del finanziamento del terrorismo. Ciò è frutto della suddivisione di compiti e della disciplina propria di tali servizi.

Per maggior approfondimenti sulla organizzazione e costituzione inviare una email a questo indirizzo: advisor@dlva.eu

 

6. GLI ELEMENTI COSTITUTIVI

6.1 GENERALE


La Banca d’Italia valuta il programma di attività e che le linee di sviluppo in esso previste siano coerenti con la sana e prudente gestione ovvero con il regolare funzionamento del sistema dei pagamenti.

A questo fine valuta, tra l’altro:

• La coerenza delle informazioni contenute e l’attendibilità delle previsioni formulate;
• L’adeguatezza del programma per assicurare condizioni di equilibrio patrimoniale, reddituale e finanziario all’istituto, nonché il rispetto delle disposizioni prudenziali per tutto l’arco temporale di riferimento;
• L’adeguatezza dell’assetto organizzativo e dei controlli interni;
• La coerenza della pianificazione strategica anche rispetto al mercato di riferimento.

6.2 GLI ELEMENTI COSTITUTIVI DEI PIS



6.3 GLI ELEMENTI COSTITUTIVI DEGLI AISP (SINGOLI)







La Banca d'Italia - in base agli esiti delle verifiche effettuate circa la sussistenza delle condizioni per l’autorizzazione e tenuto conto dell’esigenza di assicurare la sana e prudente gestione dell’istituto e il regolare funzionamento del sistema dei pagamenti - rilascia o nega l’autorizzazione entro novanta giorni dalla data di ricevimento della domanda, corredata della richiesta documentazione.

Disposizioni di vigilanza degli Istituti di pagamento e Istituti di moneta elettronica – Cap II Sez V n.2

7. CONCLUSIONI


Le FINTECH - TERZE PARTI rappresentano una grande opportunità per Imprenditori seri che mirano a creare valore aggiunto per la loro impresa e per i soggetti con cui interagiscono mentre rivestono il ruolo di protagonisti, in quanto saranno Loro stessi a scrivere l’evoluzione concreta della PSD2 cogliendone le opportunità.


8. GLI ALLEGATI: GLOSSARIO E FONTI NORMATIVE

GLOSSARIO

[AIS] servizio di informazione sui conti (account information service) – un servizio online che fornisce informazioni consolidate relativamente a uno o più conti di pagamento detenuti dall’utente di servizi di pagamento presso un altro prestatore di servizi di pagamento o presso più prestatori di servizi di pagamento.

[AISP] prestatore di servizi di informazione sui conti (account information service provider) – intermediario che offre il servizio di AIS.

[ASPSP] prestatore di servizi di pagamento di radicamento del conto (account servicing payment service provider) – un prestatore di servizi di pagamento che offre e gestisce un conto di pagamento per un pagatore.

[Autenticazione] la procedura che consente al prestatore di servizi di pagamento di verificare l’identità di un utente di servizi di pagamento o la validità dell’uso di uno specifico strumento di pagamento.

[Beneficiario] una persona fisica o giuridica che è il destinatario dei fondi che sono stati oggetto di un’operazione di pagamento.

[Bonifico] – operazione di pagamento che permette a un pagatore di accreditare fondi sul conto del beneficiario, addebitando il proprio conto.

[CBPII] Card based payment instrument issuer – emittente, diverso da quello che offre il conto, di una carta dissociata dal conto dell’utente.

[Consumatore] – una persona fisica che, nei contratti di servizi di pagamento contemplati dalla presente direttiva, agisce per scopi estranei alla sua attività commerciale o professionale.

[Conto di pagamento] – un conto aperto presso un intermediario, a nome di uno o più utilizzatori di servizi di pagamento, per l’esecuzione di operazioni di pagamento.

[Intermediario] – cfr. Prestatore di servizi di pagamento.

[Operazione di pagamento] – l’atto, disposto dal pagatore o per suo conto o dal beneficiario, di collocare, trasferire o ritirare fondi, indipendentemente da eventuali obblighi sottostanti tra il pagatore e il beneficiario.

[Ordine di pagamento] – un’istruzione data da un pagatore o da un beneficiario al proprio prestatore di servizi di pagamento con la quale viene chiesta l'esecuzione di un'operazione di pagamento.

[Pagatore] – una persona fisica o giuridica che autorizza l’ordine di pagamento.

[PIS] servizio di disposizione di ordine di pagamento (payment initiation service) – un servizio che dispone l'ordine di pagamento su richiesta dell'utente di servizi di pagamento relativamente a un conto di pagamento detenuto presso un altro prestatore di servizi di pagamento.

[PISP]prestatore di servizi di disposizione di ordine di pagamento (payment initiation service provider) – intermediario che presta il servizio di PIS.

[PSP] prestatore di servizi di pagamento (payment service provider) – uno dei seguenti soggetti: banche, Poste, istituti di moneta elettronica e istituti di pagamento.

[SCA] autenticazione forte del cliente (strong customer authentication)– un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione.

[Strumento di pagamento] – un dispositivo personalizzato e/o insieme di procedure concordate tra l’utente di servizi di pagamento e il prestatore di servizi di pagamento e utilizzate per disporre un ordine di pagamento.

[TPP] (third party providers) – gli intermediari che si relazionano con l’ASPSP per la prestazione dei servizi di pagamento; essi includono PISP, AISP e CBPII.

[Utente di servizi di pagamento] (o utilizzatore di servizi di pagamento) – persona fisica o giuridica che si avvale di un servizio di pagamento in qualità di pagatore, di beneficiario o di entrambi.

Regolamento delegato (UE) 2018/389 della Commissione del 27 novembre 2017 che integra la direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione per l’autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri.
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/C (Regolamento Generale sulla protezione dei dati).
Regolamento (UE) 2015/751 del Parlamento europeo e del Consiglio del 29 aprile 2015 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta.
• Regolamento (UE) 2012/260 del Parlamento europeo e del Consiglio del 14 marzo 2012 che stabilisce i requisiti tecnici e commerciali per i bonifici e gli addebiti diretti in euro e che modifica il regolamento (CE) n. 924/2009 (cd. Regolamento SEPA).
• Direttiva (UE) 2015/2366 del 25 novembre 2015 relativa ai servizi di pagamento nel mercato interno, che modifica la direttiva 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE)n. 1093/2010, e abroga la direttiva 2007/64/CE. PSD2 (Revised Payment Service Directive).
• Direttiva 2007/64/CE del Parlamento europeo e del Consiglio del 13 novembre 2007, relativa ai servizi di pagamento nel mercato interno, recante modifica delle direttive 97/7/CE, 2002/65/CE, 2005/60/CE e 2006/48/CE, che abroga la direttiva 97/5/CE (Payment Service Directive).
• D. lgs. 15 dicembre 2017, n. 218. Recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE, nonché adeguamento delle disposizioni interne al regolamento (UE) n. 751/2015 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta.
• D. lgs. 27 gennaio 2010, n. 11. Attuazione della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno, recante modifica delle direttive 97/7/CE, 2002/65/CE, 2005/60/CE, 2006/48/CE, e abroga la direttiva 97/5/CE.
• D. lgs. 1° settembre 1993, n. 385: Testo unico delle leggi in materia bancaria e creditizia (TUB).
• Circolare della Banca d’Italia n. 285 del 17 dicembre 2013 e successive modifiche. Disposizioni di vigilanza per le banche.
• Provvedimento della Banca d’Italia del 23 luglio 2019. Disposizioni di vigilanza per gli istituti di pagamento e gli istituti di moneta elettronica.
• Provvedimento della Banca d’Italia del 29 luglio 2009 e successive modifiche. Trasparenza delle operazioni e dei servizi bancari e finanziari.
• EBA/GL/2020/01 del 22 gennaio 2020. Modifiche agli orientamenti EBA in materia di obblighi di segnalazione per i dati sulle frodi ai sensi della PSD2.
• EBA/GL/2018/07 del 4 dicembre 2018. Orientamenti EBA sulle condizioni per beneficiare dell’esenzione dal meccanismo di emergenza a norma dell’articolo 33, paragrafo 6, del regolamento (UE) 2018/389 (norme tecniche di regolamentazione per l’autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri).
• EBA/GL/2018/05 del 17 settembre 2018. Orientamenti EBA in materia di obblighi di segnalazione per i dati sulle frodi, ai sensi dell’articolo 96, paragrafo 6, della PSD2.
• JC 2014/43 del 27 maggio 2014. Joint Committee. Orientamenti sulla gestione dei reclami per il settore degli strumenti finanziari (ESMA) e per il settore bancario (ABE).


Per maggior approfondimenti sulla organizzazione e costituzione inviare una email a questo indirizzo: advisor@dlva.eu

 

 

 
 
 
© 2021-2022 www.fintech-psd2.eu - All Rights Reserved | Privacy | Disclaimer | Codice Etico | Struttura della DLVA-FIDES Consulting SRL |
 
assistenza@fintech-psd2.eu 06.86357324