Arriva in Gazzetta Ufficiale la Direttiva (UE) sul whistleblowing

PSD2: chiarimenti EBA sugli ostacoli all’operatività dei TPP nell’era del commercio eletronico

Lo scorso 4 giugno, l’EBA, rispondendo a diversi quesiti ricevuti dagli operatori del mercato e sulla base dei modelli operativi adottati sino ad ora nel settore, ha pubblicato una opinion volta a fornire chiarimenti in merito ai possibili ostacoli che i prestatori di servizi di pagamento di radicamento del conto, quali ad esempio banche, istituti di credito e istituti di pagamenti (complessivamente, “ASPSP”) pongono all’offerta dei servizi informativi e di pagamento offerti dalle c.d. “terze parti” (“Third Party Providers” o “TPP”) abilitate a prestare (i) il servizio di informazioni sui conti fornito dai c.d. AISP e (ii) il servizio di disposizione di ordine di pagamento fornito dai c.d. PISP.

Con riguardo alla pratica di reindirizzamento obbligatorio, a parere dell’EBA, la censura deve limitarsi ai soli casi in cui il reindirizzamento venga implementato dall’ASPSP  in modo da creare inutili complicazioni nella c.d. user experience dell’utente, rendendo l’accesso ai servizi forniti dai TPP più difficoltoso e macchinoso rispetto alla normale navigazione ed esecuzione di pagamenti attraverso i canali propri dell’ASPSP, ad esempio attraverso la richiesta di informazioni ulteriori rispetto a quelle richieste per l’accesso diretto o all’inizializzazione di un pagamento attraverso il proprio conto di pagamento.

L’EBA chiarisce che né la PSD2, né gli RTS, obbligano gli ASPSP ad implementare sistemi di autenticazione specifici volti a consentire pagamenti attraverso l’utilizzo dei servizi forniti dai PISP, predisponendo procedure ad hoc ulteriori rispetto a quelle create per i pagamenti eseguiti presso il prestatore di radicamento del conto. Ai sensi della normativa applicabile, un PISP ha il solo diritto di avviare le stesse transazioni che l’ASPSP offre ai propri utenti, con la conseguenza che se un ASPSP dovesse offrire ai propri clienti la possibilità di effettuare pagamenti istantanei presso specifici point-of-sales, l’ASPSP dovrebbe anche consentire ai propri clienti di avviare pagamenti istantanei, entro gli stessi limiti di importo, presso specifici point-of-sales utilizzando i servizi forniti dai PISP.

In tema, invece di strong customer authentication e selezione del conto per le transazioni effettuate dai PISP, secondo l’EBA, laddove lo stesso utente decida di effettuare un pagamento avvalendosi del servizio di disposizione di ordine di pagamento fornito da un PISP, se il PISP trasmette all’ASPSP tutte le informazioni necessarie per avviare il pagamento – compreso il numero di conto o l’IBAN del conto da addebitare – non è necessaria la doppia autenticazione, a meno che l’ASPSP non sia in grado di dimostrare che tale richiesta è dovuta a ragioni di sicurezza debitamente giustificate e dimostrabili (i.e. il sospetto di frode per una particolare transazione).

Diversamente, nel caso in cui sia lo stesso utente a dover selezionare presso il proprio istituto di credito il conto da addebitare nell’ambito di una transazione effettuata avvalendosi di un PISP, la richiesta di doppia autenticazione – una per accedere all’elenco dei conti di pagamento e una seconda per autenticare il pagamento – non costituisce un ostacolo censurabile.

Quanto alla frequenza della richiesta di autenticazione nell’ambito del servizio di accesso ai conti, a parere dell’EBA, l’obbligo di ri-autenticazione ogni 90 giorni, rappresenta un adeguato equilibrio tra gli obiettivi di agevolazione della concorrenza perseguiti dalla PSD2 e la facilità d’utilizzo dei servizi promossi dai TPP da parte dei consumatori, da un lato, e di garanzia dei necessari presidi di la sicurezza, dall’altro.

Da ultimo, nel parere oggetto di commento, l’EBA affronta il tema dei controlli aggiuntivi sul consenso e registrazioni supplementari, chiarendo che anche un consenso generale richiesto ex ante dagli ASPSP per consentire agli utenti di avvalersi dei servizi di AISP e PISP deve considerarsi un ostacolo. Ciò nonostante, l’EBA riconosce che alcune procedure di registrazione potrebbero essere tecnicamente necessarie per consentire una comunicazione sicura tra TPP e ASPSP, senza che esse costituiscano necessariamente un ostacolo.

Sabrina Galmarini – s.galmarini@lascalaw.com

© RIPRODUZIONE RISERVATA

Print Friendly

Condividi su

Potrebbe interessarti anche
Arriva in Gazzetta Ufficiale la Direttiva (UE) sul whistleblowing

Banca d’Italia, a seguito di una serie di richieste di chiarimento pervenute sia da parte degli in...

Vigilanza

European Banking Authority: servizi finanziari a distanza e tutela del consumatore

In data 15 giugno 2020, è stata pubblicata sulla Gazzetta Ufficiale dell’Unione Europea, la Racco...

Vigilanza

Il Manuale Utente delle comunicazioni oggettive

Il Decreto Liquidità è stato recentemente convertito nella Legge del 5 giugno 2020, n. 40 (pubblic...

Vigilanza

X