Psd2, un percorso a ostacoli non ancora terminato

Sono passati quasi tre anni dall’entrata in vigore ufficiale, eppure la Psd2 non sembra aver ancora generato gli effetti inizialmente immaginati. La normativa europea sui servizi di pagamento avrebbe dovuto favorire lo sviluppo di offerte terze per i clienti bancari, grazie all’accesso diretto ai conti correnti, regolamentati tecnicamente dallo sviluppo di Api conformi, utili per agevolare l’interscambio.

Da più parti, tuttavia, si osserva come le banche stiano tuttora procedendo con lentezza e le offerte non siano fin qui andati al di là degli aggregatori di conti e di alcune forme di inizializzazione di pagamento. CI sono paesi, come il Regno Unito, che sono partiti più celermente, tant’è vero che il numero di call Api laggiù è passato da 67 milioni nel 2018 a quasi 6 miliardi nel 2020. Da noi, e non solo, il percorso appare ancora accidentato, al punto che qualche mese fa è arrivato un richiamo formale anche da parte dell’Eba (European bank authority).

Il nuovo punto di svolta potrebbe essere rappresentato dalla Strong customer authentication (Sca), divenuta obbligatoria da quest’estate (dopo vari rinvii) e che costringe le banche a rivedere i propri protocolli. Ogni individuo che effettua un acquisto superiore ai 30 euro (valore che sale per transazioni a basso rischio o beneficiari attendibili) deve poter utilizzare due meccanismi di verifica su tre indicati dalla normativa, ovvero password, dispositivo o caratteristica biometrica. Anche qui, però, si lamentano incertezze e ritardi. Non tutti gli istituti di credito, per esempio, hanno adeguato le procedure al protocollo di sicurezza Emvco 3D-Secure 2, che si occupa delle transazioni online in Europa con carta di credito. Più in generale, il collegamento fra l’applicazione di un commerciante e quella della banca non è sempre fluido e senza intoppi, con rischio serio per l’esperienza d’acquisto e il suo corretto completamento.  

Più trasparenza nell'accesso alle informazioni bancarie

Com’è già accaduto per l’applicazione di altre normative europee, la difficoltà più grande resta l’armonizzazione dei vari sistemi coinvolti. Il panorama bancario continentale appare ancora molto frammentato e questo va ascritto al fatto che ogni banca in ogni paese deve sviluppare le proprie Api. Secondo la società di consulenza Cmspi, a rischio ci sarebbe un volume di transazioni online pari a un valore di 108 miliardi di euro in tutta Europa e di quasi 14 miliardi nella sola Italia.

Un altro aspetto critico riguarda l’accesso alle informazioni bancarie dei clienti. Le fintech scalpitano per poter ottenere quanto necessario allo sviluppo dei propri servizi, ma ci sono istituti che ancora tendono a non fornire la completezza auspicata. Questo disallineamento sta già generando distorsioni, dovute al fatto che i Tpp (Third party provider) ricorrono a tecniche come il Web scraping per recuperare i dati, ovvero estraendoli direttamente dai siti Web delle banche.

C’è poi il capitolo dell’iniziazione dei pagamenti tramite Api sviluppate dagli stessi istituti di credito. Questa procedura dovrebbe porsi come alternativa meno onerosa rispetto all’utilizzo delle carte, facendo sì che sia il beneficiario a far scattare l'ordine di trasferimento. Grazie a questo sistema, la transazione viene effettuata da un conto all'altro senza intermediari, ma per ora restano seri problemi di armonizzazione tra le diverse soluzioni proposte dalle banche. Anche qui ci sono differenze notevoli fra i paesi, con la Svezia che fa impiegare 6 secondi per l’inizio di un pagamento end-to-end e il resto d’Europa dove viaggiamo intorno ai 20 secondi.