1. Premessa
Come recentemente osservato dalla Banca d’Italia [1], “nel complesso il quadro normativo dei servizi di pagamento appare al momento adeguato a favorire lo sviluppo di start up innovative. Grazie alle tecnologie stanno emergendo nuovi modelli di servizio; sono sperimentazioni che la Banca d’Italia segue con attenzione”: in tale nuovo contesto competitivo, la novità più rilevante introdotta dalla Direttiva (UE) 2015/2366 (c.d. PSD2) è stata quindi quella di aver attratto nel proprio ambito di applicazione prodotti e servizi innovativi – nati dopo l’entrata in vigore della Direttiva 2007/64/CE – al fine di garantire maggiore chiarezza giuridica agli operatori del mercato dei servizi di pagamento e agli utenti.
Nel tentativo di colmare tali lacune della passata disciplina, la PSD2, da un lato, ha ampliato l’elenco dei servizi di pagamento e, dall’altro lato, ha aperto il mercato ad una nuova categoria di operatori: i c.d. Third Party Providers (“TPPS”).
Il presente contribuito intende concentrarsi sui tratti salienti nonché sui possibili dubbi interpretativi del nuovo servizio d’informazione sui conti (Account Information Service, “AIS”) – ora incluso nei servizi di pagamento di cui all’art. 1, co. 2, lett. h-septies.1, del TUB- e dei relativi TPPS (Account Information Services Providers, “AISPS”).
2. L’AIS
Come noto, ai sensi dell’art. 1, co. 1, lett. b-ter), del D.lgs. 27 gennaio 2010, n. 11, l’AIS è:
- un servizio online;
- che fornisce informazioni;
- relativamente a uno o più conti di pagamento detenuti dall’utente di servizi di pagamento presso un altro prestatore di servizi di pagamento o presso più prestatori di servizi di pagamento.
I tratti caratterizzanti l’AIS sono, pertanto, la modalità di prestazione online, la fornitura di informazioni all’utente e la circostanza che le stesse si riferiscano a conti di pagamento: in difetto di uno di essi, il servizio non può essere qualificato come un servizio di pagamento.
Modalità online
L’AIS deve essere in primo luogo online, ossia prestato tramite un dispositivo di telecomunicazione, digitale o informatico gestito dall’AISP: un servizio è qualificabile come digitale se esso non è in alcun modo utilizzabile per l’ottenimento di beni o servizi nel mondo fisico [2]. Per fornire tale servizio, infatti, l’AISP accede ad un’interfaccia che consente la comunicazione sicura con i prestatori di servizi di pagamento di radicamento del conto (Account Servicing Payment Service Providers, “ASPSPS”) [3].
Tuttavia, come disposto dall’art. 3, lett. j), della PSD2, ancorché siano prestati online, restano comunque esclusi dall’ambito di applicazione della PSD2 i servizi forniti da prestatori di servizi tecnici, che supportano la prestazione dei servizi di pagamento, senza mai entrare in possesso dei fondi da trasferire, compresi l’elaborazione e la registrazione di dati, i servizi fiduciari e di protezione della riservatezza, l’autenticazione dei dati e delle entità, la fornitura di reti informatiche e di comunicazione, la fornitura e la manutenzione di terminali e dispositivi utilizzati per i servizi di pagamento.
Al riguardo, pertanto, un possibile dubbio interpretativo sussiste con riguardo agli schemi operativi in cui diverse parti collaborano al fine di ottenere, elaborare e fornire al cliente finale le informazioni sugli account di pagamento (c.d. “four-party” schemes): vi è stata (e sussiste) nel mercato l’incertezza circa il perimetro di rilevanza della riserva prevista dalla PSD2 per la prestazione di servizi di pagamento; in particolare, se e a quali condizioni, un operatore che agisca come mero fornitore di dati (senza mai relazionarsi con il cliente finale) ricada nell’ambito di applicazione della disciplina sugli AISPS [4].
Sul punto, l’interpretazione resa dall’FCA in fase di implementazione della PSD2 nel Regno Unito, ancorché non possa estendersi direttamente al nostro ordinamento [5] è stata nel senso che “there must have been access to an account, the information must have been consolidated in some way, and must have been provided to a user”. In sostanza, l’FCA evidenzia la necessità che il servizio venga reso direttamente ad un utente di servizi di pagamento: sulla scorta di tale interpretazione, i fornitori di servizi che assistono altre imprese nel pooling delle informazioni per conto di clienti e che prestano servizi esclusivamente in favore di soggetti diversi dagli utenti di servizi di pagamento, dovrebbero essere esclusi dall’ambito di applicazione della disciplina in narrativa.
Fornitura di informazioni
In secondo luogo, perché un servizio online possa considerarsi AIS, occorre che l’AISP fornisca informazioni all’utente, in modo che quest’ultimo possa disporre immediatamente di un quadro generale della sua situazione finanziaria in un dato momento. Nella pratica, l’AIS consente ai consumatori e alle imprese di avere una visione globale della loro situazione finanziaria attraverso il consolidamento delle informazioni concernenti diversi conti di pagamento [6].
Sul punto, si osserva che, rispetto alla definizione di AIS data nella PSD2, il D.lgs. 11/2010 non prevede che le informazioni fornite dall’AISP siano aggregate o consolidate (“aggregated” o “consolidated”nella versione inglese) [7].
Pertanto, ad una prima lettura, parrebbe che il legislatore italiano abbia voluto estendere la definizione di AIS a qualsivoglia servizio online che fornisca informazioni – ancorché non in forma aggregata o consolidata – su uno o più conti di pagamento; in altri termini, anche laddove l’informazione fornita dall’AISP all’utente sia “singola”, ossia riferibile ad un solo specifico conto di pagamento, ciò integrerebbe un AIS, con conseguente applicazione della normativa di derivazione PSD2.
Posta l’assenza di indicazioni nel vigente quadro normativo europeo, ed in attesa di ulteriori chiarimenti da parte della Banca d’Italia, si ritiene utile citare nuovamente le considerazioni rese dall’FCA: al riguardo, l’autorità inglese si è espressa chiarendo che “for a service to be an account information service it is also necessary for it to involve the provision of payment account information to the payment service user that has been consolidated in some way (although a service may be an account information service even if the information relates to only one payment account) […] However, the business that requires authorisation or registration to provide the account information service is the one that provides consolidated account information to the payment service user (including through an agent) in line with the payment service user’s request to that business” [8].
Pertanto, secondo la richiamata interpretazione dell’FCA (peraltro condivisibile), il “consolidamento” delle informazioni qualifica un servizio come AIS e, solo in tal caso, l’autorizzazione o registrazione dell’AISP è necessaria, ancorché un servizio potrebbe teoricamente essere qualificato come tale anche allorquando le informazioni attengano ad un singolo conto di pagamento [9].
Conti di pagamento
L’elemento di certezza relativamente alla terza (ed ultima) caratteristica è che le informazioni aggregate online si riferiscano a conti di pagamento.
Atteso che la PSD2 – ratione materiae – ha potuto circoscrivere l’AIS alle sole informazioni relative a “uno o più conti di pagamento”, con esclusione di conti di diversa natura (quali, ad esempio, i conti titoli), ci si chiede se vi siano i presupposti perché l’aggregazione online di informazioni relative a conti titoli [10] da parte di un soggetto che non rientra in quelli abilitati alla prestazione di servizi di pagamento (banche, istituti di pagamento e IMEL), possa in qualche modo essere attratta nella riserva di legge imposta dalla PSD2.
Sul punto, si ritiene che se, da un lato, non è esclusa per l’AISP la possibilità di prestare il servizio di aggregazione anche con riferimento ai conti titoli ed è escluso l’obbligo di registrazione per un operatore che fornisca informazioni aggregate esclusivamente con riguardo ai conti titoli, dall’altro lato, meriterebbe un chiarimento l’ipotesi del soggetto (non registrato come AIPS) che fornisce al cliente informazioni online sul suo “portafoglio globale”, costituito quindi anche da conti di pagamento [11].
3. L’AISP
La PSD2 ha voluto stabilire un quadro giuridico chiaro in merito alle condizioni alle quali l’AISP possa prestare i propri servizi con il consenso del cliente, senza che il l’ASPSPS gli imponga di usare un particolare modello commerciale.
Come si vedrà meglio nel seguito, l’AISP e l’ASPSPS dovrebbero soddisfare i necessari requisiti in materia di protezione e sicurezza dei dati stabiliti o citati nella PSD2 o indicati nei progetti di norme tecniche di regolamentazione [12].
Soggetti già esistenti vs. nuovi soggetti sul mercato?
Come noto, ai sensi dell’art. 114-sexies del TUB, la prestazione di servizi di pagamento è riservata alle banche, agli IMEL e agli istituti di pagamento. Inoltre, ai sensi dell’art. 106, co. 2, del TUB, gli intermediari finanziari possono prestare servizi di pagamento a condizione che siano a ciò autorizzati ai sensi dell’articolo 114–quinquies, comma 4, e iscritti nel relativo albo, oppure prestare solo servizi di pagamento a condizione che siano a ciò autorizzati ai sensi dell’articolo 114–novies, comma 4, e iscritti nel relativo albo.
L’abusiva prestazione di servizi di pagamento è sanzionata dall’art. 131-ter del TUB con la reclusione da sei mesi a quattro anni e con la multa da 2.066 euro a 10.329 euro.
Pertanto, i TPPS che intendano prestare esclusivamente l’AIS dovranno richiedere di essere iscritti, ai sensi dell’art. 114-septies, co. 2-bis, del TUB, in una sezione speciale dell’albo degli istituti pagamento, al ricorrere di determinate condizioni e subordinatamente alla stipula di una polizza di assicurazione della responsabilità civile o analoga garanzia per i danni arrecati all’ASPSPS o all’utente [13].
Diversamente, i soggetti già autorizzati a prestare servizi di pagamento ai sensi del richiamato art. 114-sexies del TUB potranno automaticamente prestare (anche) l’AIS, dal momento che il D.lgs. 15 dicembre 2017, n. 218 – di recepimento della PSD2 in Italia – non prevede una limitazione in tal senso [14].
Autorizzazione
Considerando la natura specifica dell’attività svolta e i rischi legati alla prestazione dell’AIS, la PSD2 prevede un regime prudenziale specifico per gli AISPS.
In particolare, tenuto conto che le Disposizioni di vigilanza per gli istituti di pagamento e gli istituti di moneta elettronica della Banca d’Italia [15] non sono ancora state emendate al fine di recepire le novità introdotte nel TUB e nel D.lgs. 11/2010, si ritiene utile richiamare il disposto di cui all’art. 33 della PSD2, secondo cui gli AISPS (persone fisiche o giuridiche) ancorché “esentat(i) dall’applicazione della procedura e delle condizioni di cui alle sezioni 1 e 2” del Titolo II, sono tenuti a presentare una domanda di registrazione, corredata dagli elementi informativi richiesti “dall’articolo 5 (Domanda di autorizzazione), paragrafo 1, lettere a), b), da e) a h), j), l), n), p) e q), e dall’articolo 5, paragrafo 3” della PSD2.
Conseguentemente, i TPPS che intendano presentare domanda di registrazione sono tenuti a presentare una serie di informazioni, tra cui un programma di attività, un piano aziendale (comprendente una stima provvisoria del bilancio per i primi tre esercizi finanziari), una descrizione dei dispositivi di governo societario [16] nonché una descrizione della procedura esistente per monitorare e gestire gli incidenti relativi alla sicurezza e i reclami dei clienti in materia di sicurezza.
Come accennato, in aggiunta a quanto sopra, e nonostante l’esenzione dalla disciplina sui fondi propri, il legislatore europeo ha imposto agli AISPS, quale condizione per la registrazione, la sottoscrizione di un’assicurazione per la responsabilità civile professionale (Professional Indemnity Insurance, “PII”) o una garanzia comparabile valida in tutti i territori in cui offrono i loro servizi [17].
L’EBA ha pubblicato i propri orientamenti sulle informazioni che devono essere fornite per la registrazione degli AISPS [18].
In sostanza, alla luce degli elementi informativi richiesti, gli AISPS dovranno dotarsi di una struttura di governance, capace di sovraintendere alla funzionalità del sistema di controllo interno (anche mediante l’identificazione di soggetti dedicati alle funzioni di controllo interno nonché di controllo delle attività prestata dagli outsourcer) e di curare l’identificazione dei principali rischi aziendali.
Professional Indemnity Insurance (PII)
Secondo la PSD2, le liabilities peculiari per un AISP sono quelle strettamente connesse all’accesso non autorizzato o fraudolento alle informazioni del conto di pagamento o all’uso non autorizzato o fraudolento delle stesse.
In argomento, l’EBA, lo scorso 12 settembre, ha pubblicato i propri orientamenti sui criteri per stabilire l’importo monetario minimo dell’assicurazione o analoga garanzia [19].
Al fine di calcolare l’importo monetario minimo della PII o di una garanzia analoga per gli AISPS, le autorità competenti dovrebbero sommare l’importo relativo al criteiro del profilo di rischio (parametrato al numero di conti di pagamento a cui ha avuto accesso l’AISP) e l’importo relativo al criterio della dimensione dell’attività (parametrato al numero di clienti dell’AISP).
Accesso ai dati degli utenti e rapporti tra AISP e ASPSP
La PSD2 contiene il proprio insieme di regole sull’accesso ai dati personali dei clienti per gli AISPS; in particolare, le disposizioni della PSD2 integrano (e non sostituiscono) le previsioni di cui al nuovo Regolamento (UE) 2016/679 (c.d. GDPR).
A titolo esemplificativo, agli AISPS viene imposto di non richiedere (e pertanto trattare),dati sensibili relativi ai pagamenti, definiti dalla PSD2 come “dati che possono essere usati per commettere frodi, incluse le credenziali di sicurezza personalizzate”, e pertanto, differenti dai dati personali (c.d. dati sensibili) di cui all’art. 9 della GDPR [20].
Rilevando preliminarmente come le disposizioni della PSD2 non esauriscono gli obblighi incombenti sugli AISPS, i quali dovranno allinearsi alle più ampie regole del GDPR [21] in vigore dal maggio prossimo, si rileva che l’art. 5-quater del D.lgs. 11/2010 dispone, inter alia, che gli AISPS:
- prestano il proprio servizio unicamente sulla base del consenso esplicito dell’utente;
- accedono soltanto alle informazioni sui conti di pagamento designati e sulle operazioni di pagamento effettuate a valere su tali conti;
- non richiedono dati sensibili relativi ai pagamenti;
- non usano, né conservano dati, né vi accedono per fini diversi da quelli della prestazione dell’AIS, conformemente alle norme sulla protezione dei dati.
Inoltre, da notare che lo stesso art. 5-quater prevede che la prestazione dell’AIS da parte dell’AISP non è subordinata all’esistenza di un rapporto contrattuale tra l’AISP e l’ASPSP; tuttavia, la norma non esclude l’opportunità – visto anche l’impianto sanzionatorio per l’inosservanza della stessa [22] – che venga regolato contrattualmente il rapporto tra i due soggetti, dal momento che prescrive che gli stessi debbano comunicare tra di loro in maniera sicura, conformemente all’art. 98(1)(d) della PSD2 e alle relative norme tecniche di regolamentazione adottate dalla Commissione europea [23].
[1] Banca d’Italia, Indagine conoscitiva sulle tematiche relative all’impatto della tecnologia finanziaria sul settore finanziario, creditizio e assicurativo– Audizione del Vice Direttore Generale della Banca d’Italia, Fabio Panetta – Roma, 29 novembre 2017; interessante, sul punto, anche Consob, Lo sviluppo del FinTech – Opportunità e rischi per l’industria finanziaria nell’era digitale, marzo 2018.
[2] Banca d’Italia, Provvedimento 5 luglio 2011 per l’attuazione del Titolo II del decreto legislativo n. 11 del 27 gennaio 2010 relativo ai servizi a pagamento (Diritti ed obblighi delle parti).[3] Prestatori di servizi di pagamento che offrono e amministrano un conto di pagamento per un pagatore (art. 1, co. 1, lett. g-bis, del D.lgs. 11/2010).
[4] FCA moves to clarify scope of regulation of account information services under PSD II, Outlaws, Pinsent Masons.
[5] Implementation of the revised Payment Services Directive (PSD II): Approach Document and final Handbook changes, Policy Statement PS17/19, September 2017, p. 20.
[6] Inoltre, è possibile avere la classificazione delle abitudini di spesa secondo diverse tipologie (cibo, energia, affitto, tempo libero, etc.), fornendo così supporto nel budgeting e nella pianificazione finanziaria.
[7] Considerando n. 28 e art. 4(16) della PSD2.
[8] FCA, Q25A Perimeter Guidance Manual (PERG).
[9] Con riguardo alla nozione di “consolidamento”, l’European Banking Federation (EBF), nelle proprie Guidance for implementation of the revised Payment Services Directive, ha fornito alcuni chiarimenti in merito all’interpretazione della nozione di AIS: “the aggregation of information on payment accounts (…) allows clients to obtain a consolidated view on their payment accounts. For that purpose, clients allow a provider to access information from their payment accounts and to provide services based upon the account information related to their payment accounts.There are many features and information around a payment account (terms, conditions, fees) that can also be connected to services (mortgages, loans, deposits) that differ from the payment services ones. The definition does not specify which type of information the Account Information Services Provider (AISP) shall make available to the user. However, Recital 28 states that, through AIS, the payment service user is able to have an “overall view of its financial situation” from many payment accounts and article 67(2) (d) provides that the AIS providers “access only the information from designated payment accounts and associated payment transactions”. By combining the two above mentioned criteria it appears that the information the payer’s AS PSP shall make available concerns the updated account balances of the payment accounts (e.g. current account, credit card accounts etc.) and payment account debit / credit entries related to the payment transactions as within the scope in the Directive (only if the payment account is accessible on line, i.e. online banking). In all circumstances, the PSU has chosen to use online banking”.
[10] Interessante, sul punto: https://www.prometeia.it/atlante/psd2-portabilita-informazioni-conti.
[11] Si pensi ai “family office” italiani ed esteri presenti sul mercato, la cui attività principale si concretizza nella reportistica consolidata dell’intero portafoglio del cliente, ai fini della pianificazione patrimoniale.
[12] Tali norme dovrebbero essere compatibili con le diverse soluzioni tecnologiche disponibili. Al fine di assicurare la comunicazione sicura tra i pertinenti soggetti nel contesto di quei servizi, l’ABE dovrebbe altresì specificare i requisiti di standard comuni e aperti di comunicazione che tutti gli ASPSPS che permettono la prestazione di servizi di pagamento online dovranno attuare. Ciò significa che tali standard aperti dovrebbero pertanto assicurare l’interoperabilità di soluzioni tecnologiche di comunicazione diverse. Tali standard comuni e aperti dovrebbero altresì assicurare che l’ASPSP sia al corrente del fatto che è contattato dall’AISP e non dal cliente stesso. Inoltre, tali standard dovrebbero assicurare che l’AISP comunichi in maniera sicura con l’ASPSP e con i clienti coinvolti. Nello sviluppo dei requisiti, l’ABE dovrebbe prestare particolare attenzione a che gli standard da applicare permettano l’uso di tutti i tipi comuni di dispositivo (computer, tablet, telefoni cellulari) per effettuare i vari servizi di pagamento.
[13] I dati identificativi della polizza assicurativa o della analoga garanzia sono altresì pubblicati nell’albo.
[14] L’art. 5, co. 3, del D.lgs. 218/2017 dispone che “gli istituti di pagamento e gli istituti di moneta elettronica autorizzati a operare alla data del 13 gennaio 2018 possono continuare a esercitare le attività cui si riferisce l’autorizzazione fino al 13 luglio 2018. Gli istituti di cui al periodo precedente sono autorizzati a esercitare le stesse attività dopo il 13 luglio 2018 a condizione che rispettino i requisiti previsti ai sensi degli articoli 114 -quinquies e 114 -novies del decreto legislativo 1° settembre 1993, n. 385 e trasmettano la documentazione attestante il rispetto dei requisiti stessi alla Banca d’Italia entro il 13 aprile 2018 (..)”.
[15] Provvedimento del 17 maggio 2016.
[16] Ivi inclusa la mappatura dei rischi e le procedure di controllo interno da parte delle funzioni responsabili.
[17] Agli AISPS è consentita la prestazione di servizi su base transfrontaliera, in quanto i medesimi beneficiano del regime di passaportazione.
[18] EBA/GL/2017/09.
[19] EBA/GL/2017/08.
[20] Ossia dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.
[21] Considerando 89 della PSD2.
[22] Per l’inosservanza dell’art. 5-quater, l’art. 32 del D.lgs. 11/2010 prevede che nei confronti dei prestatori di servizi di pagamento si applichi la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 5 milioni ovvero fino al 10% del fatturato, quando tale importo è superiore a euro 5 milioni e il fatturato è disponibile e determinabile.
[23] Si veda nota 12. Al riguardo, si evidenzia come sia lo stesso art. 36, co. 5, del Regolamento delegato (UE) 2018/389 ad avvalorare tale tesi, nella parte in cui afferma che gli AISPS possono accedere alle informazioni relative ai conti di pagamento designati e alle operazioni di pagamento associate presso gli ASPSPS “(…) se l'utente dei servizi di pagamento non richiede esplicitamente tali informazioni, al massimo quattro volte nell'arco di 24 ore, a meno che non sia concordata una frequenza più elevata tra il prestatore di servizi di informazione sui conti e il prestatore di servizi di pagamento di radicamento del conto, con il consenso dell'utente dei servizi di pagamento”.
