Nell’ambito dei pagamenti online, il sistema bancario europeo è attualmente impegnato nelle attività di adeguamento al Regolamento dell’Autorità Bancaria Europea (EBA) n. 389 del 27.11.2017 (emanato su mandato della Direttiva PSD2).
Il provvedimento ha fissato regole tecniche standard per la comunicazione sicura, tramite interfacce dedicate (API – Application Programming Interface), tra le banche di radicamento dei conti di pagamento online e i prestatori di servizi di disposizione di ordini di pagamento, di informazione sui conti, e di conferma di disponibilità fondi (cc.dd. Terze Parti). Tali servizi, già dal 13 gennaio 2018, sono “servizi di pagamento” al pari dei più tradizionalmente noti, e per questo sottoposti alla normativa di settore.
In tale ambito il Regolamento ha fissato al 14 settembre 2019 il termine entro il quale le banche dovranno rendere disponibili le API ai prestatori di questi servizi di pagamento, conformemente alle regole previste.
In questo contesto l’Autorità, nell’ottica di mitigare i potenziali rischi derivanti da ipotesi di indisponibilità tecnica delle API, ha autorizzato (art. 33, § 4, del Regolamento) le Terze Parti ad utilizzare, in caso di indisponibilità non programmata dell’interfaccia dedicata e guasto dei sistemi, l’interfaccia messa a disposizione degli utenti dei servizi, finché non venga ripristinato l’adeguato livello di disponibilità e prestazioni dell’interfaccia dedicata (fall – back solution). L’Autorità ha tuttavia prescritto (art. 33, § 6, del Regolamento) che le autorità competenti nazionali (per le Banche italiane, Banca d’Italia) possano esonerare le banche di radicamento del conto dall’obbligo di mettere a disposizione, nei casi sopra esposti, l’interfaccia dell’utente, purché l’interfaccia dedicata soddisfi determinati requisiti / condizioni di sicurezza (sul punto di particolare interesse sono gli “Orientamenti sulle condizioni per beneficiare dell’esonero dal meccanismo di emergenza dell’art. 33 § 6 del Reg. 389/2017” di EBA del 04.12.2018) da implementare e testare prima del termine per l’adeguamento. A questo proposito EBA ha previsto per le banche di radicamento del conto l’obbligo di i) misurare su base giornaliera il livello di funzionamento / malfunzionamento delle interfacce attraverso appositi key performance indicators;ii) pubblicare statistiche trimestrali sulle performance delle interfacce (dedicate e utente) allo scopo di consentire alle Terze Parti e all’utente di raffrontare i livelli di servizio di ciascuna delle due tipologie di interfacce; iii) sottoporre le interfacce dedicate e i predetti KPI ad attività di stress testing; iv) implementare interfacce che non creino ostacoli alle Terze Parti (in particolare con riferimento ai sistemi di autenticazione); v) rendere disponibile, almeno sei mesi prima del termine per l’adeguamento, un dispositivo di prova della connessione e del funzionamento, al fine di consentire alle Terze Parti autorizzate di provare il software e le applicazioni utilizzati; vi) consentire alle Terze Parti, in questa fase di implementazione, un ampio utilizzo per almeno tre mesi (compresi nei predetti sei mesi); vii) verificare che gli eventuali problemi relativi all’interfaccia dedicata sono stati risolti senza indebiti ritardi; viii) implementare le interfacce in ambiente di produzione entro il 1 giugno 2019.
Banca d’Italia, con comunicazione del 27.12.2018, ha fornito alle banche le tempistiche, le istruzioni operative, e la modulistica per richiedere l’esonero in esame, indicando in particolare le informazioni da comunicarle per attestare il rispetto delle predette condizioni di sicurezza. In particolare è stato previsto che le banche comunichino a Banca d’Italia: i) entro il 14 marzo 2019 (Modulo “Informazioni sull’interfaccia dedicata”) un primo stock di informazioni generali (livello di servizio, disponibilità e prestazione delle interfacce, piano di pubblicazione delle statistiche sulle performance, procedure di autenticazione, procedure di risoluzione di eventuali problemi); ii) entro il 14 giugno 2019 (Modulo “Informazioni sui test e sugli stress test”) i risultati dei test effettuati con il dispositivo di prova, nonché quelli emersi dalle attività di stress testing (comprensivi delle assunzioni utilizzate e dei test condotti in ambiente di collaudo); iii) entro il termine ordinatorio del 1 agosto 2019 (Modulo “Utilizzo delle interfacce dedicate”) i risultati dell’ampio utilizzo della piattaforma da parte delle Terze Parti, nonché l’esito delle modalità di utilizzo delle piattaforme in ambiente di produzione dal 1 giugno 2019 fino al momento della comunicazione (informazione quest’ultima che costituisce atto formale di presentazione dell’istanza di esonero); iv) entro i primi giorni di settembre 2019, solo qualora vi siano differenze significative rispetto a quanto comunicato al 1 agosto, eventuali evidenze integrative sull’utilizzo delle piattaforme.
Banca d’Italia ha infine chiarito che, in caso di adesione a “soluzioni cooperative” sorvegliate ai sensi dell’art. 146 del TUB, la comunicazione al 14 marzo assolverà anche all’obbligo della comunicazione preventiva a Banca d’Italia prevista dalla normativa sulle esternalizzazioni di Funzioni Operative Importanti (FOI), restando in capo alle banche l’onere di trasmettere, insieme alle predette informazioni, un’analisi dei rischi, e sempre che la piattaforma abbia confermato di aver proceduto alla comunicazione preventiva di esternalizzazione FOI.
