EBA, con Q&A n. 7265/2024, in ambito PSD2, ha chiarito se i diritti di accesso ai conti correnti aziendali, differenziati per singolo dipendente/ente autorizzato, da parte dell’utente dei servizi di pagamento (solitamente imprese di grandi dimensioni), ed avallati dagli istituti di credito, possano o meno considerarsi “ostacoli” alla fornitura di servizi di disposizione di ordini di pagamento, ai sensi del Regolamento delegato (UE) 2018/389.
Per le multinazionali, la gestione dei propri conti bancari (avvio di pagamenti e visualizzazione delle informazioni sul conto) comporta rischi significativamente maggiori rispetto ai privati e alle PMI, a causa:
- dell’elevato numero di operazioni di pagamento e di registrazioni di dati di pagamento sensibili e personali
- dell’elevato numero di utenti/dipendenti con diritti di avvio e/o visualizzazione dei pagamenti
- di aziende che utilizzano più canali elettronici e strumenti di pagamento
- di aziende che hanno molti conti bancari in diverse valute in più paesi, spesso con più istituti di credito pan-europei
- della configurazione della gestione dei loro conti e della liquidità, che può essere soggetta a strutture di gestione della liquidità e/o centri di pagamento (centralizzazione delle operazioni).
Per gestire tali rischi, le imprese dispongono di policy per identificare, valutare e mitigare i potenziali rischi associati all’elaborazione dei pagamenti, come:
- frodi
- violazioni dei dati
- continuità operativa.
La gestione quotidiana effettiva dei conti è svolta da utenti/dipendenti nominati dall’azienda o, in caso di centralizzazione della gestione dei conti, da società del gruppo.
Le aziende implementano matrici di delega dettagliate con i propri istituti di credito per gestire il rischio, in particolare le frodi e l’accesso non autorizzato a informazioni aziendali sensibili e dati personali inclusi nelle informazioni sulle transazioni.
Le matrici di delega sono generalmente molto dettagliate, consentono agli utenti di accedere a uno/più/tutti i conti e includono generalmente limitazioni/condizioni:
- autorizzazione congiunta o separata (livelli di autorizzazione)
- autorizzazione fino a determinati importi
- accesso tramite uno o più canali elettronici/strumenti di pagamento
- utilizzo di determinati prodotti di pagamento.
La politica di governance dell’azienda stabilisce le regole interne, tuttavia i controlli sull’attuazione di tale politica sono anche implementati attraverso strumenti di autorizzazione emessi dagli istituti di credito dell’azienda: per gli istituti di credito è fondamentale rispettare le matrici di delega, per prevenire il rischio di operazioni di pagamento non autorizzate e/o la fuga di dati (personali).
Con l’introduzione dell’Open Banking, le imprese hanno a disposizione un nuovo “canale PSD2” per la gestione dei conti: di conseguenza, per gestire e controllare tali rischi, possono diversificare ulteriormente le loro matrici di delega e specificare se ed in che misura un utente abbia l’autorità di gestire i conti attraverso fornitori di servizi di pagamento terzi (TPP).
Poiché i servizi di Open Banking possono essere richiesti dagli utenti tramite app mobili, le aziende implementano ulteriori condizioni per controllare quali dati sensibili e personali possono essere condivisi e con chi, ad esempio specificando nelle loro matrici di delega quali utenti possono avere accesso a (determinati) conti tramite TPP senza necessariamente duplicare la matrice di delega esistente per i canali proprietari dell’istituto di credito.
Il paragrafo 46 del parere EBA sugli ostacoli (EBA/OP/2020/10) riconosce che solo determinati utenti possono avere l’autorità di gestire i conti; pertanto, un utente può avere l’autorità di gestire uno o più conti attraverso uno o più canali, fatte salve le condizioni applicabili (ad esempio possono essere applicati limiti diversi per un utente: un limite di 1500 euro per una carta, un limite di 100.000 per l’e-banking e nessun limite per il canale host-to-host.
EBA ricorda, nella propria risposta, che gli artt. 66, par. 1, e 67, par. 1, della PSD2, impongono agli Stati membri di garantire che gli utenti dei servizi di pagamento (PSU) abbiano il diritto di utilizzare i servizi di disposizione di ordini di pagamento e di informazione sui conti forniti da prestatori terzi (TPP).
Gli artt. 66, par. 4, lett. c), e 67, par. 3, lett. b), della PSD2 impongono inoltre ai prestatori di servizi di pagamento di conto di trattare gli ordini di pagamento trasmessi tramite i servizi di un prestatore di servizi di disposizione di ordini di pagamento senza alcuna discriminazione, salvo che per motivi oggettivi, in particolare in termini di tempistica, priorità o commissioni rispetto agli ordini di pagamento trasmessi direttamente dal pagatore e di trattare le richieste di dati trasmesse tramite i servizi di un prestatore di servizi di informazione sui conti senza alcuna discriminazione, salvo che per motivi oggettivi.
L’art. 32, par. 2, del Regolamento delegato (UE) 2018/389 prevede che gli istituti di credito che hanno messo in atto un’interfaccia dedicata debbano garantire che tale interfaccia non crei ostacoli alla fornitura di servizi di disposizione di ordini di pagamento e di informazione sui conti; tale articolo menziona esplicitamente, come esempio di ostacoli vietati, la richiesta di ulteriori verifiche del consenso prestato dagli utenti dei servizi di pagamento ai prestatori di servizi di disposizione di ordini di pagamento e di informazione sui conti.
Per quanto riguarda l’accesso ai conti di pagamento detenuti da una persona giuridica, il par. 46 del parere EBA sugli ostacoli di cui all’art. 32, par. 3, del Regolamento delegato (EBA/OP/2020/10) ha chiarito che i termini e le condizioni concordati dagli istituti di credito con gli utenti dei servizi di pagamento titolari dei rispettivi conti (ossia la persona giuridica), possono specificare quali utenti autorizzati siano autorizzati a gestire i conti aziendali.
Il parere ha inoltre chiarito che gli istituti di credito non dovrebbero imporre controlli aggiuntivi quando un utente autorizzato accede ai conti aziendali tramite un TPP, rispetto a quando lo stesso utente accede ai conti direttamente attraverso l’interfaccia dell’istituto di credito: questo chiarimento si riferisce specificamente ai controlli imposti unilateralmente dall’istituto di credito e non ai controlli di accesso definiti dall’utente dei servizi di pagamento.
Né la PSD2 né il regolamento delegato impediscono alla persona giuridica titolare del conto, di dare istruzioni all’istituto di credito, al fine di applicare diritti di accesso differenziati per i suoi utenti autorizzati, in linea con la discrezionalità dell’ente di definire l’accesso degli utenti ai propri conti di pagamento, compresa la specificazione degli utenti che possono accedere ai conti aziendali tramite TPP.
Tali diritti di accesso differenziati, quando applicati dall’istituto di credito in conformità con le istruzioni dell’utente e facenti parte del quadro contrattuale concordato, non costituiscono di per sé ostacoli ai sensi dell’art. 32, par. 3, del Regolamento delegato.
