EBA, in risposta alla Q&A n. 7261/2024 in ambito PSD 2, ha chiarito se i prestatori di servizi d’informazione sui conti (ASPSP) possano o meno richiedere ai prestatori di servizi di disposizione di ordine di pagamento (PISP) un requisito aggiuntivo, oltre a quello specificato nell’art. 35, par. 4, lett. b), delle norme tecniche di regolamentazione (RTS), incluse nel Regolamento delegato (UE) 2018/389, affinché questi ultimi possano accedere alle informazioni relative all’esecuzione di un ordine di pagamento.
Ai sensi dell’art. 66, par. 4, lett. b), della PSD2, i prestatori di servizi d’informazione sui conti (ASPSP) sono tenuti a fornire o mettere a disposizione dei prestatori di servizi di disposizione di ordine di pagamento (PISP) tutte le informazioni necessarie sull’avvio e l’esecuzione delle operazioni di pagamento al ricevimento di un ordine di pagamento.
In particolare, tale articolo impone che tali informazioni siano condivise con il PISP immediatamente dopo l’avvio del pagamento, mentre l’articolo 35, par. 4, lett. b) delle RTS stabilisce che tutte le parti coinvolte debbano includere riferimenti inequivocabili per identificare ciascun ordine di pagamento.
Inoltre, l’art. 36, per. 1, lett. b) del Regolamento delegato (UE) 2018/389 richiede che i PISP abbiano accesso a tutte le informazioni rilevanti relative all’avvio e all’esecuzione degli ordini di pagamento.
Tuttavia, alcuni ASPSP, a differenza dello standard di settore più ampio, impongono requisiti aggiuntivi, come l’obbligo di utilizzare un “token utente” per accedere alle informazioni relative all’esecuzione dei pagamenti.
Per EBA, questa pratica è in contrasto con gli standard di settore più ampi, in base ai quali gli ASPSP forniscono le informazioni necessarie senza imporre vincoli simili.
La richiesta di “token utente” compromette l’uniformità prevista dalla PSD 2, porta a incongruenze tra gli ASPSP e ostacola la capacità dei PISP di adempiere ai propri obblighi ai sensi della PSD 2 e del Regolamento delgato.
Ai sensi dell’art. 66 citato della PSD 2, i prestatori di servizi di pagamento di conto (ASPSP) sono tenuti a fornire ai prestatori di servizi di disposizione di ordine di pagamento (PISP), “immediatamente dopo il ricevimento dell’ordine di pagamento” dal PISP, tutte le informazioni relative all’avvio dell’operazione di pagamento e tutte le informazioni accessibili all’ASPSP relative all’esecuzione dell’operazione di pagamento.
Tale obbligo è previsto anche dall’articolo 36 citato del Regolamento delegato (UE) 2018/389 (il regolamento delegato).
I PISP hanno quindi diritto, ai sensi dell’art. 66, par. 4, lett. b), della PSD 2, alle informazioni sullo stato di esecuzione accessibili all’ASPSP, immediatamente dopo il ricevimento dell’ordine di pagamento: la PSD 2 inoltre non impone agli ASPSP di fornire aggiornamenti in una fase successiva, anche se gli ASPSP possono fornire volontariamente tali aggiornamenti aggiuntivi, non sono tenuti a farlo per legge.
L’art. 35, par. 4, lett. b), del Regolamento delegato, inoltre, chiarisce EBA, impone ai PISP di includere un riferimento univoco all’operazione di pagamento avviata, ma tale disposizione riguarda l’identificazione sicura e la tracciabilità dell’operazione durante la comunicazione tra ASPSP e PISP, e non disciplina le condizioni alle quali è possibile accedere alle informazioni sullo stato di esecuzione dopo l’avvio dell’operazione.
Di conseguenza, se un ASPSP decide di fornire ai PISP informazioni aggiuntive sullo stato di esecuzione oltre a quelle richieste dalla PSD 2, può definire le condizioni tecniche e di sicurezza per tale accesso: ciò può includere la richiesta di un token utente, a condizione che tali meccanismi non ostacolino l’accesso alle informazioni che gli ASPSP sono tenuti a fornire per legge ai sensi della PSD 2.
