Ambito e tempistiche di PSD3 e PSR sono ormai definiti. Cosa devono sapere i PSP?

Gli obiettivi di PSD3 e PSR

• Maggiore chiarezza e armonizzazione nell’UE
  Il pacchetto punta a una maggiore armonizzazione delle regole sui pagamenti, con l’obiettivo di ridurre la frammentazione e le interpretazioni nazionali, rafforzando al tempo stesso gli standard di sicurezza e prevenzione delle frodi.
• Controlli antifrode più solidi e nuovo quadro di responsabilità
  Il nuovo regime amplia il perimetro delle responsabilità, rafforza il monitoraggio basato sul rischio e consolida i meccanismi di rimborso nei casi di frode, includendo anche un quadro che tocca le frodi di tipo APP (Authorised Push Payment) e la responsabilità delle piattaforme online, come e-commerce e marketplace.
• Rafforzare l’open banking come metodo di pagamento alternativo
  Il funzionamento dell’open banking sarà migliorato grazie a maggiore affidabilità, standardizzazione dei processi e sicurezza delle API bancarie utilizzate dai TPP (third-party provider). Il pacchetto intende inoltre rimuovere gli ostacoli ancora presenti, come l’obbligo per gli ASPSP di fornire un’interfaccia dati dedicata, e rafforzare il controllo dei clienti sui propri dati di pagamento attraverso una dashboard dei consensi.

Questi cambiamenti potrebbero favorire una più ampia adozione delle transazioni basate su open banking nell’Unione Europea.

Le principali novità da PSD2 a PSD3 / PSR

• Prevenzione delle frodi e responsabilità delle piattaforme
  La responsabilità viene ampliata per i PSP e, in alcuni casi, per le piattaforme online qualora non intervengano su frodi note dopo aver ricevuto una segnalazione. Il PSR introduce un quadro formale di responsabilità che va oltre i confini tradizionali dei PSP, includendo le grandi piattaforme online quando contenuti fraudolenti non vengono rimossi dopo la notifica.
  È inoltre prevista l’introduzione di meccanismi collaborativi di condivisione dei dati sulle frodi tra PSP, tramite una piattaforma dedicata, con valutazioni d’impatto sulla protezione dei dati e conservazione limitata nel tempo, fino a cinque anni dopo un incidente.
  Le banche potranno ritardare o bloccare pagamenti istantanei sospetti, creando una finestra di intervento: un’evoluzione significativa per la gestione del rischio nei pagamenti in tempo reale.
• Rafforzamento della SCA
  La PSD3 introduce regole più chiare ed esenzioni più flessibili, con l’obiettivo di bilanciare sicurezza ed esperienza utente. Viene posta maggiore enfasi sulla verifica rafforzata per le transazioni ad alto rischio, ampliando al contempo le esenzioni basate sul rischio e migliorando il monitoraggio in tempo reale per rilevare e contrastare più rapidamente le frodi.
• Governance dell’open banking e accesso ai dati
  PSD3 e PSR standardizzano le interfacce di open banking come principale punto di accesso per lo scambio dei dati, introducendo una governance più solida delle API e dei diritti di accesso. I clienti avranno maggiore visibilità e controllo attraverso dashboard che mostrano chi ha accesso ai dati e consentono di revocare facilmente le autorizzazioni.
  Vengono inoltre rafforzate le disposizioni volte a prevenire discriminazioni nei confronti dei provider autorizzati di open banking e a garantire condizioni eque per l’accesso ai dati.
• Trasparenza e tutela dei consumatori
  Gli obblighi di trasparenza su commissioni, tassi di cambio e conversioni valutarie vengono rafforzati, includendo la comunicazione preventiva dei margini applicati ai tassi di cambio e dei tempi stimati per i pagamenti transfrontalieri. Sono inoltre ampliate le informazioni sugli scontrini ATM e sulle conversioni valutarie, con l’obbligo di fornire comunicazioni visibili e, in alcuni casi, stampate.
• Perimetro regolamentare e governance
  La PSD3 integra gli istituti di moneta elettronica nello stesso quadro regolamentare degli istituti di pagamento, sottoponendoli a requisiti simili in materia di licenze, governance e outsourcing. Si registra inoltre un deciso orientamento verso un’applicazione uniforme a livello europeo, con minori margini di interpretazione nazionale. L’obiettivo è ridurre l’arbitraggio regolamentare e promuovere un ambiente operativo più stabile per i PSP.

Chi sarà coinvolto

• Banche e prestatori di servizi di pagamento
  Banche e PSP rappresentano il nucleo principale dei soggetti regolamentati, chiamati a rispettare obblighi stringenti in materia di licenze, governance, outsourcing e sicurezza. Dovranno aggiornare le architetture IT, implementare controlli antifrode più evoluti e adeguarsi a regimi di responsabilità più rigorosi.
• Istituti di moneta elettronica e provider AIS/PIS
  Questi operatori vengono ricondotti all’interno del quadro PSD3/PSR, con un allineamento ai requisiti di licenza, governance e standard operativi.
• Piattaforme online e operatori di telecomunicazioni
  Potrebbero essere chiamati a rispondere in determinati scenari di frode, in particolare quando viene loro richiesto di rimuovere contenuti fraudolenti dopo essere stati informati.
• Merchant e utenti finali
  Per merchant e utenti finali sono attesi maggiore trasparenza sulle commissioni, protezioni antifrode più solide e un controllo più efficace sull’accesso ai dati e sui consensi. Gli utenti finali potranno beneficiare di una maggiore visibilità, tramite dashboard dedicate, sulla gestione delle autorizzazioni e dell’accesso ai dati.
• Ecosistemi open banking e fornitori tecnologici
  Questi attori dovranno supportare interfacce standardizzate, modelli di governance e accordi di condivisione dei dati, garantendo al tempo stesso la conformità alle disposizioni in materia di protezione dei dati.
• Tempistiche di implementazione e prossimi passi
  A seguito dell’adozione formale e della pubblicazione nella Gazzetta ufficiale dell’Unione Europea, il PSR dovrebbe entrare in vigore 20 giorni dopo la pubblicazione e applicarsi in tutta l’UE dopo un periodo di transizione di 18 mesi. La PSD3, invece, richiederà il recepimento nazionale entro 18 mesi dall’entrata in vigore, con successive disposizioni attuative.

La preparazione operativa dovrebbe concentrarsi sull’analisi delle differenze tra i diversi Paesi, la governance e gli aggiornamenti IT. Gli ultimi affinamenti definiranno il testo finale su responsabilità e regole transitorie, con l’obiettivo di preparare il mercato tra la seconda metà del 2027 e il secondo/terzo trimestre del 2028.