Banca addio con la rivoluzione PSD2? E chi veglierà sui nostri dati?

scritto da il 03 Settembre 2019

L’autore di questo post è l’avvocato Massimo Simbula, Associazione Copernicani, esperto in normativa FinTech –

Con la Direttiva (UE) 2015/2366 (PSD2), applicabile in tutti i paesi membri dell’Unione Europea, ci attendiamo una rivoluzione in ambito finanziario.

Con la PSD2 per effettuare i pagamenti dal proprio conto corrente online non sarà necessario passare per il proprio istituto di credito, ma si potrà fare tutto tramite i nuovi soggetti terzi autorizzati.

Sono inoltre stati previsti, tra l’altro, due nuovi soggetti:

1) gli AISP (Account Information Service Provider), fornitori di servizi con accesso alle informazioni sul conto dei clienti delle banche in grado di analizzare il comportamento di spesa di un utente o aggregare i dati da diverse banche in un’unica piattaforma;

2) i PISP (Payment Initiation Service Provider), fornitori di servizi di pagamento

Analizzando la documentazione necessaria da presentare a Banca d’Italia, è interessante notare, in alcuni passaggi, la stretta correlazione con la documentazione richiesta per l’”allineamento” al GDPR.

Tra la documentazione di rilievo, applicabile sia ai PISP che agli AISP, si segnala la seguente:

a) una descrizione dei dispositivi di governo societario dei meccanismi di controllo interno, ivi comprese le procedure amministrative, di gestione del rischio e contabili, del richiedente, che dimostri che tali dispositivi di governo societario, meccanismi di controllo e procedure siano proporzionati, appropriati, validi ed adeguati;

b) una descrizione della procedura esistente per monitorare e gestire gli incidenti relativi alla sicurezza e i reclami dei clienti in materia di sicurezza e per darvi seguito, compreso un meccanismo di notifica degli incidenti che tenga conto degli obblighi di notifica dell’istituto di pagamento di cui all’articolo 96 PSD2;

Banca d’Italia sta svolgendo un importante compito in questa fase storica e il suo dipartimento FinTech sta dimostrando grande competenza e capacità professionale nell’affrontare un quadro normativo, regolamentare e tecnico molto complesso non solo per le diverse fonti di riferimento ma anche per l’evidente evoluzione tecnica che giorno dopo giorno sposta in alto l’asticella dei cosiddetti “rischi informatici”.

Soffermandoci, in particolare, sugli incidenti informatici, è doveroso richiamare le guidelines dell’EBA come da standard pubblicato quale Annex 1 del Final Report EBA del 27 luglio 2017, n. EBA/GL/2017/, le quali forniscono un dettagliato quadro su come le società, che intendono svolgere attività quale PISP e AISP, debbano gestire i cosiddetti “incidenti informatici”, definendo non solo un flusso di attività conseguenti ad un incidente ma anche le procedure di notifica e i modelli di reportistica.

Nel diagramma qui di seguito, viene rappresentato il processo di notifica da parte di un PISP alla autorità bancaria centrale nazionale (in Italia Banca d’Italia), relativo ad un incidente informatico.

schermata-2019-09-03-alle-00-00-36

Alcuni hanno sollevato legittime perplessità in relazione ai rischi a cui potrebbero andare incontro i dati personali dei cittadini in conseguenza del cosiddetto “Open Banking”, ciò anche in conseguenza del fatto che molti articoli anche di stampa non specializzata, si sono incentrati per lo più sui vantaggi in favore delle aziende e dei consumatori in ambito finanziario, senza soffermarsi doverosamente anche sui nuovi requisiti di sicurezza imposti dalla PSD2.

In realtà, a partire dal 14 settembre 2019, salvo dilazioni concesse da Banca d’Italia caso per caso, tutti gli istituti bancari e di pagamento sono tenuti ad adottare nuovi standard di sicurezza proprio per garantire maggiore affidabilità del servizio bancario e potranno avvalersi anche di soggetti terzi specializzati.

Non solo. Per poter operare come PISP e AISP, vengono richiesti, si, documenti formali che descrivano le procedure adottate dalle aziende in caso di incidente informatico, ma devono essere anche provati concretamente gli investimenti che la società intende effettuare in un triennio, in ambito sicurezza informatica.

Per quanto, quindi, la PSD2 apra le attività tipiche delle banche anche ad altri piccoli operatori specializzati nel settore delle nuove tecnologie, è vero anche che tali operatori non potranno essere soggetti “improvvisati”, non in grado di dimostrare adeguate competenze personali e professionali (riferite in particolare agli amministratori e ai membri degli organi di controllo aziendale) ma dovranno, al contrario, essere in grado di dimostrare che i loro investimenti nell’ambito della sicurezza informatica siano costanti e coerenti con il piano triennale presentato.

Banca d’Italia, infatti, procederà con accurati controlli periodici proprio al fine di verificare che quanto dichiarato in sede di autorizzazione, sia correttamente implementato.

I PISP e gli AISP dovranno, pertanto, avere strutturato un processo per l’archiviazione, il monitoraggio, la tracciabilità e la limitazione dell’accesso ai dati sensibili relativi ai pagamenti, che includa in particolare:

a) la definizione di una policy sul diritto di accesso, che disciplini l’accesso a tutti i componenti e i sistemi dell’infrastruttura informatica utilizzati per il trattamento di tali dati, inclusi i database e i sistemi di back up;

b) l’identificazione dei soggetti che hanno accesso ai dati sensibili relativi ai pagamenti.

Da quanto sopra, traspare il collegamento tra la normativa di cui alla PSD2 e quella di cui al GDPR e la maggiore tutela degli utenti in relazione ai dati personali.

La PSD2 non sarà, quindi, solo l’occasione per aziende e cittadini di accedere a innovativi servizi finanziari, ma anche per individuare nuovi standard di sicurezza per le banche che, se non rispettati, possono portare non solo alla violazione delle norme in materia di GDPR e le conseguenti sanzioni del Garante Privacy ma anche la sospensione o revoca delle licenze eventualmente concesse dall’autorità bancaria nazionale di riferimento.

La rivoluzione è solo iniziata e l’EBA e le autorità bancarie nazionali stanno per ora dimostrando di poterla governare.

Resta ai player del settore dimostrare di poter essere in grado di sfruttare questa rivoluzione.

Twitter @MassimoSimbula

PER SAPERNE DI PIÙ / Banche, nuove regole allo sportello: ecco come cambia il conto corrente

LEGGI ANCHE / Fintech, scattano le nuove regole. Si apre la via alla rivoluzione europea