Back
La Commissione europea sta aggiornando i suoi regolamenti per il settore dei servizi di pagamento e, con la terza direttiva sui servizi di pagamento (PSD3) prevista per la prima metà del 2025, commercianti, banche, fintech, sistemi di carte e processori di pagamento si stanno preparando per il lavoro aggiuntivo e le opportunità che porterà.
Che cos'è la PSD3?
La PSD3 (Payment Services Directive) è la terza direttiva sui servizi di pagamento della Commissione europea che dovrebbe essere rilasciata nella prima metà del 2025. Si tratta di una serie di regolamenti per il settore dei pagamenti, concepiti per migliorare e sviluppare ulteriormente gli obiettivi delle direttive precedenti, la PSD1 del 2007 e la PSD2 del 2015.
L'obiettivo centrale delle direttive sui servizi di pagamento della Commissione Europea è quello di sviluppare e mantenere un mercato unico dei servizi di pagamento per l'UE che offra lo stesso livello di protezione dei consumatori, efficienza e innovazione in tutti gli Stati membri.
Questi regolamenti mirano a rendere i pagamenti transfrontalieri altrettanto snelli e sicuri di quelli nazionali, standardizzando le leggi sui pagamenti elettronici e promuovendo un ambiente che faciliti la concorrenza e l'innovazione. Mentre la PSD1 ha cercato di creare questo mercato unico, la PSD2 e la prossima PSD3 cercano di migliorarlo con protezioni per i consumatori, gli esercenti e i prestatori di servizi di pagamento che soddisfino le esigenze del moderno panorama dei servizi finanziari.
- La PSD3 è un insieme di regole per il settore dei servizi di pagamento emanate dalla Commissione europea che si basa sulle direttive precedenti, PSD2 (emanata nel 2015) e PSD1 (emanata nel 2007).
- Le direttive sui servizi di pagamento della Commissione europea hanno l'obiettivo di proteggere i consumatori e di facilitare un mercato dei pagamenti dell'UE più sicuro, integrato, competitivo ed efficiente.
- La PSD3 amplia il quadro della PSD2, in particolare nelle aree della prevenzione delle frodi, dell'open banking, dell'accesso ai dati, dei diritti dei consumatori, della disponibilità di contante e della concorrenza leale.
Che cos'è il Regolamento sui servizi di pagamento (PSR)?
Il nuovo regolamento si articola in due sezioni. La PSD3 è ancora una linea guida che riguarda principalmente le operazioni e le licenze dei fornitori di servizi di pagamento. La maggior parte degli obblighi delle banche sono ora coperti dalla PSR (Payment Services Regulation), una norma che subentrerà alla PSD2 e sarà automaticamente recepita in tutti gli Stati membri dell'UE.
Componenti chiave della PSD3
Requisiti SCA rafforzati
Nel valutare l'impatto della PSD2, la Commissione europea ha riscontrato che i regolamenti per la prevenzione delle frodi, in particolare i requisiti per la Stronger Customer Authentication (SCA) sono state una delle componenti più efficaci della direttiva. I requisiti SCA aggiungono un ulteriore livello di sicurezza al processo di pagamento, richiedendo ai consumatori di fornire almeno due informazioni identificative durante il processo di pagamento. Queste informazioni devono appartenere a due delle seguenti categorie:
- Qualcosa che il cliente CONOSCE (ad esempio, un PIN o una password).
- Qualcosa che il cliente POSSIEDE (ad esempio, un lettore di carte o un telefono cellulare)
- Qualcosa che il cliente È (ad esempio, il riconoscimento del volto o delle impronte digitali)
Alcuni dei principali modi in cui la PSD3 amplierà i requisiti SCA rispetto alla PSD2 includono:
- Chiarimento sui casi in cui determinate transazioni possono essere esenti da SCA
- Richiesta di SCA per l'iscrizione al portafoglio mobile
- Richiedere ai fornitori di servizi di pagamento di offrire metodi SCA che non si basino esclusivamente su un'unica tecnologia, garantendo l'accessibilità a tutti gli utenti (ad esempio, anziani, utenti a basso reddito, ecc.).
"Prevenzione delle frodi" spoofing
La Commissione europea ha evidenziato la frode per impersonificazione, nota anche come "spoofing", come un'area in cui la PSD2 non è sufficientemente attrezzata. Questo tipo di frode è più difficile da prevenire, poiché il cliente, manipolato dal truffatore, fornisce di fatto il proprio consenso per autorizzare un pagamento. Poiché le truffe di spoofing e social engineering sfruttano un ragionevole errore umano, è difficile per i sistemi automatici di prevenzione delle frodi individuarle e prevenirle.
Con la PSD3, la Commissione europea intende rafforzare i requisiti per il rilevamento e la prevenzione dello spoofing nei seguenti modi:
Utilizzo del controllo IBAN/nome per tutti i bonifici, richiedendo alla banca di verificare che il nome del conto corrisponda all'IBAN collegato a quel nome.
Rafforzare le misure di monitoraggio delle transazioni per evidenziare attività di pagamento insolite e potenzialmente fraudolente.
Fornire un quadro giuridico che consenta ai fornitori di servizi di pagamento di condividere le informazioni sulle frodi, come i dati relativi alle truffe in corso.
Richiedere ai prestatori di servizi di pagamento di istruire in modo approfondito il proprio personale e i propri clienti sulla prevenzione delle frodi nei pagamenti.
Concorrenza leale per i PSP non bancari
I fornitori di servizi di pagamento non bancari, come gli Istituti di Pagamento (PI) e gli Istituti di Moneta Elettronica (IME), sono diventati più popolari nell'era della PSD2, ma la mancanza di una legislazione sulla concorrenza leale ha impedito a molti di accedere ai servizi bancari critici e alle infrastrutture di pagamento di cui hanno bisogno per operare. Ad esempio, le banche commerciali spesso si rifiutano di consentire alle PI e alle IME di aprire conti bancari, oppure chiudono i loro conti con poco preavviso, adducendo vaghe preoccupazioni sulle norme antiriciclaggio. L'attuale contesto pone i prestatori di servizi di pagamento non bancari alla mercé delle banche commerciali, nonostante siano loro diretti concorrenti.
Per risolvere questi problemi, la PSD3 richiederà alle banche di fornire giustificazioni molto più solide per il rifiuto dei servizi ai prestatori di servizi di pagamento. Se una banca nega a un prestatore di servizi di pagamento servizi bancari essenziali o decide di chiudere il suo conto, il PSP potrà appellarsi alla propria autorità nazionale. Questi aggiornamenti contribuiranno a livellare il campo di gioco per i PSP non bancari, consentendo loro di competere in modo più equo con le banche tradizionali.
Miglioramenti all'open banking
La PSD3 si baserà sul quadro della PSD2 per l'"open banking", in cui i fornitori terzi possono accedere ai dati dei conti bancari e di pagamento di un cliente consenziente per fornire servizi preziosi, come riepiloghi di spesa, strumenti di budgeting e prodotti finanziari mirati.
L'obiettivo della PSD3 in materia di open banking è quello di migliorare la funzionalità della condivisione dei dati tra banche e terze parti senza stravolgere l'infrastruttura esistente o aumentare i costi. Oltre a stabilire regole più severe per le interfacce di accesso ai dati, la PSD3 dovrebbe apportare le seguenti modifiche specifiche ai requisiti dell'open banking:
- Eliminazione della necessità per le banche di mantenere due interfacce di accesso ai dati (non sarà più necessario avere un'interfaccia "di riserva").
- Richiedere alle banche e ai fornitori di conti di pagamento di dotarsi di uno strumento di dashboard per i consumatori che consenta loro di vedere quali società hanno accesso ai loro dati e che permetta loro di revocare facilmente l'accesso, se necessario.
Maggiori diritti per i consumatori
La protezione dei consumatori e la loro standardizzazione in tutta Europa sono da tempo un obiettivo della Commissione europea. La PSD3 si baserà sulle direttive precedenti per migliorare ulteriormente i diritti dei consumatori dell'UE in vari modi, tra cui:
1. Migliore comunicazione e chiarezza sulle spese di conversione valutaria
La PSD3 richiederà ai prestatori di servizi di pagamento di informare i clienti delle spese di conversione valutaria stimate per i bonifici e le rimesse di denaro verso Paesi al di fuori dell'UE, nonché del tempo previsto per la ricezione dei fondi da parte del beneficiario. L'obiettivo di questa iniziativa è fornire ai clienti maggiori strumenti per confrontare i tassi di conversione della valuta e le commissioni dei trasferimenti internazionali, in modo che possano prendere decisioni informate quando scelgono un fornitore di servizi di pagamento.
2. Informazioni più chiare sul beneficiario negli estratti conto
Ai sensi della PSD2, non è specificato se il nome legale o il nome commerciale di un beneficiario debba apparire sugli estratti conto del cliente. Di conseguenza, i consumatori spesso non riconoscono il nome di un beneficiario legittimo e sospettano erroneamente una frode, causando inutili seccature e confusione. La PSD3 risolverà questo problema imponendo ai prestatori di servizi di pagamento di identificare chiaramente i beneficiari, indicando anche la loro denominazione commerciale, se del caso.
3. Più trasparenza nelle tariffe degli ATM
In base alla PSD3, i prestatori di servizi di pagamento devono comunicare agli utenti le informazioni sulle commissioni applicate da tutti gli operatori di sportelli automatici nei loro Stati membri. Ciò consentirà ai consumatori di capire in anticipo quali costi dovranno sostenere prima di scegliere un ATM da cui prelevare fondi.
4. Maggiore protezione per i fondi temporaneamente trattenuti o "bloccati"
Alcuni tipi di commercianti, come le stazioni di servizio, gli hotel e le società di autonoleggio, trattengono temporaneamente i fondi per coprire i costi previsti o i potenziali danni. Sebbene si tratti di una pratica comune in questi settori, la Commissione europea ha sottolineato che l'importo del denaro trattenuto è spesso sproporzionato rispetto all'importo effettivo della transazione finale e che il processo di restituzione dei fondi trattenuti al cliente può essere lungo e inutilmente complicato. La PSD3 introdurrà regole per garantire un pagamento più rapido dei fondi "bloccati" non utilizzati e che i fondi trattenuti siano più proporzionati all'importo della transazione finale.
Più disponibilità di contante
Con la PSD3, la Commissione europea spera di offrire ai consumatori maggiori opportunità di prelievo di contante, rendendo più facile per i commercianti e gli operatori di sportelli automatici fornire servizi di prelievo di contante. La PSD3 aumenterà la disponibilità di contante per i consumatori in due modi principali:
1. Il "cashback" senza acquisti nei negozi tradizionali
Nel mercato attuale, i dettaglianti, come i supermercati, possono offrire ai clienti un "cashback" come parte di un acquisto di beni o servizi. La PSD3 aggiornerà i regolamenti attuali in modo che i rivenditori possano offrire ai clienti questo servizio di prelievo di contanti al di fuori di una transazione di acquisto tradizionale. In altre parole, i clienti non dovranno acquistare nulla nel negozio, ma potranno semplicemente richiedere contanti direttamente alla cassa utilizzando la loro carta di pagamento o il loro portafoglio mobile. Rimarranno alcune restrizioni, come un limite di prelievo di 50 euro, in modo da competere equamente con gli sportelli bancomat e non svuotare i negozi di contanti in loco.
2. Più ATM
In base alla PSD2, alcuni operatori ATM (quelli che non gestiscono conti di pagamento) possono operare senza licenza. Tuttavia, la consapevolezza di ciò è limitata all'interno del settore. La PSD3 renderà più chiare queste esenzioni per incoraggiare un maggior numero di ATM in tutta l'UE, in particolare nelle aree in cui gli ATM sono pochi o inesistenti.
Qual è la tempistica prevista?
In questa intervista pubblicata sul sito della Commissione europea, Eric Ducoulombier, Capo Unità della Commissione europea, ha dichiarato che l'uscita della PSD3 è prevista per la prima metà del 2025:
"Per quanto riguarda la tempistica non ho la sfera di cristallo e, come diceva Mark Twain, "È difficile fare previsioni, soprattutto sul futuro". Penso che non sia irragionevole prevedere una possibile adozione finale dei testi nella prima metà del 2025".
PSD2 vs PSD3
Le banche, i prestatori di servizi di pagamento e tutte le organizzazioni interessate dalle direttive sui servizi di pagamento della Commissione europea possono considerare la PSD3 come un'estensione della PSD2, piuttosto che come un'interruzione significativa dell'infrastruttura dei servizi di pagamento esistente in Europa.
In molti casi, i nuovi regolamenti previsti dalla PSD3 sono dei miglioramenti ai requisiti esistenti e non richiedono un'ampia ricostruzione delle infrastrutture di pagamento o costose integrazioni di nuove tecnologie. Al contrario, la PSD3 intende basarsi sul successo dei regolamenti della PSD2 e offrire soluzioni semplici per coprire aree trascurate o non servite dalla PSD2.
Le differenze principali tra PSD2 e PSD3 sono:
- Requisiti SCA più stringenti
- Maggiore protezione dalle frodi, in particolare per quanto riguarda lo "spoofing"
- Miglioramento della condivisione dei dati per facilitare quadri di "open banking" più efficienti e di valore
- Più diritti per i consumatori per quanto riguarda la trasparenza e la comunicazione, le spese di pagamento, gli estratti conto e i fondi in giacenza.
La PSD3 è stata progettata per migliorare il settore dei servizi di pagamento per tutte le parti coinvolte: commercianti, banche, fornitori di servizi di pagamento, fintech, sistemi di carte e, soprattutto, consumatori. Si prevede che la PSD3 inaugurerà una nuova era di trasparenza, sicurezza e protezione dei consumatori, che farà dell'UE un leader mondiale nella regolamentazione e nell'innovazione dei servizi finanziari.
Per saperne di più sulle nostre soluzioni di pagamento complete end-to-end
FAQs
Quanto tempo hanno le aziende per implementare i requisiti della PSD3?
La versione finale della PSD3 dovrebbe essere rilasciata nella prima metà del 2025. Se verrà concesso un periodo di transizione di 18 mesi, come nel caso delle direttive precedenti, la PSD3 entrerà in vigore nel 2027.
Qual è la differenza tra PSD3 e PCI DSS?
La PSD3 è un quadro giuridico emanato dalla Commissione Europea per regolamentare il settore dei servizi di pagamento e armonizzare i servizi di pagamento per un mercato unico dell'UE. Le norme e i requisiti stabiliti da queste direttive fanno parte del diritto europeo e la loro mancata osservanza comporta conseguenze legali.
PCI DSS (Payment Card Industry Data Security Standard) è un insieme di standard globali emessi dal Consiglio per gli standard di sicurezza PCI. un insieme di standard globali emanati dal PCI Security Standards Council che si concentra principalmente sulla sicurezza dei pagamenti con carta. È applicato dai sistemi di carte di credito e, sebbene sia collegato a determinate leggi in tutto il mondo, PCI DSS non è di per sé una legge.
In breve, la PSD3 ha un ambito di applicazione più ampio rispetto a PCI DSS, si applica solo agli Stati membri dell'Unione Europea e contiene leggi esplicite. PCI DSS riguarda solo la sicurezza dei pagamenti con carta, non è una legge ma uno standard di settore e si applica a livello globale.
Perché la PSD3 è necessaria?
La PSD3 è necessaria perché, con il cambiamento delle abitudini dei consumatori e il progresso della tecnologia dei pagamenti, la legge deve adattarsi per soddisfare le esigenze dei consumatori e degli esercenti in tutta l'UE. La PSD3 rivedrà e migliorerà i requisiti della PSD2 per proteggere i consumatori da nuovi tipi di frode e correggere i punti deboli della sicurezza. Migliorerà i quadri di riferimento per la condivisione dei dati e contribuirà a garantire che gli istituti di servizi finanziari tradizionali e non tradizionali possano competere in modo equo.
Quali sono le sanzioni in caso di mancata conformità alla PSD3?
Come le precedenti PSD2 e PSD1, la PSD3 è legge. La mancata conformità alla PSD3 comporterà multe e la potenziale perdita della licenza per l'istituto inadempiente. La natura della sanzione varia a seconda del tipo di violazione della conformità e della sua gravità. Le Direttive sui servizi di pagamento della Commissione Europea sono supervisionate e applicate dall'"autorità competente" dello Stato membro in cui è stata commessa l'infrazione.
