PSD2: decreto di recepimento e tematiche ancora aperte
Il Consiglio dei Ministri, in data 15 settembre, si è riunito al fine di approvare in esame preliminare il Decreto Legislativo di recepimento della direttiva 2015/2366 del Parlamento europeo e del Consiglio del 25 novembre 2015 relativa ai servizi di pagamento nel mercato interno (c.d. PSD2), nonché di adeguamento delle disposizioni interne al regolamento (UE) n. 751/2015 del Parlamento europeo e del Consiglio del 29 aprile 2015 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta.
Il testo approvato non è ancora definitivo in quanto, come esplicitato nella legge di delegazione europea 2015 (L. 12 agosto 2016, n.170), dovrà essere sottoposto al parere delle competenti Commissioni parlamentari. Lo scorso lunedì 18 settembre il testo è stato infatti trasmesso alla Camera per l’acquisizione dei relativi pareri. In particolare i pareri della Commissione Finanze, Politiche dell’Unione Europea e Bilancio entro il 26 Ottobre 2017.
Indipendentemente dalla ricezione o meno di detti pareri, il decreto potrà essere comunque emanato trascorsi 40 giorni dalla data di trasmissione a Camera e Senato – come previsto dalla L. 24 dicembre 2012, n. 234 relativa all’attuazione in Italia della normative e delle politiche dell’UE – e pertanto, entro il mese di ottobre.
Nonostante il tentativo da parte dell’esecutivo di rispettare le scadenze imposte dal legislatore comunitario – la delega legislativa al Governo, contenuta nella legge di delegazione europea 2015, doveva essere esercitata entro il 16 settembre 2017 – la nuova bozza del decreto di recepimento della PSD2 non risolve i temi critici legati all’incertezza relativa all’applicazione di alcune delle disposizioni fondamentali della Direttiva PSD2.
Uno dei temi principali legati all’entrata in vigore della nuova normativa riguarda l’applicazione dei c.d. Regulatory Technical Standard che dovrebbero dare agli operatori gli strumenti per abilitare i nuovi servizi previsti dalla PSD2. Al riguardo, l’art. 5 dello schema di decreto pubblicato lo scorso lunedì 18 ottobre prevede, conformemente a quanto stabilito dalla PSD2, che il decreto legislativo entrerà in vigore il 13 gennaio 2018, mentre le misure di sicurezza relative alla autenticazione forte del cliente e alla comunicazione sicura tra le banche di radicamento del conto e i nuovi prestatori di servizi di informazione sui conti, disposizione di ordine di pagamento ed emittenti carte c.d. disaccoppiate si applicheranno decorsi diciotto mesi dalla data di entrata in vigore delle norme tecniche di regolamentazione (RTS) sulla “Strong Customer Authentication and Secure Communication”, di cui all’articolo 98 PSD2.
L’avv. Fabrizio Cascinelli, di PwC Legal, sottolinea che, in considerazione dello status di avanzamento di tali RTS, la prima data utile per l’attuazione delle misure di sicurezza e delle modalità di colloquio con le c.d. Terze Parti (i fornitori dei nuovi servizi di account information payment initiation) potrebbe protrarsi sino alla fine del primo trimestre 2019, con possibilità di arrivare anche alla fine del secondo trimestre 2019.
Secondo l’avv. Cascinelli, il citato art. 5 del decreto di recepimento non aiuta a risolvere i dubbi in merito a quali dovranno essere le modalità operative di comunicazione tra le banche di radicamento del conto, i prestatori di servizi di disposizione di ordine di pagamento e i prestatori di servizi di informazione sui conti, nel periodo intercorrente tra l’entrata in vigore del decreto stesso e l’entrata in vigore dei suddetti RTS. Una delle tematiche di maggior rilievo, prosegue l’avvocato, riguarda la circostanza che ai soggetti che già svolgono attività di disposizione di ordine di pagamento e di informazione sui conti – che ai sensi dell’art. 115 comma 5 PSD2 potranno continuare a operare, laddove operassero già prima del 12.01.2016 – potrebbe essere concessa la possibilità di continuare ad adottare le attuali modalità per la prestazione dei loro servizi. Tali modalità operative, che includono il c.d. screen scraping, prevedono l’utilizzo delle credenziali di sicurezza personalizzate della clientela, ponendo seri problemi di sicurezza in riferimento alle operazioni eseguite, nonché di conformità ai nuovi principi introdotti dalla Direttiva che mira proprio a introdurre nuovi standard di sicurezza sul mercato delle transazioni online.
Peraltro, secondo il Professor Maurizio Pimpinella, presidente dell’Associazione Prestatori Servizi di Pagamento (A.P.S.P), la nuova bozza di decreto sembra non aver colto la maggior parte delle osservazioni che l’Associazione aveva sottoposto all’attenzione del Legislatore. Allo stato, dunque, la situazione di incertezza sembra permanere. Ad esempio, l’ampiezza dell’attività delle nuove Terze Parti sembra tuttora non facilmente intellegibile. La definizione di “conto di pagamento”, a valere sul quale questi soggetti potranno operare, sembra lasciare molti dubbi. In aggiunta, il regime di responsabilità previsto a carico delle banche di radicamento del conto potrebbe non essere sufficiente ad arginare fenomeni patologici, legati alla dislocazione di tali nuovi soggetti in giurisdizioni in cui sarà probabilmente difficile andare ad agire in via di regresso. Lo strumento della c.d. strong authentication sembra aiutare in tal senso ma se non sarà previsto che l’utilizzo di queste nuove tecnologie renda incontestabile un’operazione di pagamento, il potenziale danno per il sistema non è trascurabile.
Per quanto riguarda invece le disposizioni di attuazione del Regolamento in materia di commissioni interbancarie, prosegue il Prof. Pimpinella, il legislatore, sia a livello europeo sia italiano, ha ridotto le commissioni addebitabili dall’emittente la carta (c.d. issuer) al prestatore che convenziona gli esercenti (c.d. acquirer), fissando un limite pari allo 0,2% del valore di ciascuna transazione per le carte di debito e dello 0,3% per le carte di credito. Tale limitazione, in linea con gli obiettivi perseguiti dal legislatore europeo, vuole contribuire alla riduzione dei costi per i commercianti che accettano pagamenti con carta, favorendo pertanto i prezzi di beni e servizi nei confronti della clientela finale.
