di Stefania Peveraro
«In Germania c’è una start-up fintech (che per noi italiani ha anche un nome simpatico, visto che si chiama Figo, ndr) che ha sviluppato una Api (applicazione che consente lo scambio di dati in sicurezza tra due controparti, ndr) in grado di collegarsi con le architetture informatiche di tutte le principali banche del Paese, aggregare le informazioni sui vari conti che fanno capo a singoli soggetti e fornirle alle banche che ne facciano domanda a valle della richiesta di un fido. In Germania infatti esiste già una norma che obbliga il cliente che chiede un fido a una banca a consentire allo stesso istituto di aver accesso alle informazioni relativi a tutti i conti correnti del soggetto in modo da poterne valutare la solidità finanziaria e decidere se concedere o meno l’affidamento. In Italia questa norma non c’è, per cui una banca che volesse avere queste informazioni dovrebbe chiedere una specifica autorizzazione al cliente, indipendentemente da quanto previsto dalla Psd2. Ma di certom questa direttiva apre comunque un mondo di opportunità».
Lo ha detto Marco Folcia, partner e Psd2 european leader di PwC, intervenendo di recente a un Caffè di BeBeez sul tema dei rischi e delle opportunità offerti dalla Payment Services Directive 2, la seconda direttiva Ue sui servizi di pagamento, che è stata pubblicata sulla Gazzetta Ufficiale Ue a fine 2015 e che dovrà essere recepita da tutti gli Stati membri entro il prossimo 13 gennaio. Folcia è anche tra gli autori di un sondaggio condotto a inizio estate da PwC tra 39 grandi gruppi bancari di 18 Paesi europei e appena pubblicato, dal quale emerge che le banche fanno ancora fatica a capire come muoversi in questo nuovo scenario e soprattutto a cogliere che la direttiva apre grandi opportunità di business.
L’esempio di Figo, start-up che in un round di investimento ha già incassato 10 milioni di euro da vari venture capital (compreso DB1 Ventures, che fa capo a Deutsche Boerse ), è solo uno dei tanti nel panorama fintech europeo, che sta rapidamente entrando in un settore, quello dei pagamenti appunto, finora eslcusivo appannaggio delle banche. Il venture capital ha fiutato il business. Secondo Fintech Technology Partners, investment bank statunitense specializzata, già l’anno scorso circa il 40% degli investimenti in fintech nel mondo hanno avuto come target start-up attive nel settore dei pagamenti o dell’e-commerce: in totale di stima una raccolta di capitali per il fintech di circa 36 miliardi di dollari spalmati su circa 1.500 operazioni da parte di oltre 1.700 investitori unici, senza tener conto delle operazioni di merger&acquisition. Ebbene, di questa massa di denaro oltre 13,5 miliardi di dollari sono andati a finanziare 337 società attive nel segmento dei pagamenti, che per numero hanno rappresentato il 22% delle 1.500 aziende finanziate in totale.
La ricerca di PwC mostra che la stragrande maggioranza delle grandi banche europee è sì alle prese con le implicazioni della Psd2, tuttavia soltanto un numero limitato di questi istituti è già pronto oggi per affrontare quello che con ogni probabilità rappresentterà un cambiamento epocale per il settore. Più nel dettaglio, è vero che quasi tutte le banche coinvolte nel sondaggio (il 94%) stanno al momento lavorando sulla Psd2 e che due terzi degli istituti intende fare leva sulla nuova normativa per modificare il proprio posizionamento competitivo, tuttavia il 38% delle banche risultava ancora nella fase preliminare di identificazione dei possibili impatti legati al raggiungimento della compliance, mentre solo il 9% aveva già avviato la fase di sviluppo dei requisiti della Psd2. Inoltre, dice ancora PwC, gli istituti dovrebbero attribuire al top management un ruolo attivo nella risposta strategica a questa sfida. Oggi tali considerazioni strategiche sono invece frequentemente relegate a progetti di compliance rispetto alla Psd2, gestiti dalle funzioni di Information Technology o Operations.
La buona notizia è che perlomeno le banche sono coscienti del fatto che il tema va affrontato. Già la prima direttiva, in vigore dal 2007, aveva aperto la possibilità a soggetti non bancari, come operatori di telecomunicazioni, ipermercati o reti di distribuzione di carburante, di entrare nel settore dei pagamenti con l’obiettivo di far transitare i flussi di denaro sul web o sui telefoni cellulari dei clienti, ponendosi in diretta concorrenza con le banche domestiche. Con la nuova direttiva tutto questo verrà esaltato.
«Strumenti come ApplePay, per esempio, oggi si basano su una carta di credito caricata sul telefono per condurre l’operazione di pagamento, mentre altri sistemi, come quello di Satispay, funzionano andando a lavorare su un wallet, cioè su un borsellino preventivamente caricato da parte dell’utente», ha aggiunto Folcia. «Per contro in futuro sistemi di questo tipo potranno disporre operazioni di pagamento direttamente dal conto corrente dell’utente, a patto di essere stati autorizzati».
La Psd2 insomma non fa altro che regolamentare ciò che è già una realtà. Nel tempo si sono infatti diffusi nuovi tipi di servizi di pagamento tramite internet e in particolare si sono evoluti i servizi di disposizione di ordine di pagamento nel settore del commercio elettronico, che sfruttano un software per fare da ponte tra il sito web del commerciante e la piattaforma di online banking dell’istituto del pagatore. Tali servizi offrono una soluzione a basso costo per i commercianti e i consumatori e consentono a questi ultimi di fare acquisti online anche senza carte di pagamento. Inoltre sono nati vari altri servizi di informazione sui conti, che forniscono all’utente dati aggregati su uno o più conti correnti detenuti in più banche, a cui si ha accesso mediante interfacce online del prestatore di servizi di pagamento. L’utente di servizi di pagamento può così disporre immediatamente di un quadro generale della sua situazione finanziaria in un dato momento.
«La reale differenza è che sinora questi servizi si sono sviluppati sfruttando un approccio cosiddetto screen scraping», ha spiegato Denny Bellotto, process & compliance consultant di Infocert (gruppo Tecnoinvestimenti ) intervenendo al medesimo Caffè di BeBeez. «In questo modo l’applicativo tecnologico si interfaccia con la banca per accedere alle informazioni del conto o per disporre operazioni di pagamento dal conto, entrandoci con le stesse credenziali del cliente, preventivamente fornite a tal fine. In questo modo l’istituto non può sapere se chi sta entrando nel suo internet banking è il cliente oppure una terza parte che agisce con le credenziali del cliente. Invece in futuro queste terze parti saranno obbligate a presentarsi come tali e, una volta iscritte nei registri delle autorità di vigilanza, le banche saranno obbligate a loro volta a farle entrare nei loro sistemi per leggere le informazioni dei conti dei clienti e operare su di essi. Ma, certo, ci vogliono dei sistemi in grado individuare l’identità digitale sia del possessore del conto sia della terza parte ed è qui che entrano in gioco società come la nostra, in grado di sviluppare software che, pur rispettando la normativa che richiede la cosiddetta strong customer authentication, non rendano troppo lunga e complessa l’esperienza del cliente, di fatto disincentivatolo all’utilizzo del servizio». E su questo punto Folcia ha puntualizzato che «per le banche ci sono implicazioni importanti di sicurezza e di privacy da gestire e lo sforzo tecnologico necessita investimenti che non tutti gli istituti possono affrontare».
Ma in caso di frode chi paga? «A pagare sarà sempre il gestore del conto del cliente, quindi la banca», ha risposto Bellotto. «Dopodiché l’istituto può inviare la segnalazione all’autorità di vigilanza al fine di procedere all’esecuzione di provvedimenti nei confronti del servizio che non abbia ottemperato a quanto previsto da Psd2. È importante sottolineare però che ciò accade senza un contratto tra la banca e la società fintech che funge da terza parte. Anche se questa fintech e l’istituto non sono legati da contratto, il secondo deve comunque permettere l’accesso alle informazioni sui conti correnti dei propri clienti e in caso di frode ne risponde in prima istanza ed entro il giorno successivo a quello della richiesta del cliente deve procedere al rimborso». Quindi il cliente può stare tranquillo, mentre la banca no e si deve attrezzare al meglio dal punto di vista tecnologico sul fronte sia dell’identità digitale sia delle procedure automatiche di rimborso. (riproduzione riservata)
Fonte: 