201902.08
0

Roma, 8 febbraio 2019 Relativamente all’attuazione del Regolamento delegato 2018/389, contente disposizioni d’integrazione alla PSD2 relative a norme tecniche per l’autenticazione del cliente e a standard aperti di comunicazione, (di cui ci siamo già occupati nel commento 'Comunicazione della Banca d’Italia sul Regolamento 2018/389 in tema di interfaccia dedicata online e “fall-back-solutions” degli ASPSP'), la Banca d’Italia, nella comunicazione del 4 gennaio 2019, impone termini precisi entro i quali gli ASPSP dovranno mettere a punto le interfacce dedicate a cui i TPP (come i PISP, ad esempio), potranno accedere per svolgere le loro attività: le interfacce dovranno essere rese disponibili “a fini di test, al più tardi entro il 14 marzo 2019” ed essere pienamente operative entro il 14 settembre 2019. L’adempimento degli obblighi stabiliti nel RTS potrà essere soddisfatto, alternativamente, attraverso la costituzione di un’interfaccia ex novo, oppure adattando le interfacce già in uso finalizzate all’accesso diretto dei conti di pagamento da parte dei clienti.

Data la complessità tecnica necessaria alla realizzazione delle interfacce dedicate (API, dall’inglese Application Programming Interface), si avverte spesso l’esigenza di rivolgersi a soggetti specializzati nel fornire soluzioni informatiche che garantiscano alti livelli di protezione dei dati. Attualmente, la piattaforma più popolare è CBI Globe- Open Banking Ecosystem, una soluzione API elaborata dal consorzio Cbi assieme a Nexi che si rivolge a intermediari finanziari operanti in ambito paneuropeo. A CBI Globe hanno già aderito una decina dei maggiori gruppi bancari nazionali, tra i quali Postepay e il Gruppo Crédit Agricole Italia; Liliana Frantini Passi, direttore del consorzio Cbi, afferma di prevedere “un’adesione a Cbi Globe di oltre il 65% del mercato[1]”. Tra i più importanti concorrenti sul mercato citiamo, a titolo esemplificativo, CRIF, Auriga (con la piattaforma WWS Open API), ING (con Yolt), Oracle (con Oracle FlexCube, lanciata assieme a Cable), il Gruppo Sella (attraverso Fabrick s.p.a e Fabrick Platform) e il Gruppo Cedacri, ognuno dei quali offre la propria infrastruttura tecnologica ed un amplio ventaglio di tools a disposizione di banche e ASPSP.

L’autorità regolamentare, rendendosi conto della “corsa al mercato” relativa a servizi informatici per rispettare le scadenze della PSD2, prescrive precisi obblighi in capo agli ASPSP ai fini consentire un’esternalizzazione di servizi compatibile con le esigenze di sicurezza e buon funzionamento delle interfacce dedicate. A tal proposito, rifacendosi a quanto già imposto “dalla Circ. n. 285 “Disposizioni di vigilanza per le banche” del 17 dicembre 2013 e dalle “Disposizioni di vigilanza per gli istituti di pagamento e gli istituti di moneta elettronica” in materia di esternalizzazione di funzioni operative importanti”, la comunicazione della Banca d’Italia impone agli intermediari che intendano esternalizzare di “inviare alla Banca d’Italia una comunicazione preventiva”.

Qualora gli intermediari aderiscano “a una piattaforma multi-operatore offerta dal mercato e sorvegliata ai sensi dell’Art. 146 del TUB”, la comunicazione deve essere effettuata assieme a e nelle tempistiche di consegna del Modulo 1- Parte 1 (INFORMAZIONI SULL’INTERFACCIA DEDICATA), cioè non oltre il 14 marzo 2019, “purché la piattaforma abbia comunicato agli aderenti di aver fornito alla funzione di Sorveglianza sul sistema dei pagamenti della Banca d’Italia ex articolo 146 del TUB le informazioni necessarie a valutarne la conformità al quadro normativo”. Gli intermediari verificano il rispetto delle condizioni prescritte dalle disposizioni di vigilanza, e, laddove previsto, inoltrano l’analisi dei rischi in contemporanea all’invio del primo modulo per la richiesta d’esenzione.

[1] https://nova.ilsole24ore.com/nova24-tech/psd2-le-banche-dichiarano-le-loro-intenzioni-per-le-piattaforme-con-terze-parti/.

 

_________
DISCLAIMER
Il presente comunicato è divulgato a scopo conoscitivo per promuovere il valore dell’informazione giuridica. Non costituisce un parere e non può essere utilizzato come sostitutivo di una consulenza, né per sopperire all'assenza di assistenza legale specifica.