201901.10
0

Roma, 10 gennaio 2018 Con il Regolamento delegato 2018/389 della Commissione Europea del 27 novembre 2017, la PSD2 è stata integrata con disposizioni relative a norme tecniche per l’autenticazione del cliente e a standard aperti di comunicazione (abbreviato di seguito in RTS). L’RTS è stato oggetto della Comunicazione della Banca d’Italia del 4 gennaio 2019 in materia di accesso ai conti di pagamento (previsto dalla PSD2), riguardante le istruzioni per l’esenzione dall'obbligo di realizzare la procedura di contingency ("fall-back solution") qualora l’interfaccia dedicata sia indisponibile o non funzioni in modo adeguato.

Relativamente agli standard di comunicazione, la Banca d’Italia adotta un termine di indicativamente 45 giorni per la conclusione del procedimento amministrativo (iniziato su istanza di parte) per l’esenzione dalla soluzione di fall-back, ammessa ai sensi dell’articolo 33, paragrafo 6 dell’RTS. Gli ASPSP sono sollecitati, affinché la Banca d’Italia abbia tempo per esaminare le varie richieste, ad avviare i test di funzionalità delle loro interfacce dedicate il più presto possibile, “preferibilmente entro i primi giorni del mese di febbraio, e che le interfacce siano messe in esercizio entro il primo giugno”.

La Banca d’Italia predispone, inoltre, la modulistica allegata alle domande di esenzione di fallback e le corrispondenti tempistiche di invio. Riferendoci ad ogni modulo più nel dettaglio:

  1. Parte 1 - INFORMAZIONI SULL’INTERFACCIA DEDICATA (cfr. “Modulo 1 - Parte 1”): reca dettagli riguardanti le soluzioni di fall-back adottate secondo gli orientamenti ABE, da inoltrare non oltre il 14 marzo 2019;
  2. Parte 2 – INFORMAZIONI SUI TEST E SUGLI STRESS TEST (cfr. “Modulo 2 - Parte 2”): reca evidenze circa “il risultato degli stress test e dei test di funzionalità” ai sensi dell’articolo 30, paragrafo 5 dell’RTS, da inoltrare entro il 14 giugno 2019;
  3. Parte 3 - UTILIZZO DELLE INTERFACCE DEDICATE (cfr. “Modulo 3 - Parte 3”): reca tutte le evidenze conclusive rispetto al requisito di “ampio utilizzo” previsto dal paragrafo 7 degli orientamenti ABE, da inoltrare entro il primo di agosto 2019. L’invio del Modulo 3 “costituisce l’atto formale di presentazione dell’istanza di esenzione”. Qualora le evidenze si riferiscano ad un periodo inferiore da quello stabilito dall’ RTS (3 mesi), gli ASPSP debbono mandare un aggiornamento nei primi di settembre se e solo se siano sopraggiunti novità o problemi non già evidenziati.

La Comunicazione stabilisce che le istanze debbano essere presentate alla Banca d’Italia via PEC e definisce indirizzo e oggetto della comunicazione; sono altresì definiti i soggetti che dovranno presentare le relative istanze. Particolari disposizioni sono poi riferite in relazione agli intermediari qualora decidano “di utilizzare soluzioni di terzi” (rivolgendosi a piattaforme multi-operatore offerte dal mercato) “per l’accesso dei conti”.

La Comunicazione della Banca d’Italia, infine, offre chiarimenti rispetto alla non applicazione dell’“autenticazione forte” del cliente (consentita ai sensi dell’articolo 17 dell’RTS) in caso di pagamenti avvenuti nei confronti “di clientela corporate, se utilizzano processi o protocolli di pagamento dedicati”, qualora le procedure siano definite idonee da un’autorità secondo gli standard di sicurezza imposti dalla direttiva PSD2.

L’esenzione è sottoposta all’applicazione di tre criteri generali:

i) bisogna assicurare il monitoraggio delle transazioni;

ii) bisogna assicurare la conformità dei canali di comunicazione rispetto “ai requisiti previsti in materia di crittografia, riservatezza e integrità delle credenziali di sicurezza personalizzate dei clienti”;

iii) debbono essere applicati meccanismi di “autenticazione sicura”.

La Banca d’Italia impone di definire ogni soluzione adottata in un “documento di valutazione del rischio operativo e di sicurezza”, che gli intermediari dovranno inviare alla Banca d’Italia annualmente.

 

_________
DISCLAIMER
Il presente comunicato è divulgato a scopo conoscitivo per promuovere il valore dell’informazione giuridica. Non costituisce un parere e non può essere utilizzato come sostitutivo di una consulenza, né per sopperire all'assenza di assistenza legale specifica.