FinTech: un termine che si sta facendo sempre più strada nel mondo della finanza ove ormai quasi quotidianamente si presentano nuovi aspetti e nuove applicazioni.

Il FinTech (sincrasi di Financial Technologies) è un comparto del mercato dei servizi bancari e finanziari che si caratterizza per lo sviluppo e l’adozione di tecnologie emergenti, l’applicazione di queste ultime a prodotti già esistenti e la conseguente introduzione di nuovi modelli di business, con la principale finalità di ridurre i costi dei servizi.

Il FinTech interessa tutti i settori dell’intermediazione bancaria e finanziaria, includendo innovazioni anche molto diverse tra loro: vi rientrano, per fare solo qualche esempio, il mercato del trading online, anche delle criptovalute, il sostegno al risparmio fondato sull’analisi computazionale dei dati personali (big data), i nuovi modelli di accesso al credito (crowd-funding, peer-to-peer lending e credit scoring), i prodotti assicurativi (c.d. InsurTech), i finanziamenti e i servizi automatizzati di consulenza finanziaria (robo-advice), la gestione dell’identità e dei sistemi di riconoscimento biometrico (riconoscimento facciale, tramite impronta digitale o retina), le tecnologie di validazione distribuita delle transazioni (Distributed Ledger Technologies e blockchain) e quelle di supporto all’attività caratteristica (cloud computing). Al FinTech è, inoltre, associato anche il mercato di recente emersione dei servizi idonei a facilitare, semplificare e automatizzare le procedure remote di KYC (Know Your Customer) e AML (Anti-Money Laundering), finalizzate alla conoscenza, classificazione e controllo dei clienti: il RegTech (Regulatory Technologies).

A tale proposito, una sensibile spinta all’innovazione nel settore finanziario è stata generata dall’entrata in vigore della Direttiva PSD2, con l’istituzionalizzazione di attori quali AISPs, PISPs, ASPSPs e TPPs e l’introduzione di concetti quali SCA, XS2A, RTS e API.

Il FinTech ha sensibilmente modificato il mercato dei servizi bancari e finanziari, consentendo il posizionamento delle Big Tech come seri concorrenti delle incumbents di settore.

Per questo abbiamo pensato di creare un glossario, il ‘PeA FinTech Sillabo’, ossia una raccolta ragionata di vecchi e nuovi termini accompagnati da brevi note di commento e tavole di raccordo.

Sillabo: un termine "antico" a ricordare che i fenomeni finanziari si sono sempre avvantaggiati, con velocità ed accelerazioni diverse, di ciò che le conoscenze di ogni tempo consentono, a partire dalle tavole numeriche babilonesi (utilizzate per i censimenti e la quantificazione delle merci ma anche per il pagamento delle tasse) e seguire poi, tra gli altri, alle lettere di cambio di epoca medioevale o all'uso di algoritmi e funzioni alla base dei modelli finanziari utilizzati per i più svariati scopi.

In quest’ottica, dunque, il FinTech non è altro che l’ultima tappa di un processo in atto da millenni, di cui il presente glossario rappresenta una possibile chiave interpretativa.

Il lavoro, svolto dai nostri Giuseppina D'Auria e Marco Assisi coordinati dal partner Mario Di Giulio, sarà aperto al contributo di altri professionisti, anche esterni allo studio, per l’approfondimento degli interrogativi di carattere tecnico e delle ricadute economiche, sociali e culturali scaturenti dall’innovazione tecnologica.

Continuate a seguirci!


 

AISP
(Account Information Service Provider – Prestatore di servizi di informazione sui conti)

Gli AISP offrono ai clienti, per il tramite di una piattaforma online, una panoramica aggregata su uno o più conti di pagamento nella loro titolarità, anche se intrattenuti con diversi istituti di pagamento e nell’ambito di diversi Paesi. Sono comunemente noti come aggregatori di conti.
La Commissione ha chiarito che tali servizi hanno la finalità di consentire ai clienti di avere una visione globale della loro situazione finanziaria e di analizzare le loro abitudini di spesa, costi e bisogni finanziari in maniera intuitiva.
Grazie ai servizi offerti dagli AISP, il cliente, se il proprio conto di pagamento è accessibile online, ha la possibilità di usare con sicurezza i propri dati bancari per ottenere una consulenza finanziaria personalizzata e offerte diversificate sui prodotti finanziari; può, inoltre, godere, su un’unica piattaforma, di una visione complessiva di tutte le informazioni riguardanti i propri conti bancari: tassi di interesse, commissioni e spese applicate, storico delle transazioni, saldo dei conti; infine, ha la possibilità di confrontare costantemente prodotti bancari diversi.
In Italia i prestatori di servizi di informazione sui conti debbono affrontare una procedura di autorizzazione (e non di mera registrazione), che culmina con l’iscrizione in una sezione speciale dell’Albo degli istituti di pagamento al ricorrere di determinati requisiti (previsti dal comma 2-bis dell’art. 114-septies TUB): forma di società di capitali; sede legale in Italia; presentazione del business plan; idoneità dei soggetti che svolgono funzioni di amministrazione, direzione e controllo; mancato ostacolo alle funzioni di vigilanza; prestazione di idonea garanzia per i potenziali danni ai prestatori di servizi di radicamento del conto o agli utenti dei servizi di pagamento. A differenza dei PISP, gli AISP non necessitano di un capitale versato minimo.

AISP e PISP: tabella comparativa
Requisiti PISP AISP
Capitale minimo iniziale Abrogata la norma cui rinviano le disposizioni sul capitale minimo iniziale (“Disposizioni di vigilanza per gli istituti di pagamento e gli istituti di moneta elettronica” del 17 maggio 2016) Nessuno
Polizza di assicurazione della responsabilità civile o analoga garanzia per i danni arrecati all’ASPSP o all’utente Sì, per i danni arrecati da transazioni di pagamento non autorizzate, eseguite in ritardo o non correttamente + diritto di rivalsa degli ASPSP nei confronti del PISP. Sì, per i danni arrecati agli ASPSP o ai clienti derivanti dall’accesso o dall’uso non autorizzati o fraudolenti delle informazioni relative ai conti di pagamento.
Passporting
Modalità con cui possono conservare/usare i dati I PISP non possono:
- Conservare i dati sensibili relativi ai pagamenti dei clienti.
- Richiedere all’utente dei servizi di pagamento qualsiasi dato ulteriore a quelli necessari per fornire il servizio di disposizione di ordine di pagamento.
- Usare, accedere o conservare qualsiasi dato per scopi diversi dalla fornitura del servizio di disposizione di ordine di pagamento come richiesto dal cliente.
Gli AISP non possono:
- Richiedere dati sensibili relativi ai pagamenti e connessi al conto di pagamento.
- Usare, accedere o conservare qualsiasi dato per scopi diversi dalla fornitura del servizio di informazione sui conti esplicitamente richiesto dal cliente.
Limiti all’esercizio di attività accessorie No
Limiti allo svolgimento di altre attività imprenditoriali No
Limiti alle partecipazioni nelle banche No
Forme di tutela del patrimonio dei conti di pagamento No


 

API
(Application Programming Interface – Interfaccia di programmazione di un’applicazione)

L’Application Programming Interface è un insieme di comandi, protocolli, funzioni e oggetti che garantiscono a un software di comunicare e accedere a un sistema esterno. Ciò consente agli sviluppatori di creare applicazioni o programmi senza la necessità di riscrivere il codice da zero ma partendo da operazioni condivise con l’altro software cui verranno associati.
Alcune software house rendono pubbliche le loro API al fine di incrementare la diffusione dei propri programmi. Altre società, invece, garantiscono l’accesso alla propria interfaccia soltanto a soggetti selezionati, in modo da mantenere il controllo finale sul servizio offerto.
Nell’ambito della politica di open banking promossa dall’Unione europea con la Direttiva PSD2, l’API risulta di fondamentale importanza in quanto garantisce ai TPP l’accesso alle informazioni del conto radicato presso una banca.
I requisiti di dettaglio e le funzionalità che dovranno avere le API per essere conformi alla Direttiva PSD2 saranno regolati dall’ABE (Autorità bancaria europea). Le banche dovranno dotarsi di un API Management e di efficaci sistemi di sicurezza allo scopo di gestire le richieste di accesso. L’accesso tramite API deve essere in ogni caso garantito qualora il TPP rispetti i requisiti stabiliti dalla direttiva.


 

ASPSP
(Account Servicing Payment Service Provider – Prestatore di servizi di pagamento di radicamento del conto)

L’ASPSP è un prestatore di servizi di pagamento che offre e amministra un conto di pagamento per un pagatore: si tratta, principalmente ma non solo, degli istituti bancari.
Gli ASPSP sono presi in considerazione dalla Direttiva PSD2 in quanto destinatari di numerosi obblighi, tra i quali in primis quello di fornire i dati in maniera sicura agli AISP e ai PISP.
Il prestatore di servizi di radicamento del conto, inoltre, deve assicurare parità di trattamento alle richieste di dati trasmesse dai TPP rispetto a quelle trasmesse direttamente dall’utente, senza alcuna discriminazione in termini di tempo, priorità o commissioni, fatte salve ragioni obiettive.
In presenza di giustificate e comprovate ragioni connesse all’accesso fraudolento o non autorizzato al conto di pagamento, il prestatore di servizi di pagamento di radicamento del conto può rifiutare l’accesso ai dati a un AISP o a un PISP. In tali casi, l’ASPSP, secondo le modalità convenute con l’utente, informa il TPP del rifiuto e dei relativi motivi, prima che l’accesso sia rifiutato o, al più tardi, immediatamente dopo, salvo che ciò non sia in contrasto con obiettivi di ordine pubblico o di pubblica sicurezza o ricorrano altri giustificati motivi ostativi. Al venir meno delle ragioni che hanno portato al rifiuto, l’ASPSP consentirà nuovamente l’accesso al conto di pagamento. L’ASPSP dovrà sempre rifiutare senza indugio l’accesso al conto di pagamento a un AISP o a un PISP se riceve dall’utente la revoca del consenso alla prestazione di tali servizi.
La Direttiva prevede anche un preciso regime di responsabilità per le transazioni non autorizzate e/o non correttamente eseguite. L’ASPSP sostiene in prima linea il rischio per le transazioni non autorizzate ed è tenuto a rimborsare immediatamente al pagatore l’importo delle operazioni medesime. In caso di operazione di pagamento non autorizzata disposta mediante un PISP, quest’ultimo è tenuto a rimborsare all’ASPSP gli importi restituiti al pagatore immediatamente o, comunque, entro la fine della giornata operativa successiva, senza che sia necessaria la costituzione in mora. È fatto salvo, in ogni caso, il diritto di rivalsa dell’ASPSP nei confronti del PISP, che sarà tenuto a risarcirlo immediatamente, anche per le perdite subite, laddove non riesca a provare che nell’ambito delle proprie competenze, il pagamento è stato autenticato, correttamente registrato e non ha subito le conseguenze di un malfunzionamento tecnico o altri inconvenienti connessi al servizio di pagamento che quest’ultimo era tenuto a erogare.
In forza del nuovo quadro normativo, gli ASPSP hanno visto incrementare notevolmente il rischio di frodi e, conseguentemente, hanno dovuto riconsiderare taluni processi interni, nonché revisionare alcune condizioni generali con i propri clienti.


 

Blockchain

La blockchain è un tipo di distributed ledger technology (DLT - tecnologia di registro distribuito), che offre la possibilità di effettuare transazioni sicure in internet e di conservare dati senza la necessità che un’autorità terza ne valuti e confermi la validità.

La tecnologia blockchain, in particolare, consente a un gruppo di soggetti non legati tra loro (cc.dd. nodi) di formare, indipendentemente l’uno dall’altro, un consenso diffuso intorno alla validità di una determinata transazione. Il risultato è il decentralized public ledger, ossia un registro di transazioni accessibile online, pubblico, permanente e refrattario a eventuali tentativi di frode, in quanto non gestito da un ente unico.

La blockchain è il frutto di oltre venti anni di innovazioni tecnologiche nel settore della crittografia e delle reti tra computer. Tali innovazioni hanno portato alle tre principali caratteristiche di cui gode oggi la blockchain: 1) un meccanismo di consenso decentralizzato; 2) una riserva di dati distribuita; 3) algoritmi crittografici.

Prima che una transazione o un certo dato possa essere archiviato digitalmente nel registro pubblico decentralizzato, i membri della rete devono conseguire un consenso in merito alla validità della transazione o del dato inserito. In questo modo, essi eliminano la necessità di un’autorità centralizzata che confermi le transazioni. Una volta che una transazione abbia ottenuto il consenso diffuso, viene inserita in modo permanente nel registro.

L'archiviazione dei dati è la seconda innovazione-chiave apportata dalla blockchain. È evidente che quando una transazione deve essere validata da un’autorità centrale affidabile, tale ultima autorità è l’unica a conservare traccia completa della transazione; nella blockchain, al contrario, quando i nodi raggiungono un consenso sulla validità di una transazione, tale transazione viene archiviata nella copia del registro in possesso di ogni singolo nodo e salvata sul relativo terminale. Ogni membro della rete conserva, quindi, una registrazione completa di tutte le transazioni effettuate in qualsiasi momento.

La natura decentralizzata della blockchain dà conto anche della sua terza principale caratteristica: gli algoritmi crittografici. Per proteggere i dati in essa inseriti, la blockchain utilizza un “approccio probabilistico”. Quando le informazioni sono inserite in una rete decentralizzata e possono essere archiviate solo attraverso il consenso di un gruppo, esse diventano più trasparenti e verificabili. I potenziali hacker che volessero immettere informazioni false nel registro distribuito difficilmente potrebbero riuscirvi, per l’improbabilità che tali dati ottengano un consenso diffuso nella rete.

Inoltre, a differenza dei dati memorizzati nelle reti centralizzate, i dati inseriti in una blockchain non possono essere modificati semplicemente mediante l’accesso alla rete o al server. Dal momento che una copia del registro è memorizzata sui computer di tutti i nodi della rete, l’eventuale attacco o manomissione del registro di un nodo creerà un’incoerenza che potrà essere facilmente resa nota e risolta mediante il confronto con i registri in possesso degli altri nodi.

Ulteriori approfondimenti

Blockchain e Cyberattacks: La Blockchain è una tecnologia sicura e a prova di hacker?  
Pierguido Iezzi, Cybersecurity Strategy Director – Co Founder di Swascan

Blockchain come strumento per il contrasto al riciclaggio: uno scenario del prossimo futuro
Massimo Masini, Amministratore, GPM & SAIP GROUP srl


 

Credit scoring
(Valutazione del merito creditizio)

Il credit scoring è un sistema usato dalle banche e dagli intermediari finanziari per valutare, mediante l’attribuzione di un punteggio (score), il merito creditizio di chi richiede un finanziamento e, in definitiva, decidere se erogare il credito e, in caso affermativo, a quali condizioni.
Ad esempio, un’azienda con uno score particolarmente elevato potrà vedersi applicare un tasso di interesse relativamente più basso, perché offre maggiori garanzie di solidità finanziaria e un minor rischio di insolvenza.
L’attività di scoring prende in considerazione diverse informazioni: da quelle attinenti al cliente e alla sua situazione debitoria (centrale rischi, bilanci passati, …) a quelle riguardanti il progetto da finanziare. L’efficacia del credit scoring è avallata in Italia dalla Banca d’Italia, che, in uno studio ad hoc relativo principalmente ai prestiti concessi alle piccole e medie imprese, ha rilevato che l’adozione di sistemi di credit scoring rende più oculata la scelta dei debitori da parte delle banche e riduce il rischio di acquisire crediti in sofferenza.
L’attendibilità del credit scoring potrebbe aumentare in misura esponenziale grazie al FinTech. Le enormi quantità di dati a disposizione delle Big Tech sulle abitudini di consumo degli utenti potrebbero consentire, in futuro, un’accurata analisi dell’affidabilità creditizia degli individui. Le tecnologie API, inoltre, consentono l’accesso a una molteplicità di informazioni, come quelle relative ai flussi di cassa di un’azienda: ciò consentirebbe di valutare un potenziale cliente attraverso l’analisi di informazioni ottenute in tempo reale e non soltanto degli andamenti passati.
In questa ottica, l’accesso a tali dati risulta decisivo per la sorte delle imprese del settore dei servizi bancari e finanziari, anche ai fini antitrust. Su tale considerazione si fonda, dunque, la norma della Direttiva PSD2 che consente ai TPP(prestatori terzi) il libero accesso ai dati relativi ai conti accesi dai propri utenti presso banche e istituti di pagamento

Ulteriori approfondimenti

Credit scoring e rating: qual è la differenza?
Alessandro Adamo, Pavia e Ansaldo

Uguaglianza dei ratings tra le agenzie di rating.
Lapo Guadagnuolo, Responsabile del Centro di Eccellenza nell’ambito del gruppo Metodologia di S&P Global Ratings


 

Criptovalute

L’art.1, comma 2, lett. qq) del decreto 231/2007, come modificato dal d.lgs. 90/2017, reca una definizione – in larga parte derivante da quella già delineata dagli studi della Banca d’Italia e della Banca centrale europea – di valuta virtuale (o criptovaluta) quale “rappresentazione digitale di valore […] utilizzata come mezzo di scambio per l’acquisto di beni e servizi e trasferita, archiviata e negoziata elettronicamente”, enfatizzando come essa non sia “emessa da una banca centrale o da un’autorità pubblica”, né sia “necessariamente collegata a una valuta avente corso legale”. Più recentemente, anche il legislatore europeo ha regolamentato il fenomeno delle valute virtuali con la V direttiva Antiriciclaggio (Direttiva (UE) 2018/843).
La nascita delle valute virtuali è coincisa con la crisi finanziaria del 2008, quando un gruppo di informatici decise di impegnarsi nella creazione di un sistema finanziario del tutto innovativo, che prescindesse dalle banche e in cui i privati potessero utilizzare tra loro un strumento di pagamento senza coinvolgere alcuna autorità o intermediario. La risposta tecnologica a questa esigenza giunse grazie all’impiego degli algoritmi crittografici, cui si deve la scelta del nome “criptovaluta”.
Nonostante originariamente le criptovalute fossero state pensate come uno strumento di pagamento del tutto decentralizzato e bidirezionale, le cui transazioni dovevano essere costruite e convalidate da complessi metodi basati sulla crittografia con tutti i soggetti situati in una posizione paritetica (peer to peer), oggi esistono anche valute che possono essere emesse e gestite da un singolo ente, spesso impiegate nell’ambito di comunità virtuali.
La più celebre delle criptovalute è senz’altro il Bitcoin, sebbene esistano più di 1600 valute virtuali sul mercato: Ether, Ripple e Litecoin sono soltanto le più note di un elenco che è in continua evoluzione.
Data la novità del fenomeno e la problematicità di molti aspetti, vi è una relativa mancanza di norme internazionali disciplinanti le valute virtuali.

Ulteriori approfondimenti

Le “criptovalute” non sono moneta legale
Nicola MainieriDirigente della Banca d’Italia, Ispettorato Vigilanza


 

Cryptocurrency Wallet
(Portafoglio di Criptovalute)

Per “portafoglio di criptovalute” si intende ogni sistema adibito alla conservazione della coppia di chiavi crittografiche, pubblica e privata, necessarie per compiere transazioni di criptovalute. Esistono numerose tipologie di wallet, non tutte richiedenti l’impiego di supporti digitali, ma la più importante suddivisione è quella tra “cold wallet” e “hot wallet”. I cold wallet sono tutti quei sistemi non automaticamente connessi ad una rete su cui vengono scritte o stampate le chiave crittografiche (supporti hardware o paper wallet); viceversa, gli hot wallet sono connessi costantemente alla rete.
Gli hot wallet, oltre a conservare le chiavi crittografiche, permettono di effettuare transazioni di criptovalute, mentre i cold wallet garantiscono, da parte loro, una maggiore sicurezza contro gli attacchi informatici. Si è cercato di unire la praticità degli hot wallet con l’affidabilità dei cold wallet realizzando supporti hardware specifici in cui è possibile effettuare transazioni in criptovalute, generalmente tramite l’inserimento di un pin in un’interfaccia grafica.
Una tipologia del tutto peculiare di wallet è rappresentata dai cosiddetti “deterministic wallet”, i quali offrono la possibilità di effettuare un backup del portafoglio tramite un seed (stringa casuale di parole comprensibili al linguaggio umano e conservate su un supporto diverso dal wallet) e una root key, dalla quale poi verranno derivate tutte le altre chiavi in ordine deterministico. I seed, una volta inseriti, consentono il backup del sistema senza bisogno di immettere altre chiavi, dal momento che queste ultime sono ottenute e ricalcolate algoritmicamente a partire dalla root key.
Normalmente, i portafogli di criptovalute sono compatibili solo con un numero limitato di criptovalute (sopra tutte i bitcoin), ma ne esistono alcuni capaci di contenere più criptovalute alla volta.
I gestori di wallet sono divenuti oggetto della recentissima Direttiva UE 2018/843, novellante la direttiva (UE) 2015/849 (AMLD4) contro il riciclaggio ed il finanziamento al terrorismo. La ragione di quest’inserimento, esplicitata nei considerando n. 8) e 9), è da ricercare nel potenziale criminoso dell’utilizzo di criptovalute, data l’assenza di controlli a cui sono sottoposti i soggetti che gestiscono criptovalute e l’anonimato con cui sono svolte le transazioni.


 

PISP
(Payment Initiation Service Provider – Prestatore di servizi di disposizione di ordine di pagamento)

Uno dei servizi introdotti dalla direttiva PSD2 è il servizio di disposizione di ordine di pagamento (Payment Initiation Service). La Direttiva PSD2 fa sì che determinati soggetti, ossia i prestatori di servizi di disposizione di ordine di pagamento (Payment Initiation Service Providers – PISP), possano dare l’ordine di effettuare una transazione ad un prestatore di servizi di pagamento, una volta autorizzate dai loro clienti, accedendo direttamente al loro conto senza la presenza di nessun intermediario. Il pagatore, quindi, potrà addebitare una transazione direttamente nel suo conto online senza l’intermediazione della carta di credito. Questo innovativo servizio porta al venir meno di numerosi intermediari, conducendo potenzialmente ad una riduzione dei costi per le transazioni online e a una modifica radicale degli scenari competitivi. L’accesso al conto del pagatore avverrà attraverso un API (Application Programming Interface), un insieme di determinati metodi di comunicazione tra programmi e protocolli di accesso che sono vigilati e regolamentati direttamente dall’ABE (Autorità bancaria europea). Il soggetto presso cui è radicato il conto di pagamento (ASPSP), di solito una banca, sarà obbligato a garantire l’accesso al conto del pagatore anche in assenza di un rapporto contrattuale con il PISP (art. 66, comma 5 PSD2). Il PISP dovrà rispettare le condizioni previste dalla legge di recepimento della Direttiva PSD2: il PISP non potrà detenere in alcun modo i fondi del pagatore e di conseguenza non potrà svolgere la funzione tipicamente bancaria offrendo servizi di deposito. Per quanto riguarda i dati viene esplicitamente previsto il divieto di detenere dati sensibili e il PISP non potrà richiedere al pagatore dati ulteriori rispetto a quelli necessari allo svolgimento del servizio. Il PISP, se non autorizzato, non potrà usare né conservare i dati dell’utente per fini diversi da quelli strettamente necessari allo svolgimento del servizio. Il prestatore di servizi di pagamento presso cui è radicato il conto non potrà negare l’ accesso ai PISP; Il soggetto presso cui è radicato il conto dovrà garantire a tutti i soggetti, PISP compresi, parità di condizioni nell’ accesso al conto. Un diniego di accesso o un rallentamento nell’ accesso verso i PISP se non giustificato da motivi strettamente tecnici, potrà essere sanzionato per violazione del diritto antitrust dalle autorità nazionali e comunitarie. In questa prospettiva, il conto corrente, sarà assimilabile sempre di più ad una infrastruttura, a cui diversi soggetti dovranno avere accesso a parità di condizioni per offrire servizi di pagamento.

AISP e PISP: tabella comparativa
Requisiti PISP AISP
Capitale minimo iniziale Abrogata la norma cui rinviano le disposizioni sul capitale minimo iniziale (“Disposizioni di vigilanza per gli istituti di pagamento e gli istituti di moneta elettronica” del 17 maggio 2016) Nessuno
Polizza di assicurazione della responsabilità civile o analoga garanzia per i danni arrecati all’ASPSP o all’utente Sì, per i danni arrecati da transazioni di pagamento non autorizzate, eseguite in ritardo o non correttamente + diritto di rivalsa degli ASPSP nei confronti del PISP. Sì, per i danni arrecati agli ASPSP o ai clienti derivanti dall’accesso o dall’uso non autorizzati o fraudolenti delle informazioni relative ai conti di pagamento.
Passporting
Modalità con cui possono conservare/usare i dati I PISP non possono:
- Conservare i dati sensibili relativi ai pagamenti dei clienti.
- Richiedere all’utente dei servizi di pagamento qualsiasi dato ulteriore a quelli necessari per fornire il servizio di disposizione di ordine di pagamento.
- Usare, accedere o conservare qualsiasi dato per scopi diversi dalla fornitura del servizio di disposizione di ordine di pagamento come richiesto dal cliente.
Gli AISP non possono:
- Richiedere dati sensibili relativi ai pagamenti e connessi al conto di pagamento.
- Usare, accedere o conservare qualsiasi dato per scopi diversi dalla fornitura del servizio di informazione sui conti esplicitamente richiesto dal cliente.
Limiti all’esercizio di attività accessorie No
Limiti allo svolgimento di altre attività imprenditoriali No
Limiti alle partecipazioni nelle banche No
Forme di tutela del patrimonio dei conti di pagamento No


 

PSD2

La PSD2 (Payment Services Directive 2 – Direttiva (UE) 2015/2366), entrata in vigore il 13 gennaio 2018, ha sensibilmente modificato la disciplina europea sui servizi di pagamento, modificando quella precedentemente introdotta dalla Direttiva 2007/64/CE (cosiddetta PSD).
La direttiva ha regolato gli aspetti più innovativi emersi nel settore dei pagamenti, tenendo conto di fenomeni quali l’aumento esponenziale del ricorso ai sistemi di pagamento elettronici e il passaggio all’uso (quasi) esclusivo della tecnologia mobile da parte degli utenti. Come la precedente direttiva, la PSD2 mira a stabilire un mercato unico europeo di servizi di pagamento, orientato a principi di concorrenza, trasparenza e responsabilità nei confronti del consumatore.
Dal punto di vista soggettivo, la Direttiva PSD2 si applica anche a nuove tipologie di prestatori di servizi: le imprese del comparto FinTech e, in particolare, i TPP. A questi ultimi la Direttiva consente di accedere direttamente ai conti accesi dalla propria clientela presso altri istituti tramite le interfacce API, collocandoli finalmente in una posizione più competitiva rispetto agli operatori tradizionali (banche e istituti di pagamento).


 

RTS
(Regulatory Technical Standards – norme tecniche di regolamentazione)

Sono le norme tecniche funzionali alla prestazione degli innovativi servizi previsti dalla direttiva PSD2, introdotte con il Regolamento delegato (UE) 2018/389 della Commissione europea, che integra la direttiva. Le regole tecniche sono state sviluppate dall’ABE (Autorità bancaria europea) in stretta cooperazione con la Banca centrale europea. Il Regolamento delegato stabilisce, in particolare, le norme tecniche di regolamentazione per l’autenticazione forte del cliente (Strong Customer Authentication - SCA), le misure di protezione della riservatezza e dell’integrità delle credenziali di sicurezza personalizzate dell’utente e gli standard aperti comuni per la comunicazione tra i prestatori di servizi di radicamento del conto (ASPSPs), i prestatori di servizi di disposizione di ordine di pagamento (PISPs), i prestatori di servizi di informazione sui conti (AISP), i pagatori (payers), i beneficiari (payees) e gli altri prestatori di servizi di pagamento (PSPs).
Gli RTS troveranno applicazione a decorrere dal 14 settembre 2019. Tuttavia, si applicheranno a partire dal 14 marzo 2019 l’obbligo delle banche di mettere a disposizione la documentazione relativa al dispositivo di prova e alle specifiche tecniche delle loro interfacce dedicate.


 

SCA
(Strong Customer Authentication – Autenticazione forte del cliente)

L’autenticazione forte del cliente è una procedura di verifica dell’identità di un utente che i prestatori di servizi di pagamento applicano quando quest’ultimo effettua qualsiasi operazione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi (a titolo di esempio, quando accede al suo conto di pagamento on-line o dispone un’operazione di pagamento elettronico).
L’autenticazione forte del cliente è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione e, pertanto, si fonda sull’uso di due o più elementi, appartenenti alle seguenti categorie: conoscenza (qualcosa che solo l’utente conosce: password o codice identificativo utente), possesso (qualcosa che solo l’utente possiede: smart key), inerenza (qualcosa che caratterizza l’utente: caratteristiche biometriche e/o comportamentali). Tali elementi sono indipendenti l’uno dall’altro, in quanto la violazione di uno non è in grado di compromettere l’affidabilità degli altri.
La mancata adozione dell’autenticazione forte del cliente da parte dei prestatori di servizi di pagamento incide sul rispettivo regime di responsabilità.
L’autenticazione forte del cliente è disciplinata dalle norme tecniche di regolamentazione (Regulatory Technical StandardsRTS) contenute nel Regolamento delegato (UE) 2018/389 della Commissione europea, pubblicato il 13 marzo 2018.


 

Smart contract

 

Uno smart contract è un protocollo computerizzato che esegue le clausole di un contratto. Seguendo la stessa logica di un distributore automatico, lo smart contract è programmato per assicurare a una delle parti che la controparte soddisferà con certezza le proprie obbligazioni (in forza degli operatori logici ‘if-then’).
Di recente, sono state progettate alcune piattaforme (prima tra tutte, Ethereum) con l’intento di applicare la tecnologia blockchain all’esecuzione degli smart contract basati sul verificarsi di eventi semplici (come il passare del tempo) ovvero più complicati (come i risultati finanziari futuri).
Nella visione dei suoi sostenitori, gli smart contract sarebbero in grado di superare i problemi di moral hazard, scoraggiando l’inadempimento per fini strategici, e ridurre notevolmente i costi di verifica e di enforcement delle prestazioni: l’architettura tecnologica degli smart contract (blockchain) non lascerebbe alle parti alcuna possibilità di violazione delle norme contrattuali.
In sostanza, con la “stipulazione” di uno smart contract la parte si vincolerebbe a un’obbligazione di protezione aggiuntiva nei confronti dell’altra parte, obbligandosi a non comportarsi in modo opportunistico in futuro. Al pari dell’ordinamento giuridico, delle norme istituzionali e delle regole di mercato, l’architettura tecnologica della blockchain assumerebbe, così, il ruolo di limite regolatorio in grado di influire sul comportamento degli individui.
Dopo essere stato scritto nella blockchain, inoltre, lo smart contract si auto-esegue, svincolandosi dalla volontà di adempimento delle parti. L’architettura di alcuni smart contract, peraltro, subordina l’adempimento di una parte a quello della controparte.
La decentralizzazione offerta dalla blockchain, pertanto, limiterebbe enormemente anche l’insorgere di controversie giudiziali e, di conseguenza, la necessità di inserire clausole attinenti a tale eventualità (scelta del foro e legge applicabile).


 

TPP
(Third-Party Provider – Prestatori terzi)

Operatori esterni autorizzati dai clienti ad accedere ai loro dati online sulle transazioni di pagamento. Tale accesso avviene mediante l’API (Application Programming Interface), che collega il Provider alla banca del cliente. La Direttiva PSD2 regolamenta due TPP: i Payment Initiation Service Provider (PISP), gli Account Information Service Provider (AISP).
La direttiva PSD2 (Articoli 66 e 67) ha riservato ai TPP il diritto di accedere liberamente ai dati bancari del cliente, a condizione che essi siano rigorosamente online, definendo gli standard di comunicazione con il prestatore del conto di pagamento (Account Servicing Payment Service Provider - ASPSP).
L’aspetto più radicale di questi nuovi soggetti consiste nel fatto che, per assicurare il libero accesso ai nuovi concorrenti, i prestatori del servizio di radicamento del conto non possono esigere che i TPP stipulino con essi un contratto per ottenere l’accesso ai conti di pagamento al fine di erogare i servizi caratteristici di informazione sui conti e di disposizione di ordini di pagamento.


 

UI
User Interface

Per La definizione si veda UX (User experience)


 

UX
User Experience

Per user experience (UX) si intende il complesso di effetti (razionali e irrazionali) suscitati in un individuo dalla sua interazione con un determinato prodotto o sistema.

Dal punto di vista soggettivo, la UX coinvolge tutte le categorie di consumatori, indipendentemente dal livello culturale, dall’età, dal genere, dal censo e dalla classe sociale. Dal punto di vista oggettivo, il concetto di user experience ricomprende i seguenti aspetti:

  • la usabilità (usability), che include caratteristiche quali la facilità d’uso, la produttività, l’efficienza, l’efficacia, l’apprendibilità e la capacità di soddisfare l’utente;
  • l’utilità (usefulness), che consente un uso del prodotto o del sistema finalizzato al raggiungimento dell’obiettivo prefissato dall’utente;
  • l’impatto emozionale, che consiste nella componente emotiva dell’esperienza d’uso, in grado di influire sui sentimenti dell’utente, provocandogli piacere, gioia, divertimento, senso estetico, desiderabilità, novità, originalità, attrazione e coinvolgendo anche aspetti psicologici più profondi, come la consapevolezza di sé, i fenomeni identitari, i sentimenti di orgoglio e il senso di appartenenza.

    In breve, si considera che un prodotto o un sistema sia in grado di offrire una buona user experience se è facile da usare, efficiente e accattivante. Solitamente, l’utente medio va oltre gli aspetti pragmatici e verificabili (funzionalità e usability), ricercando la bellezza e la soddisfazione emotiva e intellettuale nell’esperienza d’uso in cui si ritrova coinvolto. Se poi l’esperienza risulta positiva, l’utente è più propenso a preservarla nella memoria dopo l’interazione con il prodotto o sistema che l’ha provocata. Anche il concetto di interazione è molto ampio e non va limitato alla sua componente materiale: interagire con un prodotto o un sistema significa osservare, toccare e pensare ad esso, arrivando sino a provare interesse ancor prima di aver avuto qualsiasi contatto con esso.

La UX assume un ruolo cruciale in ambito digitale, in cui si sta assistendo, da un lato, a un aumento vertiginoso della complessità delle nuove tecnologie impiegate e, dall’altro lato, al costante allargamento del bacino d’utenza, sempre più diversificato al suo interno. In questo specifico settore, il complemento della UX è la user interface (UI), che consiste nell’attività di progettazione delle interfacce utente di macchine e/o software finalizzata a ottimizzare la presentazione e l’interattività di un determinato prodotto o sistema. Dal momento che la maggior parte degli utenti ha accesso alla computazione da dispositivi mobile, l’attenzione degli UI designers è oggi rivolta principalmente all’elaborazione di user interface che siano efficaci per tali dispositivi (garantendone l’uso immediato, minimizzando gli input di testo, ottimizzando la visualizzazione dei risultati sullo schermo, creando applicazioni conformi all’interfaccia della piattaforma principale e consentendone l’uso anche in luoghi in cui la connessione è scarsa o assente).


 

Wallet Provider
(Prestatore di servizi di portafoglio digitale)

Il prestatore di servizi di portafoglio digitale è quel “soggetto che fornisce servizi di salvaguardia di chiavi crittografiche private per conto dei propri clienti, al fine di detenere, memorizzare e trasferire valute virtuali”. I prestatori di servizi di portafoglio digitale, assieme “ai prestatori di servizi di cambio tra valute virtuali e valute legali”, sono stati sottoposti dalla Direttiva (UE) 2018/843 all’obbligo di registrazione o licenza e assimilati, pertanto, a categorie di soggetti più “tradizionali”, quali i cambiavalute, gli uffici per l’incasso di assegni e i prestatori di servizi relativi a società o trust (art. 47, comma 1, direttiva (UE) 2015/849).
L’Italia aveva anticipato il legislatore europeo con il decreto legislativo n. 90/2017 di recepimento della IV direttiva antiriciclaggio, diventando il primo Paese europeo ad aver previsto obblighi specifici per i wallet provider e i cambiavalute di valuta virtuale. Il decreto legislativo de quo modifica la precedente normativa antiriciclaggio contenuta nel d.lgs. 231/2007, estendendone l’applicazione. Il decreto legislativo 90/2017 accomuna i prestatori di valuta virtuale ai cambiavalute e li sottopone all’obbligo di iscriversi in un registro ad hoc tenuto dall’Organismo Agenti e Mediatori.


 

XS2A
(Access-to-Account – Accesso al conto)

L’accesso al conto di pagamento è il diritto – riconosciuto dalla direttiva PSD2 ai terzi prestatori di servizi di pagamento (TPPs – Third-Party Providers) – di ottenere dalle banche (o dagli altri prestatori di servizi di radicamento del conto) informazioni e accesso ai conti dei loro clienti, se questi ultimi vi acconsentono.