PSD3 e PSR: il 2025 dei servizi di pagamento in Europa

Il pacchetto, altresì noto come “New Payments Package”, getta le basi per un quadro normativo più adatto all’evoluzione del mercato dei pagamenti, tenendo conto dei progressi tecnologici e dell’emergere di nuovi operatori.

La PSD3 si concentra sull’accesso e la supervisione delle attività dei fornitori di servizi di pagamento e di moneta elettronica, integrando gli istituti di moneta elettronica come sottocategoria. Introduce misure per contrastare le frodi nei pagamenti, migliorare i diritti dei consumatori (trasparenza, rimborso, accesso al contante), favorire la competizione tra banche e non-banche e rafforzare la regolamentazione dell’open banking.

Il PSR, invece, stabilisce requisiti uniformi per la trasparenza e i diritti/obblighi tra utenti e fornitori di servizi di pagamento e moneta elettronica. Copre categorie ampie di fornitori, includendo istituti bancari, postali e centrali. Condivide molti obiettivi con la PSD3, come il contrasto alle frodi, la tutela dei consumatori, la parità di condizioni tra operatori e il miglioramento dell’accesso al contante e all’open banking, ma ha carattere direttamente applicabile per garantire maggiore uniformità ed enforcement nell’Unione.

L’iter legislativo di entrambi gli atti è tuttora in corso e il testo finale potrebbe differire dalle proposte iniziali. Tuttavia, entrambi mirano a creare un mercato dei pagamenti europeo più sicuro, trasparente ed efficiente, in grado di rispondere alle sfide poste dall’innovazione tecnologica.

La procedura ordinaria legislativa di PSD3 e PSR

Il percorso legislativo di entrambi i testi ha seguito l’iter tipico della procedura legislativa ordinaria dell’Unione Europea. Non si evidenziano differenze significative tra l’iter legislativo della PSD3 e del PSR. Entrambi gli atti sono stati presentati dalla Commissione Europea il 28 giugno 2023 e sono stati approvati in prima lettura dal Parlamento Europeo il 23 aprile 2024.

Di seguito, riportiamo una descrizione delle tappe principali per ciascun atto, indicando il riferimento alle singole procedure:

• 28 giugno 2023: la Commissione Europea pubblica le proposta di direttiva PSD3 ( COM(2023)0366 ) e di regolamento PSR ( COM(2023)0367 );
• 23 aprile 2024: il Parlamento Europeo approva in prima lettura la proposta di direttiva PSD3 e quella di regolamento PSR;
• ottobre 2024: il Consiglio dell’UE è ancora in fase di negoziazione di entrambi i testi di PSD3 e PSR.

Il contenuto dei futuri atti legislativi, anche in termini di perimetro di applicazione, potrebbe subire variazioni alla luce del negoziato in corso.

Le principali aree d’intervento della PSD3

La proposta di direttiva PSD3 delinea un quadro normativo aggiornato e coerente per i servizi di pagamento nell’Unione Europea, con l’obiettivo di rafforzare la sicurezza, promuovere l’innovazione, garantire una maggiore trasparenza e assicurare una migliore protezione degli utenti.

Il testo proposto interviene su un gamma di aree chiave, prevedendo norme più stringenti a seconda dei soggetti coinvolti.

In sintesi, le principali aree attenzionate dalla nuova PSD3 sono le seguenti:

• Autorizzazione e nuova autorizzazione per istituti di pagamento
• Integrazione servizi di pagamento e moneta elettronica
• Ambito di applicazione ed esenzioni
• Modifiche al perimetro di deroga
• Custodia dei fondi e protezione degli utenti

Al seguito proponiamo una breve disamina per ciascuna area elencata, oggetto d’impatto della PSD3.

Autorizzazione e nuova autorizzazione per istituti di pagamento

La proposta di nuova direttiva innalza l’asticella dei requisiti necessari per ottenere e mantenere (ossia ri-ottenere) l’autorizzazione come istituto di pagamento e di moneta elettronica, riflettendo una maggiore attenzione alla solidità operativa, alla gestione del rischio e alla trasparenza.

In particolare, gli interventi si concentrano su:

• introduzione nuove procedure di autorizzazione per gli istituti di pagamento che includono la valutazione della governance, dei meccanismi interni di controllo, dei sistemi ICT e della capacità di condivisione sicura dei dati con fornitori terzi (TPP[2]);
• previsione dell’obbligo di presentare un piano di liquidazione in caso di dissesto, a garanzia di una chiusura ordinata delle attività. Gli istituti di pagamento e di moneta elettronica già autorizzati dispongono di un periodo di adeguamento, durante il quale devono conformarsi ai nuovi requisiti;
• previsione dell’obbligo di notifica preventiva alle autorità competenti in caso di acquisizione o cessione di partecipazioni qualificate, consentendo alle autorità di opporsi all’operazione se ritenuta contraria a una gestione prudente e sana dell’istituto;
• adeguamento dei requisiti patrimoniali e i fondi propri degli istituti di pagamento che vengono proporzionati ai rischi specifici e all’inflazione, con nuovi metodi di calcolo e criteri più stringenti, assicurando maggiore solidità finanziaria.

Integrazione servizi di pagamento e moneta elettronica

La proposta di PSD3 integra in un unico corpus normativo le precedenti discipline sui servizi di pagamento e sulla moneta elettronica, semplificando il quadro regolamentare e favorendo un’applicazione più coerente delle regole in tutto il territorio dell’UE.

Al riguardo è utile precisare che la PSD3 introduce l’obbligo di registrazione dei distributori di moneta elettronica dei nuovi IMEL[3], in modo analogo agli agenti di pagamento.

Ambito di applicazione ed esenzioni

La proposta di PSD3 chiarisce e amplia il proprio ambito di applicazione, tenendo conto dell’evoluzione del mercato, delle nuove tecnologie e della varietà di operatori emergenti.

In particolare, gli interventi si concentrano su:

• gestori di portafogli digitali (i Digital Wallet, se si preferisce l’inglese), siano essi di tipo “pass-through” o “staged”, con l’obiettivo di stabilire regole uniformi che assicurino trasparenza, solidità operativa e una disciplina chiara per il loro funzionamento;
• disciplina degli operatori di sportelli automatici (ATM) cheviene precisata, distinguendo tra coloro che non gestiscono conti di pagamento e coloro che offrono servizi più ampi. Tale differenziazione consente un regime di registrazione semplificato per i gestori di ATM con attività limitata;
• servizi Buy-Now-Pay-Later (BNPL) considerati di natura prevalentemente creditizia, quindi non rientranti tra i servizi di pagamento (restano disciplinati dalle norme sull’erogazione del credito ai consumatori).

I Digital Wallet attenzionati dalla PSD3 (e anche dal PSR)

Specifichiamo in questa sede la differenza fra Digital Wallet di tipo “pass-through” e di tipo “staged” e in che mi misura sono attenzionati da entrambe le proposte di PSD3 e PSR approvate all’Europarlamento in aprile.

I Digital Wallet “pass-through” sono portafogli digitali che agiscono come intermediari tra il cliente e il fornitore di servizi di pagamento (PSP) senza mai custodire né entrare in possesso dei fondi, ma semplicemente trasmettendo le credenziali di pagamento (token della carta, ad esempio) del cliente al PSP o al circuito di pagamento, senza entrare nel merito dell’esecuzione della transazione. A titolo esemplificativo e non esaustivo si annoverano tra questi tipi di Digital Wallet i prodotti internazionali come Apple Pay, Google Wallet, Samsung Wallet, o nazionali come l’App IO di PagoPA (alla data di redazione del presente contributo solo per i pagamenti verso la Pubblica Amministrazione), oppure ancora, in un futuro prossimo, alcuni EUDI Wallet (European Digital Identity Wallet) introdotti dal regolamento (UE) 2024-1183[4] (c.d. “eIDAS2”), per le funzionalità di pagamento.

I Digital Wallet “staged“ sono portafogli digitali che operano in due fasi: il cliente carica fondi (di moneta elettronica) nel wallet e, successivamente, il wallet effettua i pagamenti per conto del cliente trasferendo moneta elettronica di pari importo al wallet del beneficiario. In questo modello, il wallet funge da intermediario gestendo i fondi in moneta elettronica e il pagamento, in ottemperanza alla direttiva europea 2009/110[5] (altresì nota come “EMD2”). A titolo esemplificativo e non esaustivo si annoverano tra questi tipi di Digital Wallet prodotti internazionali come PayPal, AmazonPay, o nazionali come Satispay, TelepassPay, PostePay.

Allo stato attuale (testi legislativi approvati il 24 aprile 2024 in prima lettura dall’Europarlamento), i Digital Wallet di tipo “pass-through” sono esclusi dall’ambito di applicazione della PSD3 (e anche del PSR). Al contrario, rimangono inclusi nel perimetro di applicazione di entrambe le norme i Digital Wallet di tipo “staged”.

Modifiche al perimetro di esenzione nella PSD3

Uno degli aspetti principali, evidenziato anche nel PSR, è la ridefinizione del “negative scope” della direttiva, ossia l’elenco dei servizi esclusi. La proposta di PSD3 introduce esenzioni facoltative per determinati soggetti che prestano servizi di pagamento o servizi di moneta elettronica, pur imponendo obblighi specifici di registrazione, notifica e conformità continua.

Esenzioni facoltative

Gli Stati membri possono esentare soggetti (persone fisiche o giuridiche) dall’applicazione parziale o totale delle procedure e delle condizioni previste, a patto che siano soddisfatti i seguenti requisiti:

• per i servizi di pagamento: il valore medio mensile delle operazioni, calcolato sui 12 mesi precedenti, non deve superare il limite fissato dallo Stato membro, con un massimo di tre milioni di euro;
• per i servizi di moneta elettronica: l’importo medio della moneta elettronica in circolazione non deve superare il limite fissato dallo Stato membro, con un massimo di cinque milioni di euro.
• requisiti generali:
  • nessuna delle persone responsabili della gestione deve avere condanne per reati finanziari, riciclaggio o finanziamento del terrorismo.
  • i servizi di pagamento legati ai token di moneta elettronica[6] possono essere esentati se il PSP è già autorizzato come fornitore di servizi per le cripto-attività (i cc.dd. CASP Crypto Asset Services Provider) ai sensi del Regolamento MiCA[7].

Obblighi di notifica

Le persone fisiche o giuridiche esentate devono rispettare specifici obblighi di notifica, tra cui:

1. registrazione obbligatoria:
   • i soggetti esentati devono registrarsi presso l’autorità competente dello Stato membro di origine, presentando documentazione basata sugli elementi richiesti per l’autorizzazione standard (similmente a quanto già oggi avviene in conformità alla PSD2);
   • devono avere la loro sede legale o residenza nello Stato membro in cui operano effettivamente.
2. comunicazioni periodiche:
   • con cadenza almeno annuale, i soggetti esentati devono comunicare:
     • la media del valore complessivo delle operazioni di pagamento nei 12 mesi precedenti (se prestano servizi di pagamento).
     • l’importo medio della moneta elettronica in circolazione (se prestano servizi di moneta elettronica).
3. notifica di modifiche: i soggetti in esenzione devono notificare tempestivamente qualsiasi cambiamento che influisca sulle condizioni di esenzione.

Perdita dell’esenzione

Se le condizioni di esenzione non sono più rispettate, il soggetto deve richiedere un’autorizzazione completa entro 30 giorni. Gli Stati membri devono garantire che le autorità competenti abbiano poteri sufficienti per verificare il rispetto continuo delle condizioni.

Misure supplementari

Gli Stati membri possono aggiungere ulteriori requisiti, come l’imposizione di un limite massimo ai fondi memorizzati in strumenti di pagamento o conti di pagamento, oppure limitare le attività autorizzate ai soggetti esentati.

Implicazioni

Questa struttura di esenzioni e notifiche bilancia la semplificazione normativa per le piccole attività con la necessità di garantire la sicurezza finanziaria e il rispetto delle normative quali quello contro il riciclaggio e il finanziamento del terrorismo.

Custodia dei fondi e protezione degli utenti

Il testo di PSD3 in proposta si concentra sulla protezione degli utenti, rafforzando le regole sulla custodia dei fondi.

In particolare, gli interventi si applicano agli istituti di pagamento e agli istituti di moneta elettronica con le seguenti previsioni:

• gli istituti di pagamento sono obbligati custodire i fondi degli utenti in conti separati (ring fencing), garantendo così un livello di protezione più elevato in caso di insolvenza;
• gli istituti di moneta elettronica sono obbligati a depositare i fondi dei clienti entro la fine del giorno lavorativo successivo alla loro ricezione (vengono, inoltre, introdotti meccanismi per mitigare i rischi di concentrazione dei fondi custoditi);
• per entrambi (istituti di pagamento e istituti di moneta elettronica) sono chiarite le modalità per l’applicazione dei requisiti di custodia quando solo una parte dei fondi è destinata a futuri pagamenti e la restante parte ad altri servizi, assicurando una separazione funzionale e riducendo i rischi per gli utenti.

Entrata in vigore e recepimento della PSD3

La direttiva entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Gli Stati membri adottano e pubblicano al più tardi entro 18 mesi dopo l’entrata in vigore della direttiva le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi alla PSD3.

Gli Stati membri applicano le misure previste dalla nuova PSD3 a partire da una data che si colloca a 18 mesi dall’entrata in vigore della direttiva stessa.

Il regime transitorio previsto dalla PSD3

Il testo della PSD3 approvato in prima lettura dal Parlamento Europeo ad aprile 2024 prevede alcune disposizioni transitorie per agevolare l’adeguamento degli operatori di pagamento al nuovo quadro normativo.

Grandfathering

La proposta di direttiva include specifiche clausole di grandfathering[8] per facilitare il passaggio delle imprese già autorizzate o esentate ai sensi della direttiva PSD2 verso il nuovo regime normativo. Tali disposizioni sono finalizzate a garantire la continuità operativa e a stabilire un periodo di adeguamento.

Continuità per gli istituti di pagamento autorizzati

Gli istituti di pagamento autorizzati conformemente alla PSD2 possono continuare a operare senza dover richiedere una nuova autorizzazione per un periodo massimo di 24 mesi dalla data di entrata in vigore della PSD3. Durante questo periodo occorre una valutazione delle autorità competenti; pertanto, entro i 24 mesi, le autorità devono verificare se l’istituto rispetta le nuove prescrizioni di PSD3:

• se conforme, l’istituto viene considerato autorizzato secondo PSD3;
• se non conforme, l’istituto viene sospeso fino alla presentazione e verifica delle informazioni necessarie.

Registrazione automatica

Gli istituti che dimostrano già la conformità ad alcune previsioni della PSD3 possono essere registrati automaticamente, senza la necessità di ulteriori procedure autorizzative. Le autorità competenti devono:

• eliminare eventuali ostacoli alla registrazione senza indebito ritardo;
• informare gli istituti di pagamento interessati sugli sviluppi del processo.

Disposizioni per soggetti esentati

Le persone fisiche o giuridiche che hanno beneficiato di esenzioni ai sensi della PSD2[9] possono:

• continuare a prestare servizi fino a 24 mesi dopo l’entrata in vigore della PSD3;
• richiedere una nuova esenzione ai sensi di PSD3;
• conformarsi ai requisiti completi di PSD3.

Soggetti privi di autorizzazione o esenzione entro i 18 mesi dall’entrata in vigore della PSD3 saranno sospesi fino a quando non avranno fornito le informazioni necessarie per il rispetto dei requisiti.

Esenzione per soggetti precedentemente esentati

Gli Stati membri possono concedere nuove esenzioni ai soggetti che erano già esentati in conformità alla PSD2, registrandoli nei registri previsti dalla PSD3, se le autorità hanno prove della loro conformità ai nuovi requisiti. Qualora una decisione formale non venga adottata entro 24 mesi, gli istituti interessati possono continuare a operare fino a una decisione definitiva.

Il Regolamento sui Servizi di Pagamento (PSR), anch’esso approvato in prima lettura il 23 aprile 2024 dal Parlamento Europeo, definisce un nuovo quadro normativo volto a rendere il mercato dei pagamenti nell’Unione Europea più sicuro, trasparente, efficiente e innovativo. Le disposizioni introdotte tengono conto dell’evoluzione del settore e della necessità di garantire condizioni di accesso eque, una concorrenza sana e una protezione rafforzata degli utenti.

In sintesi, le principali aree chiave attenzionate dalla proposta di PSR sono le seguenti:

• Open banking e innovazione
• Accesso ai sistemi di pagamento e parità di trattamento per istituti di pagamento
• Trasparenza delle informazioni e delle commissioni
• Divieto di surcharging
• Gestione dei reclami
• Ampliamento dell’ambito di applicazione
• Modifiche al perimetro di esenzione
• Autenticazione Forte del Cliente (SCA)
• Gestione delle frodi e condivisione dei dati
• Contrasto alle frodi di impersonificazione
• Obbligo di offrire il servizio di verifica del beneficiario

Come abbiamo proposto per la PSD3, al seguito offriamo una breve disamina per ciascuna area elencata, oggetto d’impatto del PSR.

Open banking e innovazione

Il regolamento consolida e rafforza l’open banking, favorendo l’accesso sicuro e standardizzato ai dati dei conti da parte dei fornitori terzi (TPP).

A questo scopo:

• i prestatori di servizi di pagamento di radicamento del conto (ASPSP) devono offrire interfacce dedicate, prive di ostacoli, per l’accesso ai dati da parte dei TPP;
• devono essere pubblicate statistiche trimestrali sulla disponibilità e le prestazioni delle interfacce, promuovendo la trasparenza sulle condizioni di accesso;
• sono introdotti requisiti di sicurezza e protezione dei dati anche negli accordi di esternalizzazione con fornitori di servizi tecnici (TSP), in particolare per la fornitura e verifica degli elementi di Autenticazione Forte del Cliente (SCA).

Queste misure puntano a stimolare la concorrenza, incentivare l’innovazione e garantire un mercato dei pagamenti più dinamico.

Dashboard per i PSP

Il PSR richiede ai prestatori di servizi di radicamento del conto (ASPSP), tra cui banche, istituti di pagamento e di moneta elettronica, di implementare una dashboard nei servizi online, permettendo agli utenti dei servizi di pagamento di:

1. visualizzare i consensi concessi ai TPP: con dettagli su chi ha accesso, quali dati vengono condivisi, perché e per quanto tempo;
2. gestire i consensi: revocando l’accesso ai TPP in tempo reale.

I principali obblighi derivanti da tale previsione sono pertanto:

• per gli ASPSP la garanzia dell’accuratezza dei dati e l’immediata revoca dei consensi;
• per i TPP l’obbligo di aggiornare tempestivamente le informazioni e cancellare i dati in caso di revoca.

La dashboard migliora la gestione dei consensi nell’open banking, rafforzando fiducia e protezione dei dati.

Accesso ai sistemi di pagamento e parità di trattamento per istituti di pagamento

Il PSR in discorso assicura che gli istituti di pagamento, i loro agenti e distributori possano accedere ai sistemi di pagamento senza ingiustificate restrizioni. Gli enti creditizi non possono rifiutare l’apertura di un conto di pagamento ai prestatori di servizi senza motivazioni fondate e chiare. In caso di rifiuto, i prestatori di servizi di pagamento hanno diritto di ricorrere all’autorità competente. Queste misure favoriscono l’ingresso di nuovi operatori e una maggiore concorrenza nel mercato.

Trasparenza delle informazioni e delle commissioni

La trasparenza è uno dei pilastri del nuovo PSR. I prestatori di servizi di pagamento devono fornire in modo chiaro e completo tutte le informazioni relative ai costi e alle caratteristiche del servizio, sia prima della stipula del contratto che durante la fornitura dello stesso. Ciò include:

• dettagli su tutte le commissioni applicate, con particolare attenzione ai prelievi di contante presso gli sportelli automatici (ATM), distinguendo tra ATM della propria rete, di reti partner o di gestori indipendenti;
• tassi di interesse, tassi di cambio e relative condizioni;
• identificativo del beneficiario, importo e condizioni di ogni operazione di pagamento.

Un’informazione trasparente e completa sui servizi di pagamento contribuisce a migliorare la fiducia degli utenti, consentendo loro di effettuare scelte informate.

Divieto di surcharging

Il testo di PSR in discussione introduce il divieto totale di surcharging, ossia l’applicazione di sovrapprezzi da parte dei commercianti per l’uso di qualsiasi strumento di pagamento.

Con l’attuale PSD2, i sovrapprezzi sono vietati solo per strumenti coperti dal Regolamento sulle commissioni di interscambio (IFR Interchange Fee Regulation)[10], mentre per altri strumenti (ad esempio carte aziendali) erano permessi in alcuni Stati membri.

Il nuovo PSR uniforma la normativa eliminando qualsiasi possibilità di sovrapprezzo.

L’impatto atteso, pertanto, sarà per i commercianti che non potranno più imporre sovrapprezzi per strumenti di pagamento specifici. Tuttavia, potranno offrire sconti o incentivi per orientare i clienti verso metodi di pagamento preferenziali.

Questa misura vuole semplificare la gestione delle transazioni di pagamento con strumenti alternativi al contante e migliorare la trasparenza per i pagatori.

Gestione dei reclami

La proposta di nuovo regolamento che accompagna la PSD3 introduce norme specifiche per la gestione dei reclami da parte degli utenti:

• tempi massimi di risposta e obbligo di fornire informazioni chiare sulle procedure di reclamo;
• coinvolgimento dell’Autorità Bancaria Europea (EBA), chiamata a emanare orientamenti sulle modalità di presentazione dei reclami, le informazioni richieste e la pubblicazione di analisi aggregate.

Ampliamento dell’ambito di applicazione

Il PSR amplia e chiarisce l’ambito di applicazione delle normative sui servizi di pagamento, introducendo modifiche chiave alle esenzioni precedentemente previste.

Il muovo regolamento estende il proprio ambito applicativo soggettivo, impattando le seguenti aree:

1. estensione indiretta ai fornitori di servizi tecnici: i fornitori di servizi tecnici e i fornitori di comunicazioni elettroniche possono rientrare nell’ambito del PSR tramite:
   • contratti con PSP per servizi di autenticazione (SCA), ad esempio i servizi cc.dd. di “SCA delegation”;
   • requisiti per contrastare le frodi da impersonificazione.
2. obblighi per gli operatori ATM:
   • introduzione di un regime di registrazione per operatori di ATM che non offrono conti di pagamento (in sostanza, si tratta dei cc.dd. “IAD Independend ATM Deployer”);
   • obbligo di trasparenza sui costi delle transazioni, da visualizzare all’inizio del processo.

Come già affermato in precedenza per la PSD3, il “negative scope” identifica i servizi e le operazioni esclusi dall’applicazione del PSR. Queste esclusioni definiscono i confini della normativa, specificando i casi in cui le disposizioni non si applicano, garantendo chiarezza e proporzionalità nell’attuazione del regolamento.

Vediamo al seguito una sintesi delle modifiche apportate dal testo di PSR approvato ad aprile 2024 dall’Europarlamento.

Servizi ed operazioni escluse

• Operazioni in contante: pagamenti effettuati esclusivamente in contante, direttamente tra pagatore e beneficiario, senza intermediazione.
• Agenti commerciali: operazioni tramite agenti commerciali autorizzati a rappresentare solo il pagatore o il beneficiario, con margini di negoziazione reali.
• Attività non professionali e benefiche: raccolta e consegna di contante effettuate senza scopo di lucro o per beneficenza.
• Fornitura di contante su richiesta: servizi in cui il beneficiario fornisce contante al pagatore in negozi al dettaglio o durante un pagamento per beni/servizi, senza obbligo di acquisto.
• Documenti di pagamento specifici: operazioni basate su strumenti cartacei come assegni, cambiali, voucher e vaglia postali.
• Sistemi di pagamento specifici: operazioni tra partecipanti di sistemi di pagamento e regolamento (banche centrali, controparti centrali, etc.).
• Amministrazione di strumenti finanziari: operazioni connesse alla gestione di strumenti finanziari, come distribuzione di dividendi o rimborsi.
• Token di moneta elettronica: operazioni utilizzate per servizi di negoziazione e regolamento tramite token di moneta elettronica, se già autorizzati come fornitori di servizi cripto-attività.
• Servizi tecnici: servizi forniti dai prestatori di reti di comunicazione elettronica per transazioni di basso valore, come contenuti digitali o beneficenza.
• Strumenti di pagamento specifici: strumenti limitati a una rete specifica o validi per una gamma limitata di beni/servizi, come buoni sconto o strumenti sociali regolamentati.
• Operazioni intra-gruppo: pagamenti tra una società madre e le sue filiali, o tra filiali della stessa impresa madre.

Applicazioni parziali

• Valute extra UE: i titoli II e III del PSR si applicano parzialmente alle operazioni in valute non UE, limitandosi alle parti effettuate nell’Unione.
• Entità specifiche: gli Stati membri possono escludere alcune entità specifiche dall’applicazione totale o parziale del PSR.

Ruolo dell’EBA

L’Autorità Bancaria Europea (EBA) è incaricata di:

• Sviluppare criteri dettagliati per l’esclusione di agenti commerciali e strumenti di pagamento specifici.
• Fornire linee guida e norme tecniche per chiarire le condizioni delle esclusioni.

Implicazioni

Queste esclusioni mirano a bilanciare la regolamentazione dei servizi di pagamento, evitando di imporre oneri eccessivi su servizi di natura limitata o non professionale, mantenendo al contempo il focus sulle operazioni con maggior rilevanza economica e rischio normativo.

Autenticazione Forte del Cliente (SCA) e gestione dei rischi

La SCA (Strong Customer Authentication) rimane uno strumento cardine per garantire la sicurezza delle transazioni, ma il PSR introduce criteri più flessibili e basati sul rischio.

Vediamo in estrema sintesi cosa cambia.

• Nuovi requisiti per l’applicazione della SCA: i due o più elementi su cui è basata l’autenticazione forte del cliente non devono necessariamente appartenere a categorie diverse. L’indipendenza degli elementi è sempre pienamente preservata e la procedura di autenticazione garantisce in ogni momento un elevato livello di sicurezza.
• Nuovi requisiti per l’elemento di inerenza della SCA: l’elemento che afferisce all’inerenza dell’autenticazione forte del cliente può includere caratteristiche ambientali e comportamentali quali quelle relative all’ubicazione dell’utente di servizi di pagamento, al momento in cui avviene l’operazione o al dispositivo utilizzato. Al riguardo rileva osservare come i meccanismi di monitoraggio delle operazioni che sono basati sull’analisi delle operazioni di pagamento precedenti e dell’accesso ai conti di pagamento online, nonché sui dati condivisi relativi alle frodi e alle modalità di frode osservate, sono gestiti secondo un trattamento che include i seguenti dati: informazioni sull’utente di servizi di pagamento, comprese le caratteristiche ambientali e comportamentali che sono tipiche dell’utente nelle circostanze di un uso normale delle credenziali di sicurezza personalizzate;
• Possibilità di prevedere esenzioni dall’applicazione della SCA in determinate circostanze, valutate sulla base dell’importo, della frequenza e del livello di rischio delle operazioni, anche valutando aspetti comportamentali che rientrano nel fattore dell’inerenza (uno dei tre fattori previsti per l’applicazione di un’autenticazione forte);
• Richiesta di valutazioni periodiche e misure di mitigazione dei rischi operativi e di sicurezza, con obbligo di cooperazione tra autorità e condivisione di informazioni sui rischi.

Queste novità conciliano l’esigenza di proteggere gli utenti con quella di mantenere un’esperienza d’uso semplice e senza ostacoli inutili.

Gestione delle frodi

Il PSR rafforza le misure di prevenzione e contrasto alle frodi.

In particolare, analizziamo i punti principali attenzionati dalla proposta di nuovo regolamento.

• Obblighi più stringenti di monitoraggio delle operazioni e condivisione dei dati fra prestatori di servizi di pagamento, autorità di contrasto e autorità pubbliche.
• Valutazione d’impatto sulla protezione dei dati personali prima dell’avvio di attività di condivisione delle informazioni sulle frodi.
• Programmi di sensibilizzazione per aumentare la consapevolezza degli utenti sui rischi di frode. L’obiettivo è ridurre significativamente il numero di operazioni fraudolente, garantendo al contempo la tutela dei dati personali.

Il PSR in discorso introduce nuove disposizioni per proteggere i consumatori dalle frodi da impersonificazione, ossia i casi in cui un truffatore si spaccia per un Prestatore di Servizi di Pagamento o un’altra entità rilevante.

Vediamo i cambiamenti principali che saranno introdotti con il nuovo regolamento:

1. Responsabilità dei PSP: i Prestatori di Servizi di Pagamento devono rimborsare il consumatore entro dieci giorni lavorativi se viene truffato e autorizza un pagamento credendo di interagire con il PSP; nessun rimborso è dovuto se il consumatore ha agito fraudolentemente o con grave negligenza.
2. Ampliamento del concetto di frode: il testo approvato dal Parlamento Europeo estende la responsabilità alle frodi derivanti dall’impersonificazione di qualsiasi entità pubblica o privata rilevante, non solo del PSP.
3. Obbligo di giustificazione: se il PSP rifiuta un rimborso, deve fornire una giustificazione documentata alla autorità nazionale competente.
4. Coinvolgimento dei fornitori di servizi di comunicazione elettronica: i fornitori devono agire tempestivamente per rimuovere contenuti fraudolenti una volta notificati. In caso di mancata rimozione, possono essere ritenuti responsabili. Le previsioni del PSR volte a contrastare il fenomeno delle frodi di impersonificazione hanno impatto sia in termini di maggiore responsabilità per i PSP, in quanto tenuti a rimborsare transazioni fraudolente anche se autorizzate dal cliente, aumentando l’esposizione finanziaria. Ma non solo. Il coinvolgimento dei “big tech” diventa parte attiva nel contrasto alle frodi online. Il testo approvato all’Europarlamento ad aprile ritiene che i prestatori di servizi di pagamento dispongano di più mezzi, rispetto ai consumatori, per porre fine aicasi di “spoofing”, (termine inglese con cui ci si riferisce alle frodi da impersonificazione), attraverso adeguate misure di prevenzione e solide garanzie tecniche sviluppate con i prestatori di servizi di comunicazione elettronica, quali i gestori di reti mobili, le piattaforme internet et similia. Tali prestatori di servizi di comunicazione elettronica dovrebbero essere tenuti a cooperare con i prestatori di servizi di pagamento nella lotta contro le frodi. Se così non fosse, dovrebbero essere ritenuti co-responsabili in caso di frode.

• Ambiguità su “negligenza grave”: purtroppo, tra i vari aspetti che generano indeterminatezza sulle previsioni in questione, resta aperto il dibattito su cosa costituisca grave negligenza da parte del consumatore.

In sintesi, le possibili conseguenze dall’introduzione delle previsioni espresse nel nuovo PSR per il contrasto alle frodi di impersonificazione, possono essere così riassunte:

• Implementazione a carico dei PSP di migliori sistemi di rilevamento delle frodi e sensibilizzazione dei consumatori;
• potenziale aumento dei costi operativi e dell’impatto finanziario per i PSP;
• pressione su piattaforme digitali per la rimozione tempestiva di contenuti fraudolenti.

Queste disposizioni se da un lato puntano a rafforzare la protezione dei consumatori, dall’altro sollevano interrogativi sulla distribuzione della responsabilità lungo la catena di pagamento.

In caso di bonifici, il prestatore di servizi di pagamento del beneficiario deve verificare gratuitamente, su richiesta del prestatore di servizi di pagamento del pagatore, se l’identificativo unico e il nome del beneficiario forniti dal pagatore corrispondono[11].

Il servizio di verifica del beneficiario, altresì noto con il suo acronimo in inglese VoP (Verification of Payee), ha l’obiettivo di ridurre le frodi e gli errori nei pagamenti. Il servizio deve essere prestato in tempo reale, prima che il pagatore autorizzi il bonifico. Il PSR prevede anche un regime di responsabilità in caso di mancata o errata applicazione del servizio.

Vale osservare in questa sede come l’obbligo di VoP sia già previsto per i bonifici istantanei che, in ottemperanza al nuovo regolamento europeo sui bonifici istantanei[12] (anche noto come “IPR Instant Payment Regulation”), dovrà essere applicato dal 9 ottobre 2025.

Protezione dei dati personali

Il PSR chiarisce l’applicabilità del GDPR nel contesto dei servizi di pagamento, definendo regole per il trattamento dei dati personali, inclusi quelli sensibili. Il nome e il numero di conto non sono considerati dati sensibili[13], mentre l’utilizzo di dati biometrici o relativi alla salute è subordinato all’adozione di misure tecniche e organizzative adeguate. In tal modo si garantisce il giusto equilibrio tra innovazione e rispetto dei diritti fondamentali degli utenti.

Queste disposizioni migliorano l’efficacia e la trasparenza nella risoluzione delle controversie, rafforzando la fiducia degli utenti nel sistema.

Misure di emergenza e sanzioni

Il PSR prevede che le autorità competenti possano adottare misure di emergenza per fronteggiare situazioni critiche, sospendendo o limitando l’operatività di alcuni operatori. Il regime sanzionatorio diventa più severo, introducendo sanzioni amministrative pecuniarie più elevate e la possibilità di sospendere o revocare l’autorizzazione in caso di violazioni gravi o ripetute. Ciò dovrebbe (almeno questo è l’auspicio) incentivare i prestatori di servizi di pagamento a rispettare le regole e a mantenere standard elevati di qualità e sicurezza.

La proposta di Regolamento sui Servizi di Pagamento (PSR) prevede un robusto regime sanzionatorio per garantire il rispetto delle sue disposizioni, con l’obiettivo di dissuadere le violazioni e garantire un elevato livello di tutela per gli utenti dei servizi di pagamento.

L’efficacia di tale regime dipenderà in larga misura dalla corretta attuazione da parte degli Stati membri e dalla costante vigilanza da parte delle autorità competenti.

Nel dettaglio, il PSR definisce le procedure di risoluzione delle controversie e le sanzioni applicabili in caso di violazione del regolamento.

La proposta di nuovo regolamento PSR stabilisce che gli Stati membri devono prevedere sanzioni amministrative e misure amministrative effettive, proporzionate e dissuasive per le violazioni del regolamento.

Tali sanzioni possono essere applicate a prestatori di servizi di pagamento (PSP), altre persone giuridiche e, in alcuni casi, anche a singoli individui ritenuti responsabili delle violazioni.

Vengono elencate alcune violazioni specifiche che devono essere sanzionate, tra cui:

• mancata conformità agli obblighi di trasparenza e informazione;
• violazione delle norme sulla protezione dei dati;
• mancato rispetto delle disposizioni sulla Strong Customer Authentication (SCA).

Le sanzioni previste includono:

• sanzioni pecuniarie;
• sospensione o revoca dell’autorizzazione;
• divieto di esercitare l’attività;
• pubblicazione della sanzione.

Vengono introdotte sanzioni per la reiterazione dell’inadempimento, applicabili in caso di mancata ottemperanza a decisioni, ingiunzioni o altre misure adottate dalle autorità competenti.

Queste sanzioni consistono in un importo giornaliero da versare fino al ripristino della conformità e possono essere imposte per un periodo massimo di sei mesi.

L’importo massimo delle sanzioni per la reiterazione dell’inadempimento è pari ad almeno:

• 3% del fatturato medio giornaliero per le persone giuridiche.
• 5% del patrimonio netto per gli istituti di pagamento.
• 2% della remunerazione totale annua per le persone fisiche.

Gli Stati membri devono designare autorità competenti per garantire l’applicazione del regime sanzionatorio.

Le autorità competenti hanno ampi poteri di indagine e di intervento, tra cui:

• richiedere informazioni e documenti;
• effettuare ispezioni;
• imporre sanzioni.

Il testo del regolamento in discussione prevede meccanismi di cooperazione tra autorità competenti di diversi Stati membri per garantire un’applicazione coerente del regolamento.

Le autorità competenti devono inoltre scambiarsi informazioni sulle violazioni e sulle sanzioni imposte.

L’Autorità Bancaria Europea (EBA) svolge un ruolo chiave nel monitoraggio dell’applicazione del regime sanzionatorio. Le diverse autorità competenti di settore devono segnalare periodicamente all’EBA i procedimenti avviati, le sanzioni imposte e altri dati rilevanti.

L’EBA deve a sua volta presentare alla Commissione Europea una relazione sull’applicazione delle sanzioni da parte delle autorità competenti.

Il testo del PSR approvato in prima lettura dal Parlamento Europeo non prevede specifici regimi transitori. L’assenza di un regime transitorio generale si spiega con la natura di regolamento, ovvero un atto legislativo direttamente applicabile in tutti gli Stati membri. A differenza delle direttive, che richiedono un recepimento a livello nazionale, i regolamenti entrano in vigore simultaneamente in tutta l’Unione Europea, il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Ciò premesso, il PSR stabilisce che il regolamento si applicherà 21 mesi dopo la data di entrata in vigore.

Al contempo, il medesimo testo regolamentativo introduce una deroga per le disposizioni che impongono ai prestatori di servizi di pagamento di verificare le discrepanze tra il nome e l’identificativo unico di un beneficiario in caso di bonifici (VoP Verification of Payee). Queste disposizioni, e il relativo regime di responsabilità, si applicheranno a partire da 27 mesi dopo la data di entrata in vigore del PSR, per consentire ai prestatori di servizi di pagamento di adeguare i loro sistemi.

La PSD3, che definisce le norme per l’autorizzazione e la vigilanza sui prestatori di servizi di pagamento, come abbiamo visto nei precedenti capitoli di questo contributo, prevede un periodo transitorio di 18 mesi. Durante detto periodo, gli istituti di pagamento e di moneta elettronica già autorizzati ai sensi della PSD2 possono continuare a prestare i loro servizi, pur dovendo dimostrare di aver avviato il processo di adeguamento alla PSD3. È quindi plausibile ritenere che, nella pratica, il periodo transitorio previsto dalla PSD3 si applichi indirettamente anche ad alcuni aspetti del PSR, in particolare per quanto riguarda l’operatività degli istituti di pagamento.

Il ruolo dell’EBA (European Banking Authority) è richiamato in diversi punti di ambedue i testi di PSD3 e PSR adottati in prima lettura dall’Europarlamento, principalmente per garantire un’applicazione uniforme e coerente della normativa sui servizi di pagamento in tutta l’Unione Europea. L’Autorità svolge un ruolo di coordinamento, di vigilanza e di supporto alle Autorità Nazionali Competenti, contribuendo a un mercato dei pagamenti più sicuro, efficiente e innovativo.

Vi proponiamo in questo paragrafo alcuni interventi specifici del ruolo dell’Autorità richiamati dal testo di direttiva in proposta:

• definizione dei requisiti per l’autorizzazione degli istituti di pagamento: l’EBA elabora progetti di norme tecniche di regolamentazione che specificano le informazioni da fornire alle autorità competenti nella domanda di autorizzazione, la metodologia di valutazione per il rilascio dell’autorizzazione e i criteri per stabilire l’importo minimo dell’assicurazione per la responsabilità civile professionale o di altra garanzia analoga;
• orientamenti sui dispositivi di governance: l’autorità adotta orientamenti sui dispositivi, i processi e i meccanismi di governance che gli istituti di pagamento richiedenti devono implementare;
• requisiti in materia di custodia dei fondi: l’EBA elabora norme tecniche di regolamentazione in merito ai requisiti in materia di custodia, definendo i framework di gestione dei rischi per gli istituti di pagamento al fine di garantire la tutela dei fondi degli utenti;
• elenco centrale dei prestatori di servizi di pagamento: l’Autorità redige, gestisce e mantiene un elenco centrale, in formato leggibile meccanicamente, dei prestatori di servizi di pagamento che offrono i servizi di disposizione di ordine di pagamento e di informazione sui conti[14], sulla base delle informazioni più recenti contenute nel registro dell’ABE e del registro degli enti creditizi;
• norme tecniche di regolamentazione per la nomina di un punto di contatto centrale: l’EBA elabora progetti di norme tecniche di regolamentazione per specificare i criteri per determinare le circostanze in cui è opportuna la nomina di un punto di contatto centrale negli Stati membri ospitanti e le funzioni di tali punti di contatto;
• forum di collaborazione tra autorità nazionali: la PSD3 prevede che l’EBA coordini, almeno una volta all’anno, un forum di collaborazione tra le autorità nazionali competenti per agevolare un’ulteriore armonizzazione per quanto riguarda il recepimento, l’attuazione e l’applicazione delle disposizioni della direttiva;
• revisione dell’ambito di applicazione: la Commissione, nella sua relazione sull’applicazione della PSD3, deve includere informazioni sull’impatto della revisione della direttiva 2014/49/UE[15] sulla custodia dei fondi dei clienti da parte degli istituti di pagamento. Inoltre, è previsto che la Commissione, in sede di revisione dell’ambito di applicazione del regolamento sui servizi di pagamento (PSR) di accompagnamento alla PSD3, consideri l’eventualità di estendere l’elenco dei servizi di pagamento disciplinati per includere servizi quali quelli prestati da sistemi di pagamento e da schemi di pagamento. Questi punti, seppur non menzionando esplicitamente l’EBA, toccano temi di competenza dell’Autorità.

Similmente a quanto offerto per la PSD3, in questo paragrafo proponiamo alcuni interventi specifici del ruolo dell’Autorità richiamati dal testo di regolamento in proposta:

• orientamenti sull’esclusione delle operazioni di pagamento tramite un agente commerciale: l’EBA elabora orientamenti e progetti di norme tecniche di regolamentazione che specificano i criteri per l’esclusione delle operazioni di pagamento dal pagatore al beneficiario tramite un agente commerciale;
• definizione di “identificativo unico”: l’autorità elabora progetti di norme tecniche di regolamentazione per definire cosa si intende per “identificativo unico”, tenendo conto delle pertinenti prassi di mercato e dei diversi metodi di identificazione usati nell’Unione;
• norme tecniche di regolamentazione per l’interfaccia dedicata: l’EBA elabora progetti di norme tecniche di regolamentazione che specificano i criteri per esentare un prestatore di servizi di pagamento di radicamento del conto (ASPSP) dall’obbligo di disporre di un’interfaccia dedicata per lo scambio di dati con i prestatori di servizi di informazione sui conti e i prestatori di servizi di disposizione di ordine di pagamento;
• norme tecniche di attuazione per la fornitura di conti di pagamento: l’Autorità elabora progetti di norme tecniche di regolamentazione per specificare il formato e le informazioni armonizzati che devono figurare nella notifica e nella motivazione in cui un ente creditizio può rifiutare di aprire o può chiudere un conto di pagamento per un istituto di pagamento, i suoi agenti o i suoi distributori;
• elenco standardizzato di categorie di informazioni per il pannello di gestione (dashboard): l’EBA elabora progetti di norme tecniche di regolamentazione che stabiliscono un elenco standardizzato di categorie di informazioni da pubblicare nel pannello di gestione;
• elenco dei metodi utilizzabili come identificativo unico: l’Autorità elabora progetti di norme tecniche di regolamentazione che stabiliscono un elenco esaustivo dei metodi che possono essere utilizzati come identificativo unico:
• monitoraggio delle frodi: l’Autorità promuove la cooperazione e la condivisione delle informazioni nel settore dei rischi operativi e di sicurezza associati ai servizi di pagamento tra le autorità competenti e tra le autorità competenti e la BCE;
• norme tecniche di regolamentazione per l’analisi del rischio delle operazioni: l’EBA elabora progetti di norme tecniche di regolamentazione che stabiliscono le norme in materia di analisi del rischio delle operazioni, al fine di aumentare il ricorso all’esenzione dall’autenticazione forte del cliente;
• risorse per l’EBA: il PSR riconosce l’importanza di dotare l’Autorità Bancaria Europea di tutte le risorse necessarie, comprese le risorse umane, per l’adempimento del suo mandato.

Attesa la rilevanza che il problema pone, precisiamo che in nessuno dei due testi (PSD3 o PSR) viene esplicitamente menzionato un ruolo specifico dell’EBA per quanto riguarda l’esenzione relativa alle reti limitate, ovvero i cosiddetti “strumenti a spendibilità limitata”.

Tuttavia, il PSR stabilisce i criteri per l’esclusione dall’ambito di applicazione dei servizi basati su specifici strumenti di pagamento che soddisfino, tra le altre, la condizione di essere utilizzabili:

• “soltanto nei locali fisici o virtuali dell’emittente o all’interno di un’unica rete limitata di prestatori di servizi direttamente vincolati da un accordo commerciale ad un emittente professionale“.

Il regolamento, come abbiamo visto nei precedenti capitoli di questo contributo, demanda all’EBA la definizione di orientamenti che specifichino i criteri per l’esclusione delle operazioni di pagamento tramite agente commerciale, non escludendo che, in futuro, l’Autorità possa avere un ruolo anche nella definizione di orientamenti specifici per l’esenzione delle reti limitate.

Il rimando agli Orientamenti EBA del 24 febbraio 2022

A conferma della possibilità riportata al termine del precedente paragrafo, rileva osservare che l’articolo 2, paragrafo 8 della proposta di PSR approvata ad aprile dall’Europarlamento , demanda all’EBA il compito di elaborare progetti di norme tecniche di regolamentazione per specificare ulteriormente le condizioni per beneficiare delle esclusioni per gli strumenti a spendibilità limitata, tenendo conto dell’esperienza acquisita nell’applicazione degli orientamenti già pubblicati dall’EBA il 24 febbraio 2022, sull’esclusione relativa alle reti limitate[16] a norma della direttiva (UE) 2015/2366 (ovvero la attuale PSD2). L’autorità presenta alla Commissione le norme tecniche di regolamentazione un anno dopo l’entrata in vigore del regolamento PSR.

Entrambi i testi de PSD3 e PSR approvati in prima lettura dal Parlamento Europeo prevedono distinte clausole di riesame, con tempistiche differenti:

Per quanto attiene alla direttiva, la proposta di PSD3 prevede:

• revisione generale: la Commissione Europea dovrà presentare una relazione al Parlamento Europeo, al Consiglio, alla BCE e al Comitato economico e sociale europeo entro cinque anni dalla data di applicazione della direttiva, valutando l’efficacia e l’efficienza della PSD3 nel raggiungere i suoi obiettivi. La relazione dovrà basarsi su prove adeguate e considerare l’intera direttiva, con particolare attenzione a:
  • numero e quota di mercato dei prestatori di servizi di pagamento autorizzati;
  • l’impatto della revisione della direttiva 2014/49/UE, relativa ai sistemi di garanzia dei depositi, sulla custodia dei fondi dei clienti da parte degli istituti di pagamento.
• revisione anticipata dell’ambito di applicazione: entro tre anni dall’entrata in vigore del Regolamento sui Servizi di Pagamento (PSR). Questa revisione si concentrerà sull’ambito di applicazione della direttiva PSD3, in particolare:
  • eventuale estensione dell’elenco dei servizi di pagamento disciplinati, includendo servizi offerti da sistemi e schemi di pagamento;
  • possibile inclusione di alcuni servizi tecnici attualmente esclusi, come i Digital Wallet.

È importante sottolineare che la PSD3 è ancora in fase di approvazione e le tempistiche per le clausole di riesame potrebbero subire modifiche durante i negoziati tra Parlamento Europeo e Consiglio dell’UE.

Il testo del PSR approvato in prima lettura dal Parlamento Europeo prevede due distinte clausole di riesame, con tempistiche differenti:

• revisione dell’ambito di applicazione: la Commissione Europea dovrà presentare una relazione al Parlamento Europeo, al Consiglio, alla BCE e al Comitato economico e sociale europeo entro tre anni dalla data di applicazione del regolamento. Questa revisione si concentrerà sull’ambito di applicazione del PSR, in particolare valutando:
  • la possibile estensione dell’elenco dei servizi di pagamento disciplinati, includendo servizi offerti da sistemi e schemi di pagamento;
  • la possibile inclusione di alcuni servizi tecnici attualmente esclusi.
• revisione generale: la Commissione Europea dovrà presentare una relazione al Parlamento Europeo, al Consiglio, alla BCE e al Comitato economico e sociale europeo entro cinque anni dalla data di applicazione del regolamento. La relazione dovrà basarsi su prove adeguate e considerare il PSR nel suo complesso, con particolare attenzione a:
  • l’adeguatezza e l’impatto sulla concorrenza e sulla diffusione dei servizi bancari aperti delle norme sull’accesso ai dati sui conti di pagamento;
  • le spese per i servizi di pagamento;
  • i tipi e le tendenze dei comportamenti fraudolenti, unitamente alle stime e le proporzioni del danno finanziario che il comportamento rappresenta sul mercato, quantificate dai singoli Stati membri;
  • ulteriori soluzioni per combattere le frodi.

È importante sottolineare che il PSR è ancora in fase di approvazione e le tempistiche per le clausole di riesame potrebbero subire modifiche durante i negoziati tra Parlamento Europeo e Consiglio dell’UE.

Per completare l’iter legislativo della PSD3 e del PSR, sono necessari alcuni passaggi che elenchiamo nel prosieguo.

• Posizione del Consiglio in prima lettura: il Consiglio dell’UE dovrà adottare la propria posizione in prima lettura su entrambi gli atti. Considerando che il Parlamento ha già espresso la sua posizione, il Consiglio potrebbe scegliere di approvare la posizione del Parlamento senza modifiche, concludendo così la procedura legislativa in prima lettura. In alternativa, il Consiglio potrebbe proporre emendamenti alla posizione del Parlamento, dando il via alla seconda lettura.
• Eventuale seconda lettura: se il Consiglio dovesse proporre emendamenti, si aprirebbe la fase della seconda lettura. Il Parlamento avrebbe tre mesi di tempo per esaminare la posizione del Consiglio e approvarla, respingerla o proporre ulteriori emendamenti. Se il Parlamento dovesse approvare o respingere la posizione del Consiglio, la procedura legislativa si concluderebbe. Se invece il Parlamento dovesse proporre emendamenti, il Consiglio avrebbe altri tre mesi di tempo per esaminarli. Se il Consiglio non dovesse approvare gli emendamenti del Parlamento, si aprirebbe la fase di conciliazione.
• Eventuale fase di conciliazione: se non si dovesse raggiungere un accordo in seconda lettura, si aprirebbe la fase di conciliazione. Un Comitato di conciliazione, composto da rappresentanti del Parlamento e del Consiglio, si riunirebbe per cercare di raggiungere un accordo su un testo comune. Il Parlamento sarebbe rappresentato da una delegazione presieduta da uno dei Vicepresidenti responsabili per la conciliazione. Se il Comitato di conciliazione dovesse raggiungere un accordo su un progetto comune, questo verrebbe sottoposto all’approvazione del Parlamento e del Consiglio in terza lettura.
• Firma e pubblicazione: una volta che il testo finale della PSD3 e del PSR è stato approvato da Parlamento e Consiglio, gli atti verrebbero firmati dai Presidenti delle due istituzioni e pubblicati nella Gazzetta ufficiale dell’Unione Europea.

Usualmente la maggior parte delle procedure legislative si conclude in prima lettura, mentre un numero minore si conclude in seconda lettura. La fase di conciliazione è relativamente rara, e nell’ultima legislatura non si è verificata nessuna conciliazione.

Ciò detto, e comunque importante sottolineare che il contenuto finale della PSD3 e del PSR dipenderà dall’esito dei negoziati tra Parlamento e Consiglio. Le modifiche introdotte dal Parlamento in prima lettura potrebbero essere modificate o eliminate durante i negoziati con il Consiglio.

Sulla base delle attuali informazioni e delle tempistiche indicate, è possibile delineare alcune previsioni sullo sviluppo legislativo relativo alla PSD3 e al PSR per il 2025. Queste considerazioni rappresentano una valutazione personale dell’autore di questo contributo e riflettono scenari plausibili, sebbene soggetti a variabili politiche, economiche e operative.

La promulgazione della PSD3, prevista ottimisticamente entro i primi sei mesi del 2025, rappresenterà un passo cruciale verso la modernizzazione del quadro normativo europeo sui servizi di pagamento. Tuttavia, il processo di trasposizione e recepimento negli ordinamenti nazionali richiederà ulteriori 18 mesi, portando a un’applicazione effettiva solo verso la fine del 2026 o l’inizio del 2027.

Durante questo periodo di transizione, si potrebbero manifestare due principali fenomeni:

1. Accelerazione dell’armonizzazione normativa: gli Stati membri più avanzati nell’adozione della PSD2 potrebbero velocizzare il recepimento della PSD3, ponendosi come riferimento per altri paesi e contribuendo a una maggiore uniformità a livello UE.
2. Sfide tecniche e operative: la complessità delle misure previste, come il miglioramento della sicurezza contro le frodi e la rimozione degli ostacoli all’open banking, potrebbe richiedere significativi investimenti tecnologici e organizzativi, rallentando il recepimento in alcuni Stati membri.

Il PSR, atteso anch’esso per il primo semestre del 2025, rappresenta un intervento legislativo di natura direttamente applicabile. Grazie al suo carattere regolamentare, il PSR eviterà la fase di trasposizione nazionale, ma la sua attuazione completa negli Stati membri richiederà comunque un periodo di adeguamento di 21 mesi, con entrata in vigore stimata per la fine del 2026.

Si prevedono due tendenze principali:

1. Implementazione progressiva: l’obbligo di conformarsi a requisiti specifici, come la trasparenza nelle condizioni contrattuali e l’accesso equo ai sistemi di pagamento, potrebbe essere adottato con diverse velocità a seconda delle infrastrutture nazionali e della preparazione degli operatori di mercato.
2. Rafforzamento dell’enforcement comunitario: la natura uniforme del PSR faciliterà il monitoraggio e l’applicazione delle norme, promuovendo una maggiore convergenza nell’Unione Europea.

Nel 2025, l’attenzione si concentrerà sulla finalizzazione dei testi legislativi e sull’inizio della loro implementazione pratica. Le istituzioni europee e nazionali, così come gli operatori del settore, saranno impegnati in attività preparatorie, tra cui:

• aggiornamenti normativi e tecnologici per soddisfare i nuovi requisiti;
• formazione degli operatori di mercato e sensibilizzazione dei consumatori;
• collaborazioni intersettoriali per affrontare le sfide dell’armonizzazione e della digitalizzazione.

Sebbene il 2025 non vedrà ancora l’effettiva applicazione delle nuove norme, esso segnerà una tappa decisiva nella transizione verso un ecosistema dei pagamenti più sicuro, innovativo e inclusivo. Con un’attuazione piena prevista tra la fine del 2026 e il 2027, il cammino delineato da PSD3 e PSR potrebbe definire standard globali e rafforzare la leadership europea nel settore dei servizi finanziari.

Note

[1] Direttiva (UE) 2015/2366 del 25 novembre 2015 relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE.

[2] I TPP (Third Party Provider) sono soggetti qualificati come istituti di pagamento autorizzati ai sensi della PSD2 a prestare servizi che si basano sull’accesso ai conti, tra cui: i servizi di Payment Initiation (PIS), i servizi di Account Information (AIS). La previsione di istituire le dashboard è intesa a raccogliere e gestire i consensi dati dal cliente della banca (ASPSP) acceduta, relativamente ai propri conti radicati presso la medesima, per tutti i soggetti che eserciscono servizi di PIS e AIS, ivi comprese le banche quando prestano tali servizi.

[3] Istituti di moneta elettronica o, in inglese, EMI eMoney Issuer.

[4] Regolamento (UE) 2024/1183 dell’11 aprile 2024 che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione del quadro europeo relativo a un’identità digitale.

[5] Direttiva 2009/110/CE del 16 settembre 2009 concernente l’avvio, l’esercizio e la vigilanza prudenziale dell’attività degli istituti di moneta elettronica, che modifica le direttive 2005/60/CE e 2006/48/CE e che abroga la direttiva 2000/46/CE. Ricordiamo al riguardo che la PSD3 abrogherà detta direttiva, includendo nel proprio ambito di applicazione l’emissione e la gestione della moneta elettronica.

[6] Si tratta dei cosiddetti EMT eMoney Token che possono supportare gli stablecoin, ovvero criptovalute stabilizzate tramite collaterali, ancorate all’euro in un rapporto 1:1.

[7] Regolamento (UE) 2023/1114 del 31 maggio 2023, relativo ai mercati delle cripto-attività e che modifica i regolamenti (UE) n. 1093/2010 e (UE) n. 1095/2010 e le direttive 2013/36/UE e (UE) 2019/1937.

[8] Il termine “grandfathering” è comunemente usato in contesti normativi per indicare disposizioni che consentono a soggetti già esistenti o operanti sotto un regime precedente di continuare a operare secondo le vecchie regole per un certo periodo, mentre il nuovo regime normativo entra gradualmente in vigore. In italiano, il termine corrispondente più vicino è “disposizioni transitorie” o “regime transitorio”. Ciò detto, è però importante notare che:

• “Disposizioni transitorie” è un termine più generico e formale, usato per indicare qualsiasi misura temporanea che regola il passaggio da un sistema normativo a un altro.
• “Grandfathering” si riferisce precipuamente a casi in cui i soggetti esistenti sono esentati, in parte o totalmente, dal conformarsi immediatamente alle nuove regole.

Quindi, mentre “grandfathering” può essere considerato un sottotipo di disposizioni transitorie, la sua applicazione è più specifica. Poiché nel contesto della PSD3 sono inclusi elementi di continuità per soggetti già autorizzati sotto il regime precedente, “disposizioni transitorie” può essere usato come sinonimo appropriato. Tuttavia, atteso l’impatto che un regime transitorio può avere, specie se disposto da una direttiva che deve essere recepita negli Stati membri e che, pertanto, potrebbe sviluppare asimmetrie normative tese a minare, nel migliore dei casi, il level playing field europeo, si preferisce utilizzare il termine inglese che rinviene in ogni trattazione al di fuori del contesto specifico italiano.

[9] Articolo 32 della PSD2.

[10] Regolamento (UE) 2015/751 del 29 aprile 2015 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta.

[11] Al riguardo vale osservare come la proposta di PSD3, pur non introducendo direttamente l’obbligo di offrire il servizio di verifica del beneficiario, prevede anch’essa che i prestatori di servizi di pagamento debbano adottare misure di sicurezza adeguate a prevenire le frodi e gli errori nei pagamenti.

[12] Regolamento (UE) 2024/886 del 13 marzo 2024 che modifica i regolamenti (UE) n. 260/2012 e (UE) 2021/1230 e le direttive 98/26/CE e (UE) 2015/2366 per quanto riguarda i bonifici istantanei in euro.

[13] La precisazione rinviene nel contesto di applicabilità dei servizi di Payment Initiation e Account Information, già normati dall’attuale PSD2.

[14]Servizi di cui all’allegato I, punti 6 e 7 del testo di PSD3 approvato all’Europarlamento il 23 aprile 2024.

[15] Direttiva 2014/49/UE del 16 aprile 2014 relativa ai sistemi di garanzia dei depositi, anche nota con il suo acronimo in inglese come DGSD (Deposit Guarantee Schemes Directive).

[16] “Orientamenti sull’esclusione relativa alle reti limitate a norma della direttiva relativa ai servizi di pagamento nel mercato interno”, Autorità bancaria europea, EBA/GL/2022/02.