Introduzione
La Payment Services Directive 2 (PSD2) è un atto legislativo fondamentale volto a modernizzare il panorama dei pagamenti dell'Unione Europea. Oltre a promuovere l'innovazione e la concorrenza, introduce diversi requisiti normativi volti a migliorare la sicurezza e la protezione dei consumatori nei servizi di pagamento. Uno dei cambiamenti più significativi nella PSD2 è la regolamentazione dei fornitori di servizi di terze parti (TPP) e l'esternalizzazione dei servizi da parte di entità all'interno del settore dei pagamenti.
Questo articolo approfondisce gli obblighi previsti dalla PSD2 riguardanti i TPP e i fornitori di servizi di outsourcing, fornendo chiarezza su ciò che le entità devono fare per garantire la conformità e mitigare i rischi.
Panoramica
La PSD2 modifica in modo significativo il panorama normativo per i fornitori di servizi di terze parti e l'outsourcing nel settore dei pagamenti. Le entità ai sensi della PSD2 hanno obblighi chiari quando lavorano con i TPP, tra cui la concessione dell'accesso ai conti di pagamento in condizioni di sicurezza, la garanzia del rispetto degli standard di sicurezza e la trasparenza con i consumatori in merito ai loro diritti. Inoltre, gli accordi di outsourcing devono soddisfare rigorosi requisiti di due diligence e supervisione per garantire che le funzioni esternalizzate non compromettano l'erogazione dei servizi o la conformità normativa.
Per gli istituti finanziari, è essenziale comprendere questi obblighi al fine di promuovere servizi di pagamento sicuri, innovativi e conformi. Garantire solide pratiche di terze parti e di outsourcing contribuirà a mitigare i rischi e a migliorare l'efficienza operativa, in linea con gli obiettivi della PSD2 di maggiore sicurezza e protezione dei consumatori nel mercato europeo dei pagamenti.
Comprendere i fornitori di servizi di terze parti (TPP) nella PSD2
Ai sensi della PSD2, i TPP sono definiti come entità che forniscono servizi di pagamento a consumatori o imprese, ma non sono esse stesse gli istituti titolari del conto (banche o istituti di credito). Questi includono:
Fornitori di servizi di disposizione di ordine di pagamento (PISP): questi fornitori avviano pagamenti per conto degli utenti, consentendo loro di effettuare pagamenti online dai loro conti bancari.
Fornitori di servizi di informazione sui conti (AISP): questi fornitori aggregano e forniscono l'accesso alle informazioni sui conti di pagamento degli utenti, consentendo ai consumatori di visualizzare i saldi e la cronologia delle transazioni su più conti.
La PSD2 impone alle banche (denominate Account Rooted Payment Service Provider o ASPSP) di consentire ai TPP di accedere alle informazioni sul conto di pagamento e di avviare pagamenti, a condizione che i consumatori abbiano dato il loro consenso.
Obblighi relativi ai fornitori di servizi di terze parti
Le banche e gli istituti finanziari sono tenuti a concedere ai TPP l'accesso alle informazioni sul conto di pagamento dei titolari dei conti, se il cliente acconsente. Questo è il fondamento dell'open banking nell'ambito della PSD2. Le banche devono garantire che le interfacce fornite per l'accesso TPP siano sicure, standardizzate e facili da usare. Devono inoltre garantire l'integrità dell'accesso utilizzando misure di sicurezza adeguate, come l'autenticazione forte del cliente (SCA)
Le banche sono tenute a verificare che i TPP siano registrati o autorizzati dalle autorità competenti prima di concedere loro l'accesso ai conti dei clienti. I TPP devono rispettare gli standard di sicurezza della PSD2, in particolare in relazione al consenso dei clienti, alla protezione dei dati e alla prevenzione delle frodi. Le banche devono stabilire procedure chiare per rispondere e bloccare i tentativi di accesso non autorizzati o l'uso improprio da parte dei TPP.
La PSD2 stabilisce regole chiare in materia di protezione dei consumatori nell'ambito delle transazioni TPP. Le banche e i TPP sono responsabili per pagamenti non autorizzati o mancati servizi non funzionanti. I TPP devono informare chiaramente gli utenti sui loro diritti e responsabilità e garantire la piena trasparenza in merito a eventuali commissioni o oneri.
Obblighi di esternalizzazione ai sensi della PSD2
La PSD2 introduce inoltre importanti norme per gli accordi di esternalizzazione all'interno dei soggetti regolati dalla direttiva. I prestatori di servizi di pagamento (PSP), comprese le banche, devono rispettare regole specifiche se esternalizzano funzioni operative critiche o importanti
Principali obblighi di outsourcing:
● Valutazione del rischio e due diligence Quando esternalizzano servizi o funzioni critiche, le entità devono condurre una valutazione approfondita del rischio ed eseguire la due diligence per garantire che il fornitore di servizi possa soddisfare i requisiti normativi. Ciò include la valutazione della stabilità finanziaria del fornitore, della capacità operativa e della conformità alla PSD2.
● Resilienza operativa e sorveglianza Gli enti devono garantire che gli accordi di esternalizzazione non compromettano la loro capacità di adempiere agli obblighi normativi. Ciò include il mantenimento del controllo sui servizi esternalizzati e la garanzia che le prestazioni del fornitore di servizi siano monitorate regolarmente. I prestatori di servizi di pagamento (PSP) sono comunque responsabili della conformità alla PSD2, anche se la funzione è esternalizzata.
● Trasparenza e responsabilità La PSD2 richiede che le entità comunichino eventuali accordi di esternalizzazione alle autorità di vigilanza competenti, in particolare quando esternalizzano attività critiche come l'elaborazione dei pagamenti, il rilevamento delle frodi o la gestione dei dati dei clienti. I contratti di outsourcing dovrebbero anche specificare i termini per la fornitura di servizi, la rendicontazione e gli audit per garantire la conformità.
● Accesso regolamentare ai dati Ai sensi della PSD2, anche se una funzione è esternalizzata, l'istituto finanziario deve garantire che le autorità competenti (come le autorità nazionali di regolamentazione o la Banca centrale europea) abbiano accesso a tutte le informazioni di cui hanno bisogno per la vigilanza. Ciò significa che i fornitori di servizi di outsourcing devono consentire alle autorità di regolamentazione l'accesso ai dati, ai registri e alle operazioni necessari a fini di supervisione.
● Strategia di uscita e pianificazione della continuità Le entità devono disporre di una chiara strategia di uscita nel caso in cui debbano porre fine al rapporto di esternalizzazione. Questa strategia dovrebbe includere un piano per il trasferimento dei servizi all'interno dell'azienda o a un altro fornitore senza interrompere i servizi di pagamento. Inoltre, devono garantire che le funzioni critiche siano in grado di continuare durante e dopo la transizione.
In che modo Trudexia può aiutare?
Trudexia supporta la conformità alla PSD2 offrendo valutazioni complete del rischio e due diligence continua per fornitori di servizi di terze parti e accordi di outsourcing. Queste funzionalità aiutano le organizzazioni a garantire che i loro fornitori soddisfino i rigorosi standard di sicurezza e conformità della PSD2. Identificando le vulnerabilità, monitorando continuamente gli ecosistemi dei fornitori e personalizzando i piani di trattamento del rischio, Trudexia aiuta a ridurre i rischi associati alle relazioni con terze parti. La reportistica automatizzata di Trudexia semplifica la supervisione normativa, garantisce trasparenza e responsabilità, aiutando al contempo le entità a mantenere la resilienza operativa e la conformità ai requisiti PSD2.