Nuova opinione dell’EBA sugli ostacoli delle API PSD2: cosa significa e quali conseguenze comporta
L'ultima opinione dell’Autorità bancaria europea (EBA) mira a creare condizioni di conformità sullo stato delle API PSD2 in tutta Europa, chiedendo la rimozione - entro il 30 aprile 2021- degli ostacoli che impediscono l'accesso dei TPP.
L'opinione dell'EBA pubblicata il 22 febbraio 2021 stabilisce che gli ostacoli nelle API PSD2 non sono più soggettivi e non saranno più tollerati
Essenzialmente viene chiesto alle autorità finanziarie di revocare le esenzioni di fallback se le banche non rimuovono gli ostacoli dalle loro API - suggerendo che le banche che non si conformano possono essere multate.
La rimozione degli ostacoli, specialmente durante il flusso di autenticazione, aumenterà la conversione così come l’adozione di soluzioni di open banking, assicurando che l'avvio dei pagamenti diventi un’alternativa legittima a molte delle tecnologie di pagamento già consolidate.
Una riflessione veloce
Il parere dell'EBA invia un segnale importante al mercato. Stabilisce che gli ostacoli nelle API PSD2 che impediscono ai TPP di accedere ai conti bancari per offrire servizi di open banking, non sono più soggettivi o dipendenti dai feedback dei TPP - e non saranno più tollerati. Questo mira a creare uniformità in tutta l'UE e tra le banche. Secondo Tink la rimozione degli ostacoli, specialmente durante il flusso di autenticazione, aumenterà la conversione così come l’adozione di soluzioni di open banking, assicurando che l'avvio dei pagamenti diventi un’alternativa legittima a molte delle tecnologie di pagamento già consolidate.
Uno dei maggiori problemi risiede nelle esenzioni di fallback che sono state concesse a un grande numero di banche nonostante gli ostacoli che impediscono ai TPP autorizzati di accedere ai conti bancari.
Essenzialmente, il parere dell'EBA sottolinea che le autorità finanziarie devono revocare le esenzioni se le banche non rimuovono gli ostacoli dalle loro API PSD2 - suggerendo che le autorità suddette possono ricorrere a delle multe qualora le banche non si conformassero. Se, dopo il 30 aprile 2021, l'EBA troverà incoerenze nel modo in cui la PSD2 e le norme tecniche di regolamentazione (RTS) verranno applicate, prenderà provvedimenti per rettificare questo in tutti gli Stati membri dell'UE.
Perché è importante
L’opinione da parte dell’EBA sottolinea che gli ostacoli non sono più da considerarsi soggettivi, anzi, sono misurabili e che la responsabilità dell’accesso alle API PSD2 risiede nelle autorità finanziarie di competenza. Questo rappresenta un passo avanti rispetto a quando gli ostacoli erano definiti solo dai feedback dei TPP, che inevitabilmente variano tra gli stati dell'UE a seconda del numero di TPP presenti e della maturità del movimento dell’open banking.
Quali sono dunque gli ostacoli ai quali si riferisce l’EBA? La maggior parte si trova nell’opinione pubblicata il 4 di Giugno 2020 e si attiene in particolare al flusso di autenticazione.
1 - Non supportare il reindirizzamento app-to-app, quando questo è offerto ai clienti nella loro interfaccia bancaria di default, costringendo gli utenti attraverso journeys scomode e poco intuitive in cui devono inserire i dettagli IBAN o username e password sui loro dispositivi mobili.
2. Richiedere più di un'autenticazione forte del cliente (strong customer authentication o SCA) per AIS e PIS. Alcune banche richiedono all'utente di completare un flusso SCA all'inizio della journey di autenticazione, quando selezionano e confermano il conto a cui connettersi, e quando danno accesso alle informazioni del conto di pagamento a basso rischio per 90 giorni.
3. Alcune banche hanno incorporato passaggi superflui e controlli di consenso durante la journey di autenticazione, costringendo gli utenti a passare attraverso 5-15 schermate che possono richiedere all'utente medio 2-3 minuti per completare l’operazione, invece di una journey di 1-3 schermate che richiede 10-30 secondi.
Ma esistono più ostacoli di quelli mostrati qui sopra. I TPP spesso ne riscontrano durante la fase di registrazione, nella comunicazione di supporto, nell’ambito dell’accesso all'account, nell’ambito dei dati, nell’accesso all'account quando l'utente non è presente, e molte altre aree. Qualunque siano gli ostacoli, l'EBA sottolinea che le API PSD2 non dovrebbero creare frizioni inutili o aggiungere steps non necessari durante la user journey.
Il quadro generale
Per comprendere davvero l’importanza di questa opinione, dobbiamo fare un passo indietro e approfondire le basi della PSD2 e degli standard tecnici di regolamentazione (regulatory technical standards o RTS) per la SCA e gli standard aperti comuni e sicuri per la comunicazione (common and secure open standards of communication o CSC).
Dopo l'entrata in vigore della PSD2 nel 2016, l'EBA ha stabilito come le TPP autorizzate - che offrono informazioni sul conto o servizi di avvio dei pagamenti - potevano accedere al conto bancario di un cliente. Era comune per aziende come Tink farlo accedendo all'interfaccia cliente esistente e collaudata, per fornire servizi di open banking con il consenso esplicito del cliente.
Molte banche hanno però indicato che fosse meglio per i loro clienti e sistemi di back-end se i TPP usassero solo un'interfaccia dedicata - PSD2 API - per accedere ai dati dei conti di pagamento.
Per proteggere i TPP dall'impatto di API PSD2 scadenti, l'EBA ha dichiarato che le banche avrebbero potuto ricevere un'esenzione di fallback (fallback exemption) solo se l'API PSD2 soddisfacessero criteri rigorosi:
1 - L'API PSD2 è disponibile per i test per sei mesi e ampiamente utilizzata per tre mesi.
2 - L'API PSD2 avrebbe prestazioni pari o superiori a quelle dell'interfaccia cliente da un punto di vista tecnico.
3 - Non creerebbe ostacoli per il TPP quando usa l'API PSD2 per offrire servizi bancari aperti.
Feedback e esenzioni dei sistemi di fallback
Quando le API PSD2 sono state introdotte per la prima volta - tra marzo e settembre del 2019 - molte autorità finanziarie non avevano ricevuto alcun feedback dai TPP sul fatto che le API PSD2 creassero ostacoli. Nei paesi in cui c'erano solo una minoranza di TPP con licenza, le autorità sono state più veloci a fornire esenzioni rispetto ai paesi in cui i TPP operano da molti anni.
Già nell'estate del 2020, l'EBA ha esortato le autorità a rimuovere gli ostacoli che stavano rendendo difficile per i TPP offrire servizi di open banking competitivi, sia che avessero ricevuto reclami sulle API PSD2 o meno. Ma questo nuovo parere fa un passo avanti.
L'EBA chiede alle autorità finanziarie di applicare la PSD2 e gli RTS nel modo previsto. Ora che le TPP hanno testato e utilizzato le API della PSD2 per 24 mesi, l'EBA esorta le autorità finanziarie a rivedere le esenzioni di fallback e garantire che gli ostacoli nelle API della PSD2 siano identificati e rimossi entro un tempo ragionevole e senza indebito ritardo.
Se le banche non vogliono o non possono rimuovere questi ostacoli, ci si aspetta che le autorità revochino le esenzioni di fallback - dando la possibilità ai TPP la capacità di fornire servizi di open banking attraverso lo screen scraping o il reverse engineering dell'interfaccia cliente. L'EBA ha anche suggerito che le autorità hanno il potere di imporre multe per la non conformità, e l'EBA stessa prenderà provvedimenti se verranno trovate incongruenze nell'applicazione della PSD2 e degli RTS dopo il 30 aprile 2021.
È chiaro che la posizione presa dall’EBA renderà più veloce il processo verso la creazione di condizioni di conformitàa favore dei consumatori che - come conseguenza di una competizione intensificata tra le banche - potranno ottenere migliori esperienze utente, più trasparenza ed offerte più convenienti.
More in Open banking
New streamlined authentication journey makes open banking payments even faster
Secure open banking payments are now even faster with streamlined authentication – optimise your payment journey and increase returning customers with Tink’s Pay by Bank-powered tools.
La guida di Tink per chi sta per scegliere la piattaforma di open banking
Molte aziende offrono piattaforme di open banking ma capire cosa questo esattamente significhi non è facile. Tink ha stilato una lista che vi aiuterà a riconoscere i criteri di cui tenere conto per valutare la giusta piattaforma in modo da offrire il miglior servizio possibile ai vostri clienti.
Investimenti e ritorni dell’Open Banking in Italia
In questo webinar, scopriamo insieme a Francesco Zola, Business Development Manager per il mercato italiano, i risultati del nostro studio sugli investimenti e i ritorni sull’open banking. Vediamo poi come i nostri clienti stanno utilizzando questi servizi per diventare le banche del domani e migliorare l’esperienza dei loro clienti.
Inizia a utilizzare Tink
Contatta il nostro team per saperne di più su ciò che possiamo aiutarti a creare o crea un account per iniziare subito.
