(AGENPARL) – mer 01 marzo 2023 Buongiorno,
in allegato “L’Open Banking nel sistema dei pagamenti: evoluzione infrastrutturale, innovazione e sicurezza, prassi di vigilanza e sorveglianza”, il trentunesimo numero della collana “Mercati, infrastrutture, sistemi di pagamento”, di cui riportiamo in calce l’abstract.
La pubblicazione è disponibile anche a questo [link](https://www.bancaditalia.it/pubblicazioni/mercati-infrastrutture-e-sistemi-di-pagamento/questioni-istituzionali/2023-031/index.html).
Cordiali saluti,
Divisione Relazioni con i media
Servizio Comunicazione
Banca d’Italia
L’Open Banking nel sistema dei pagamenti: evoluzione infrastrutturale, innovazione e sicurezza, prassi di vigilanza e sorveglianza
Numero 31 – marzo 2023
Sintesi
Il termine open banking si riferisce alla possibilità che terze parti accedano a dati e informazioni relativi ai conti correnti tenuti presso le banche dai clienti, con l’assenso di questi ultimi, al fine di fornire loro nuovi servizi e applicazioni.
Il lavoro illustra le caratteristiche dell’open banking, il suo impatto sul mercato italiano dei pagamenti e le conseguenti modifiche nelle procedure di vigilanza e sorveglianza che regolano le relazioni dell’autorità finanziaria con i nuovi attori della catena dei pagamenti e assicurano il mantenimento nel tempo dell’equilibrio complessivo del sistema. Nel mercato italiano, a seguito dell’applicazione della normativa comunitaria stabilita nella Direttiva PSD2, le interfacce predisposte dai prestatori di servizi di pagamento per consentire l’accesso di terze parti fanno prevalentemente leva su soluzioni di sistema, infrastrutture tecniche che realizzano un unico punto di accesso per una pluralità di intermediari. L’Autorità nazionale competente, nelle sue funzioni di vigilanza e supervisione, ha sviluppato inoltre un sistema dei controlli che tengono conto delle nuove caratteristiche del mercato, fortemente innovative. L’attività di sorveglianza prevede inoltre la raccolta di dati statistici per il monitoraggio dei profili di efficienza, affidabilità, sicurezza e conformità delle soluzioni di sistema, consentendo l’elaborazione di indicatori utili per valutare l’evoluzione del mercato nazionale.
Prima di stampare, pensa verde
Think green before you print
Testo Allegato: Marzo 2023
L’Open Banking nel sistema dei pagamenti:
evoluzione infrastrutturale, innovazione e sicurezza,
prassi di vigilanza e sorveglianza
di Roberto Pellitteri, Ravenio Parrini, Carlo Cafarotti
Numero
L’Open Banking nel sistema dei pagamenti:
evoluzione infrastrutturale, innovazione e sicurezza,
prassi di vigilanza e sorveglianza
di Roberto Pellitteri, Ravenio Parrini, Carlo Cafarotti
I lavori pubblicati nella collana “Mercati, infrastrutture, sistemi di pagamento”
della Banca d’Italia in tema di monitoraggio dei mercati nanziari e del sistema dei
pagamenti, nonché di sviluppo e gestione delle relative infrastrutture. L’intento è quello
di contribuire alla diffusione della conoscenza su questi argomenti e di favorire il
dibattito tra le istituzioni, gli operatori economici, i cittadini.
http://www.bancaditalia.it
Copie a stampa possono essere richieste alla casella della Biblioteca Paolo Baf:
Comitato di redazione:
S S, L T, G Z, G
A, P L, G M, O P, T P,
A S.
Via Nazionale, 91 – 00184 Roma – Italia
Graca e stampa a cura della Divisione Editoria e stampa della Banca d’Italia
L’Open Banking nel sistema dei pagamenti: evoluzione
infrastrutturale, innovazione e sicurezza, prassi di vigilanza
e sorveglianza
Parole chiave:
PSD2, open banking, sistema dei pagamenti, supervisione, vigilanza, soluzioni di
I
NUOVO
PARADIGMA
L
OPEN
BANKING
NELLA
NORMATIVA
EUROPEA
LE
UE
APPLICAZIONI
NEL
MERCATO
ITALIANO
La normativa europea
11
14
I riferimenti all’open banking nel quadro normativo europeo
15
Gli standard di mercato e il confronto tra gli operatori
16
L’evoluzione del mercato Italiano: i Gateway PSD2
17
L
AUTORITÃ
NAZIONALE
La sorveglianza sulle piattaforme e infrastrutture di
25
La rimozione degli ostacoli all’accesso delle Terze Parti
27
L
EGNALAZIONI
NAZONALI
C
A.1 Evoluzione delle tecniche di accesso ai dati
35
A.2 Implicazioni normative dell’accesso ai dati
37
A.3 Ruolo delle API
38
Le API – Application Programming Interface
38
A.4 La fall-back exemption in Italia
39
Banca d’Italia, Dipartimento Mercati e sistemi di pagamento.
Banca d’Italia, Dipartimento Vigilanza bancaria e nanziaria.
si riferisce alla possibilità che terze parti accedano
a dati e informazioni relativi ai conti correnti tenuti presso le banche dai
clienti, con l’assenso di questi ultimi, al ne di fornire loro nuovi servizi
e applicazioni. Il lavoro illustra le caratteristiche dell’
, il suo
impatto sul mercato italiano dei pagamenti e le conseguenti modiche nelle
procedure di vigilanza e sorveglianza che regolano le relazioni dell’autoritÃ
nanziaria con i nuovi attori della catena dei pagamenti e assicurano il
mantenimento nel tempo dell’equilibrio complessivo del sistema. Nel
mercato italiano, a seguito dell’applicazione della normativa comunitaria
di pagamento per consentire l’accesso di terze parti fanno prevalentemente
leva su soluzioni di sistema, infrastrutture tecniche che realizzano un unico
punto di accesso per una pluralità di intermediari. L’Autorità nazionale
inoltre un sistema dei controlli che tengono conto delle nuove caratteristiche
del mercato, fortemente innovative. L’attività di sorveglianza prevede inoltre
la raccolta di dati statistici per il monitoraggio dei proli di efcienza,
afdabilità , sicurezza e conformità delle soluzioni di sistema, consentendo
l’elaborazione di indicatori utili per valutare l’evoluzione del mercato
I
Nell’ambito del sistema dei pagamenti l’
open banking
, avviatosi in Italia nel
conclusioni vengono inne proposti alcuni spunti sul ruolo attuale e futuro
NUOVO
PARADIGMA
, con il
condivisione e sfruttamento
dei dati autorizzata dai clienti da parte delle banche con sviluppatori e
aziende di terze parti per costruire nuovi servizi e applicazioni, come quelli
che offrono pagamenti in tempo reale, maggiori possibilità di
trasparenza nanziaria per i titolari di conti e opportunitÃ
è un fenomeno presente nel
un’accelerazione con il diffondersi delle tecnologie
line
. In questo nuovo
schema la fornitura di servizi nanziari ai
clienti, in passato integrata verticalmente
nell’offerta della banca presso cui
l’utente aveva aperto il proprio conto
di pagamento, viene ora disaggregata
e offerta anche da terze parti, come le
, non necessariamente
Allo stesso tempo queste terze parti,
grazie al patrimonio informativo cui
possono accedere, offrono nuovi
servizi agli utenti, aggiungendo valore
alla catena di distribuzione; ne sono
un esempio i servizi di pagamento, le
procedure di aggregazione per i titolari di
. Le stesse
funzioni dispositive del conto del cliente
offrendo alle terze parti l’opportunità di disegnare
- November 2019.
Servizi di Pagamento (PSD2) ha
aperto la strada all’
una forma di condivisione di
autorizzati possono interagire per
creare valore aggiunto nell’ambito
dei servizi di pagamento. Il
cliente può concedere l’accesso
al patrimonio informativo legato
ai propri conti di pagamento
intermediario, al ne di utilizzare
nuovi servizi, fatti salvi tutti i
presidi di tutela previsti dalla
COS’Ã L’OPEN
BANKING
una offerta di servizi di pagamento articolata e innovativa (es: pagamenti con
per acquisti tramite il web, gestione integrata fatture e pagamenti,
pone due
normativo connesso con la regolamentazione dei processi di accesso e
, i clienti bancari
alle proprie informazioni e/o
dei clienti,
tecniche che presentano molteplici fattori di rischio in termini di sicurezza e
di conservazione dei dati. A livello globale le autorità , gli intermediari e gli
(API)
. Con l’introduzione delle API i limiti di
efcienza e di sicurezza posti dalle vecchie tecnologie risultano mitigati e si
ottiene un maggior equilibrio tra ruoli e responsabilità delle parti coinvolte
nei servizi di pagamento: da un lato le terze parti dispongono di una limitata
visibilità sui dati del cliente, dall’altra beneciano di risparmi nello sviluppo
delle proprie applicazioni grazie ad una maggiore stabilità delle interfacce
“tokenizzata” inoltre libera le terze parti dalle problematiche di gestione
o quantomeno controllato dalle autorità . Diverse istituzioni nazionali e
open banking
”)
per facilitare, consentire o imporre alle banche di condividere dati con le terze
parti, a valle del consenso dei clienti. Nelle diverse giurisdizioni tali quadri
possono differire per estensione dei dati trattati e per tipologia
di previsioni: ad esempio, la PSD2 riguarda unicamente l’acquisizione dei
dati di pagamento e la disposizione di operazioni di pagamento; nel Regno
Unito include anche informazioni accessorie
; in Australia è consentita solo
). I quadri normativi possono inoltre
ell’accesso di terzi ai dati del cliente, la richiesta di licenze o autorizzazioni
presentano rischi elevati in termini di sicurezza dei dati del cliente, l’attuazione
di misure di protezione della
e requisiti per la divulgazione dei dati e la
rivendere i dati a ”
quarte parti
, utilizzare i dati per scopi oltre il consenso
servizio di condivisione dei dati.
In tutte le giurisdizioni comunque sono state elaborate una serie di tutele a
con importanti implicazioni per le diverse
banche e prestatori di servizi di pagamento, stabilire standard e certicare
concorrenza nei mercati e proteggere i consumatori da atti o pratiche sleali
o ingannevoli, denire obblighi per la tutela dei dati personali dei clienti e
fornire piattaforme e processi per mediare le controversie tra consumatori e
L
‘
OPEN
BANKING
NELLA
NORMATIVA
EUROPEA
LE
UE
APPLICAZIONI
NEL
MERCATO
ITALIANO
open banking
del sistema dei pagamenti “tradizionale”, tra cui la cooperazione e gli
condivisi, mentre possibili conitti
di interesse possono minare l’efcienza complessiva del sistema.
In Italia, n dagli anni Ottanta dello scorso secolo, la cooperazione tra tutti
gli attori interessati
lo sviluppo delle procedure applicative a supporto dei servizi di bonico
risultato del lavoro di sedi di coordinamento strutturate
e della stesura di
complessi accordi multilaterali, che disciplinano le funzionalità dei servizi
di pagamento di base. Analogamente, negli anni 2000 sono state sviluppate
Single Euro
, SEPA), che prevede, stavolta su scala europea, sedi di
lo scambio delle informazioni, per la compensazione e il regolamento dei
Su tale percorso, l’introduzione con la PSD2 dell’
rappresenta
A differenza delle esperienze di altre giurisdizioni, il legislatore comunitario
(cfr. sezione in appendice A.2),
imponendo a tutti i prestatori di servizi di pagamento che gestiscono
conti per la clientela di consentire l’accesso a terze parti per l’avvio di
pagamenti o per l’elaborazione di informazioni aggregate. Come si può
dall’esigenza di promuovere maggiore concorrenza in un mercato dei
fortemente concentrato su
un limitato numero di prodotti e di operatori, come quelli del mondo delle
carte; inoltre il legislatore ha inteso prendere atto dell’esistenza di servizi
tecnologicamente evoluti, ormai diffusi anche in campi diversi da quello
dei pagamenti, che dovevano essere opportunamente regolamentati per
garantire una migliore protezione del consumatore, nonché valorizzati per
Questo approccio consente di promuovere l’innovazione, la concorrenza e
oligopolistico. Esso tuttavia genera anche nuove complessità da gestire:
servizi e forme di interazione obbligatorie tra terze parti e prestatori di servizi
di pagamento di radicamento del conto, in assenza di procedure e regole
operative concordate e di un quadro di standardizzazione consolidato. Le
implica la modica delle condizioni
normative, tecniche ed economiche che governavano le relazioni tra i vari
elementi della catena dei pagamenti e rende necessarie misure che assicurino
il mantenimento nel tempo dell’equilibrio complessivo del sistema.
Queste misure devono essere volte a: i) denire un quadro normativo certo
ii) promuovere
di mercato e sedi di confronto stabili tra le parti
interessate, iii) adeguare le modalità di monitoraggio e supervisione in
modo da tener conto dei nuovi rischi.
interdisciplinare tra diritto, economia e nanza, si veda l’introduzione curata da Maimeri e Mancini (2019) a una
L
NORMATIVA
open banking
(cfr. gura 1), grazie ai quali il cliente
di un prestatore di servizi
servizi, erogati esclusivamente
al cliente da una terza parte (TPP),
unicamente dispositivo (il cliente può fare un pagamento ma non visualizzare i
un POS, di ricevere dall’ASPSP conferma o meno della disponibilità di fondi
Figura
Attori dell’
open banking
operavano ma senza essere “regolamentati”), che ora devono disporre di una
licenza nanziaria ed essere sottoposti a Vigilanza.
Nella gura 2 i due nuovi servizi di pagamento vengono messi a confronto con
quelli più tradizionali, secondo le due caratterizzazioni di
valenza dispositiva
conto di pagamento
; viene anche riportato il riferimento
sottoposti a regolamentazione (cfr. PSD2,
Annex I
La PSD2 e la connessa normativa attuativa – i cd.
Regulatory Technical
Standards
(RTS), predisposti dalla European Banking Authority (EBA) e adottati
Payment Service
Providers
hanno dovuto consentire l’identicazione e la comunicazione sicura con i TPP
ii) predisposizione di un’interfaccia dedicata all’accesso dei TPP, secondo la
di infrastrutture centralizzate (soluzioni “di sistema”).
Nel caso di adozione di un’interfaccia dedicata, gli ASPSP devono anche
predisporre un’interfaccia alternativa (cd. “soluzione di
in caso di indisponibilità dell’interfaccia principale, oppure richiedere alle
fall-back exemption
– cfr.
Figura
I nuovi
servizi di open banking nell’ambito dei
servizi di pagamento previsti dalla PSD2
sezione in appendice A.4); in tale ultima evenienza, al ne
di ottenere l’esonero occorre dimostrare che l’interfaccia
performance
deniti nella normativa dell’EBA.
Le previsioni della PSD2 inducono una revisione
profonda dell’infrastruttura tecnologica sottostante
I nuovi
servizi, che consentono, tra l’altro, l’uso di
, spingono il mercato
esercente
banca
viene in alcuni casi intermediata dai
le loro applicazioni, consentono
necessità che vi sia alcuna relazione
contrattuale tra la banca del cliente e
i vari
. Allo stesso tempo le
banche, con l’apertura delle interfacce
operativi interni consentendo l’accesso ai
dati del cliente attraverso una sorta di doppio
, dall’altro rendono disponibile l’accesso ai
generate dalle previsioni normative in tema di
legislativo del 15 dicembre
2017 che modica il Testo Unico
Bancario (TUB). Nello stesso
periodo, la Commissione Europea
delegato del 27 novembre 2017,
tutte le norme tecniche per
standard di comunicazione.
LA NORMATIVA
2.1.1.
I
MODELLO
FUNZIONALE
NELLA
Condenzialità dati sensitive
la PSD2 richiede che le terze parti debbano ottenere un’apposita licenza
2.1.2.
I
RIFERIMENTI
ALL
OPEN
BANKING
NEL
QUADRO
NORMATIVO
EUROPEO
solleva questioni normative complesse,
che il regolatore europeo ha affrontato con una disciplina dei servizi di accesso
ai conti articolata su più livelli: oltre alla PSD2 e alle fonti di recepimento
nazionali, rilevano gli RTS e le altre regole attuative di secondo livello denite
di regole intende disciplinare, in assenza di un rapporto
terza parte e la banca (es. artt. da 64 a 67 della PSD2); il servizio nale alla
queste norme ed è dunque ad esse che devono conformarsi i relativi contratti.
Le regole che coinvolgono l’utente mirano essenzialmente a denire il regime
delle responsabilità che, di norma, gravano sulla banca nel caso di operazioni
svolte con l’intermediazione della terza parte: vi rientrano dunque le regole sulla
sicura, le modalità di accesso tramite apposite interfacce e le misure per
nonché l’estensione ai temi della PSD2 della pagina web
Questions and Answers
”.
2.1.3.
G
LI
TANDARD
DI
MERCATO
IL
CONFRONTO
TRA
GLI
OPERATORI
è lo
standard
uniformi e largamente condivisi tra banche e terze
parti: come insegna la storia dei sistemi di pagamento, l’adozione di un
minimi ssati dalla legge, è fondamentale per contenere i costi, assicurare
economie di scala e promuovere la concorrenza e l’integrazione dei servizi
a livello europeo.
La standardizzazione rileva soprattutto nell’offerta delle modalitÃ
tecniche di comunicazione: gli RTS richiedono che l’identicazione e la
comunicazione delle banche con le terze parti avvenga tramite le interfacce
già utilizzate dai clienti, opportunamente modicate, oppure mediante
la messa a disposizione di interfacce dedicate, come quelle basate sulla
tecnologia delle Open API.
Teoricamente ogni banca può denire proprie speciche di interfaccia, in
o a esigenze tecniche, e in questo la normativa
neutralità tecnica; questa scelta, se da un lato ha il vantaggio di non
vincolare l’innovazione a speciche soluzioni, di contro espone al rischio di
un’elevata frammentazione delle modalità di accesso ai conti, che si traduce
per le terze parti in un lavoro di sviluppo di interfacce plurime, ancorché
basate tutte sulla tecnologia delle API. In assenza di puntuali indicazioni
normative è quindi importante la convergenza dell’industria verso
standard
europei armonizzati, che assicurino uniformità di accesso per le terze
panorama troppo frammentato, in cui ogni terza parte debba sviluppare
servizi digitali, già da anni dominato da poche grandi aziende.
Tra le iniziative europee di standardizzazione promosse dal mercato rileva il
Framework”
sviluppato dal
, associazione dei principali operatori europei dei
insieme di specifiche tecniche e di standard di messaggistica per il colloquio tra banche e terze parti,
riviste periodicamente. Meritano inoltre menzione altre iniziative in ambito europeo con analoghe
finalità , ma su scala nazionale, spesso convergenti con i lavori del
quali, ad esempio:
“PSD2 Polish API”
, la francese
e la portoghese
“SIBS Forward Payment
. Infine, lo
(ERPB), organo di cooperazione pubblico-privato
presieduto dalla BCE, ha costituito il
“Working Group on a SEPA API access scheme”
di uno schema per l’offerta di
payment initiation services
. Tale schema dovrebbe costituire un vero
e proprio accordo multilaterale che, similmente a quelli che regolano il funzionamento dei circuiti
regole di funzionamento e di governance del servizio di
payment initiation
. Il gruppo ha definito gli
European Payments
(EPC) di sviluppare lo schema, sulla base del modello degli schemi di pagamento SEPA.
– a cui si aggiunge la costante attenzione dedicata dalla Commissione
, a volte contrapposti, possano trovare
una sintesi adeguata in termini di qualità , efficienza e sicurezza dei
servizi innovativi disponibili sul mercato, a beneficio degli utenti finali.
L
EVOLUZIONE
MERCATO
TALIANO
ATEWAY
Gli obblighi e le altre previsioni normative sopra citati,
funzionali ad assicurare la possibilità per i TPP di prestare
i propri servizi, si sono posti all’attenzione degli operatori
di mercato come un investimento ineludibile, con diverse
possibili soluzioni attivabili per realizzare le interfacce
dedicate. Gli operatori europei si sono adoperati per
individuare spazi di cooperazione tali da favorire la
riduzione dei costi di investimento e l’attivazione
In questa direzione è stato centrale in Italia il
ruolo del Comitato Pagamenti Italia, come
sistema del mercato nazionale.
In Italia si è ricercata una convergenza
standard
standard
(prima richiamato) “
NextGenPSD2
Framework
Group
Successivamente, il sistema bancario
soluzioni applicative “di sistema” per la
. Nel nuovo ecosistema dei pagamenti
hanno così assunto un ruolo centrale, a anco di banche
e terze parti, le cd. “piattaforme di sistema”, infrastrutture
tecniche a cui i prestatori di servizi di pagamento italiani si sono indirizzati
in misura preminente per la predisposizione di interfacce dedicate all’accesso
Nel mercato italiano si sta
affermando il ruolo delle
(POB), infrastrutture tecniche per
la predisposizione di interfacce
API dedicate all’accesso delle
terze parti. Ciascuna piattaforma
si propone alle terze parti
come punto unico di accesso,
con funzione di
, per
l’interazione con tutte le banche
aderenti.
LE
PIATTAFORME
DI SISTEMA
servizi comuni messi a disposizione delle terze parti, tra cui gestione delle
speciche tecniche delle interfacce, supporto allo sviluppo,
testing, change
funzioni di base per la gestione delle transazioni: autenticazione dei TPP,
controlli dei messaggi sulle API, supporto alle procedure di autenticazione
forte del cliente, gestione dei consensi del cliente, monitoraggio delle
: punto unico di accesso per tutte le banche aderenti
(ASPSP) e per i TPP;
modalità duale per le banche: quelle aderenti possono operare come
ASPSP (modalità passiva) o come TPP (modalità attiva) attraverso canali di
stakeholders
. In
le banche possono affrontare gli adempimenti di conformità rivolgendosi
a un operatore specializzato, senza dover sviluppare in proprio strutture e
Figura
Struttura
di una
piattaform
open banking di
sistema
le terze parti possono accedere con le medesime modalità ai conti
di un solo punto di contatto verso tutti gli ASPSP aderenti, con una
razionalizzazione delle documentazioni tecniche, del relativo supporto
richiesto dalla normativa. Un esempio in questo senso sono le valutazioni
necessarie alla “
fall-back exemption
” (cfr. sezione in appendice A.4):
notevolmente ciò che sarebbe necessario vericare sui singoli ASPSP
Sul mercato italiano sono state sviluppate quattro soluzioni di sistema (cd.
offerta da CBI S.c.p.a.; Cedacri Open Banking API Portal, di Cedacri S.p.a.;
Il mercato italiano dell’
si compone, al terzo trimestre del 2022, di 377 ASPSP e
di 85 operatori attivi in qualità di terza parte, di cui 39 italiani, in larga parte rappresentati da
intermediari che hanno integrato funzionalitÃ
per erogare, principalmente, servizi di
Personal Finance Management
(PFM): il cliente bancario ha così la possibilità di visualizzare,
propri movimenti, classificati per tipologia di spesa. Il vantaggio per l’intermediario è quello di
personalizzazioni e servizi che il proprio cliente acquisisce da altri intermediari. Meno di una
decina sono invece gli operatori italiani, non intermediari, che erogano servizi con licenza di
terza parte, di cui alcuni autorizzati al più come Istituti di Pagamento: questi adottano modelli
di business che hanno visto, in larga parte, i primi ricavi apprezzabili nel corso dell’anno 2022.
Interessante la verticale
corporate
che vede l’erogazione di servizi per le aziende legati ad
attività gestionali e di tesoreria, ottenuti integrando sistemi
Enterprise Resource Planning
(ERP)
Business Finance
(BFM), inclusa la generazione automatica delle scritture contabili come rivenienti
dalla movimentazione bancaria, funzionalità utile in ambito domestico per specifici tipi di
clientela (es. commercialisti e PMI).
Gli ASPSP consentono l’accesso al conto di pagamento dell’utente ai TPP
o adattando l’interfaccia utente già disponibile o fornendo un’interfaccia
singolo ASPSP o costituita dal collegamento a una piattaforma di sistema.
In entrambi i casi, l’ASPSP deve implementare una seconda interfaccia
), oppure
l’esenzione da tale obbligo (cd.
fall-back exemption
). Ne segue che tecnicamente sono possibili 5 distinte
tipologie di interfaccia, come riportato nella gura 6.
La maggioranza degli ASPSP ha aderito alle piattaforme di sistema e richiesto
Gli altri operatori hanno per lo più adottato soluzioni
Figura
Possibili tipologie di interfaccia
Figura
Numero di interfacce nel mercato italiano a
dicembre
che devono essere adeguatamente governati dagli intermediari in linea con
i requisiti di vigilanza, e alla concentrazione del rischio operativo in capo a
single point
AUTORITÃ
NAZIONALE
L’evoluzione del mercato italiano dei pagamenti, prodotta anche
dall’adeguamento degli operatori ai requisiti della PSD2 in tema di
open
ad articolare il sistema dei controlli previsti dalla normativa secondo una
struttura articolata su tre livelli distinti, ognuno specializzato su particolari
funzioni, focalizzato su specici attori dei servizi di
open banking
e svolto
da una specica funzione della Banca d’Italia (cfr. gura 8).
l’adeguamento ai requisiti PSD2, in termini di apertura dei conti di
pagamento dei clienti all’accesso delle terze parti, è un obbligo che
I rischi di esternalizzazione sono i rischi derivanti dalla pratica di afdare a terze parti la gestione di funzioni
specialistiche (talvolta anche di core business): in tal caso una cattiva gestione delle funzioni esternalizzate alla
si intende il rischio che una parte o una componente di un sistema, nella
quale sono concentrate attività o funzioni critiche, in caso di errore o indisponibilità porti al blocco dell’operativitÃ
prevede l’analisi di tale
Figura
Articolazione del sistema dei controlli
ricade sugli ASPSP i quali sono conseguentemente sottoposti ai controlli
, prevalentemente utilizzate
sorveglianza sul sistema dei pagamenti assegnati alla Banca d’Italia ai
sensi dell’art. 146 del Testo Unico Bancario (TUB);
” rilevanti nel sistema dei pagamenti, funzioni
sottoposte alla funzione di sorveglianza nell’ambito applicativo
dell’articolo 146 del TUB con riferimento alle infrastrutture
La struttura dei controlli è stata quindi predisposta
secondo una organizzazione a più livelli, nella
quale ogni livello sfrutta le informazioni ricevute
dagli altri, evitando duplicazioni delle attività con
importanti recuperi di efcienza. In particolare
le valutazioni di vigilanza sugli intermediari
riutilizzano le analisi di sorveglianza sulle
open banking
, le quali a
loro volta tengono conto dei controlli
svolti sulle infrastrutture utilizzate
a supporto delle piattaforme per il
contenimento dei rischi operativi,
di sicurezza informatica e per
la continuità di servizio, come
argomentato al paragrafo 3.2. La
gura 9 mostra l’insieme degli
strumenti utilizzati dall’AutoritÃ
per un’articolata e ordinata
attività di sorveglianza e vigilanza
Alcuni vengono utilizzati sia
per l’attività di sorveglianza delle
piattaforme che per la vigilanza degli
ASPSP mentre altri vengono applicati
specicatamente in via esclusiva, come
IL SISTEMA DEI
L’organizzazione dei controlli
coinvolge diverse strutture della
Banca d’Italia: le valutazioni
PSD2 da parte degli intermediari
sono svolte dalla funzione di
Vigilanza, mentre le funzioni di
Sorveglianza svolgono controlli
sulle infrastrutture tecnologiche
con riguardo al contenimento
dei rischi operativi, di sicurezza
informatica e per la continuitÃ
di servizio, nonché al regolare
funzionamento delle piattaforme,
ai sensi dell’art. 146 del Testo
Unico Bancario.
Figura
Open banking in Italia:
quadro
integrato di
orveglianza e
igilanza
L
FINANZIARI
La vigilanza sugli intermediari in relazione ai nuovi servizi di open banking
fa leva sulle previsioni e le prassi già adottate per tutti gli operatori vigilati,
integrate dai requisiti indicati dalla PSD2 e dalle corrispondenti norme attuative
Regulatory Technical Standards
– RTS) recepiti nella normativa nazionale di
primo e secondo livello
per quanto riguarda i nuovi servizi di pagamento introdotti dalla PSD2, sia
quando svolgono il ruolo di ASPSP che quando operano in veste di TPP.
Facendo riferimento, a titolo esemplicativo, ai proli di rischio operativo
garantire che gli intermediari realizzino tutti i presidi necessari per tenere sotto
controllo questi rischi nello svolgimento della loro attività , inclusa l’esecuzione
In particolare, per quanto riguarda il contenimento dei rischi operativi e
informatici degli intermediari bancari, la normativa fornisce requisiti di
il governo e l’organizzazione del sistema informativo;
la gestione del rischio e della sicurezza informatici;
l’esternalizzazione del sistema informativo;
la continuità operativa;
Sia le disposizioni di vigilanza per gli intermediari bancari sia quelle
orientamenti sulle misure di sicurezza per i rischi operativi e di sicurezza dei
servizi di pagamento
emanati dall’EBA il 12 gennaio 2018
. Oltre a fornire
requisiti sui punti già indicati nell’elenco precedente, gli orientamenti EBA
richiamano previsioni speciche in relazione a test di sicurezza, formazione
del personale e gestione della relazione con gli utenti dei servizi di pagamento.
Come per gli altri rischi, l’azione di presidio dei rischi operativi e di sicurezza
da parte della Banca d’Italia si esplica sia in occasione di eventi specici (ad
e le iniziative di esternalizzazione che
riguardano i sistemi informativi) sia con un’azione di controllo nel continuo
leva sulla documentazione prodotta periodicamente dagli intermediari (piani
strategici, indagini periodiche, esercizi di autovalutazione, segnalazioni di
gravi incidenti informatici); in questo contesto è da segnalare la previsione,
introdotta nel 2020, di fornire annualmente all’Autorità di Vigilanza la
relazione sull’analisi dei rischi operativi e di sicurezza relativi ai servizi di
Il controllo di natura prudenziale dei rischi è svolto dalle funzioni di vigilanza
sono svolti da una funzione di vigilanza sulla
materia e trasversale alle altre strutture.
Sia per gli intermediari bancari che per IP e IMEL sono stati recepiti gli Orientamenti EBA sulla gestione dei rischi
ola valutazione degli ostacoli all’attività dei TPP e delle procedure di ‘autenticazione forte’ dei clienti predisposte
Inoltre, data la rilevanza del tema, con l’entrata in vigore della PSD2 la
tra le priorità di Vigilanza per il
e l’evoluzione del comparto, monitorando l’operatività dei servizi delle
terze parti, analizzandone i modelli di business con riguardo ai rischi
nel continuo, vericando la presenza di possibili ostacoli alla corretta
evoluzione del comparto e valutando l’adeguatezza delle procedure di
, l’Autorità di
Vigilanza ha introdotto anche uno specifico strumento per il monitoraggio
dell’adeguatezza delle interfacce di accesso per i TPP, basato sulla
interfacce dedicate utilizzate. Sulla base di queste segnalazioni la Banca
d’Italia avvia un’analisi che può includere anche un’interlocuzione
di rimedio.
3.2.
L
ORVEGLIANZA
ULLE
PIATTAFORME
INFRA
TRUTTURE
DI
OPEN
BANKING
POB
L’attività di sorveglianza POB, attribuita dalla normativa alla Banca d’Italia,
tutela degli utenti dei servizi di pagamento. Le POB possono essere assimilate
come piattaforme tecnologiche, perché forniscono un servizio in
ai prestatori di servizi pagamento a supporto dei servizi
come infrastrutture di pagamento, perché concentrano la gestione dei
ussi informativi e di pagamento introdotti dalla PSD2, la cui continuitÃ
di servizio e sicurezza sono fondamentali per il funzionamento del
sistema nanziario.
La sorveglianza sulle POB è stata avviata nel 2019, immediatamente prima
dell’avvio dei nuovi servizi, adottando un processo strutturato e in raccordo
open
Lerisultanze dell’analisi nalizzata all’esenzione dalla
fall-back solution
hanno costituito il punto di partenza di
Il piano di sorveglianza sulle POB comprende diverse tipologie di strumenti:
il dialogo e lo scambio di informazioni con i gestori in modo: i) programmato,
come gli incontri semestrali; ii) programmabile, come le eventuali visite
un insieme di rilevazioni statistiche, avviate nel gennaio 2020 per
monitorare i proli di efcienza, afdabilità e sicurezza delle soluzioni di
una rilevazione
dei volumi di attività , della performance dei
sistemi e delle dispute/reclami, per ciascuno ASPSP e TTP collegato
un rapporto
sulle richieste di supporto rivolte alle POB e aperte
a evento
di incidenti classicati come “gravi” in base ai
criteri previsti per il
major incident reporting
sui sistemi di pagamento.
monitorare le prestazioni e i livelli di conformità normativa delle piattaforme.
I dati raccolti consentono poi l’elaborazione di
Key Performance Indicators
e altri indicatori utili per valutare l’evoluzione delle POB (e quindi della quota
del mercato nazionale da esse servito) e per rilevare anomalie e scostamenti.
raccolta e sfruttamento dei dati in grado di elaborare indicatori specici,
proiezioni (gura 10). Tenendo presenti i risultati di queste elaborazioni e gli
sviluppi normativi, la sorveglianza della Banca d’Italia svolge interventi sulle
piattaforme in raccordo con la vigilanza bancaria e nanziaria.
Relativamente alla valenza delle POB come infrastrutture rilevanti
ispirate a
standard
internazionali ed europei ed è condotta secondo un
queste infrastrutture il riferimento immediato sono i requisiti per i fornitori di
servizi critici di infrastrutture del mercato nanziario, contenuti nell’allegato
Annex F – oversight expectations applicable to critical service providers)
), che costituiscono
gli standard internazionali per la supervisione dei sistemi di pagamento di
rilevanza sistemica, dei depositari centrali e sistemi di regolamento titoli,
delle controparti centrali e
trade repositories.
Annex
rischio operativo e stabiliscono requisiti nelle aree relative a: i) identicazione
e gestione dei rischi; ii) implementazione di un
security framework
per la
gestione dei rischi di sicurezza informatica; iii) afdabilità e resilienza dei
servizi offerti; iv) pianicazione tecnologica; v) comunicazione con gli
utenti.
L’utilizzo dell’
Annex
e supervisori) sia con i requisiti a valenza generale e applicabili nella
sorveglianza su diverse tipologie di servizi. Tuttavia, pur rientrando in un’ottica
Infrastructures
Annex
F non comprende proli che devono essere
considerati nel caso dei gestori di infrastrutture tecniche che sono rilevanti
per una molteplicità di operatori e indispensabili per il buon funzionamento
dell’industria dei pagamenti nel suo complesso. Quindi l’azione di
sorveglianza su questi gestori considera oltre ai requisiti dell’
Annex
F anche
esternalizzazione ed il cyber risk
L
TACOLI
ACCE
ARTI
e vigilanza anche sulle fasi di sviluppo e di rilascio di nuovi servizi all’utenza.
Guidance on cyber
anch’essa sviluppata in
Cyber
e ha fornito
dalla normativa. Nel contesto italiano, un ostacolo può generarsi sia nello
‘strato’ della piattaforma che in quello dell’ASPSP. Dall’approfondimento
: difcoltà per le TPP a integrare le soluzioni
e mobile APP;
l’integrazione è in certi casi tecnicamente difcoltosa, oppure la
procedura risulta macchinosa o non ottimale sui vari dispositivi del
: navigazione del cliente tra le varie schermate dei
menu di autenticazione e dispositivi (sia web che APP) spesso complessa,
con controlli ridondanti (ad es. procedure di autenticazione, consensi
e selezioni non necessari) e informative spesso non signicative;
: le interfacce PSD2 possono presentare caratteristiche
che limitano gli sviluppi dei servizi proposti dalle TPP (ad es.
sull’aggiornamento dei dati presentati al cliente e sulle applicazioni al
POS), o possano rallentare l’integrazione dell’applicazione della TPP
L’EBA ha invitato le Autorità nazionali a intensicare le attività di controllo
sugli intermediari e sulle piattaforme, al ne di rimuovere quanto di ostacolo
allo sviluppo dei nuovi servizi e tale rendere più uida l’esperienza d’uso
degli utenti delle TPP.
Le categorie e ambiti a cui fanno riferimento gli ostacoli individuati sono: (a) modalità di autenticazione e ricorso
PIS e AIS, (d) attivazione esenzione SCA per 90 giorni, (e) selezione del conto da addebitare (IBAN), (f) richiesta di
esplicito consenso per l’accesso conti ai TPP, (g) richiesta di preregistrazioni TPP presso le banche ASPSP prima di
misurazione di una o più caratteristiche biologiche e/o comportamentali, acquisite tramite sensori e confrontate
con dati precedentemente memorizzati. Gli esempi più comuni sono l’impronta digitale, l’iride, il riconoscimento
EGNALAZIONI
NAZONALI
primo semestre 2022, evidenzia un aumento del numero
dunque multi-licenza, che possono
La scomposizione delle interazioni API per tipologia
di servizio (AIS, PIS e PIIS) segnala che alla ne del primo semestre 2022
quelle di tipo informativo costituivano circa il 91% del totale (gura 12)
In Italia si osserva una
crescita dell’
particolarmente evidente nel
primo semestre del 2022. Sebbene
le analisi mostrino valori ancora
gli importi transati sono cresciuti
precedente, mentre nello stesso
periodo l’incremento del numero
di utenti è stato pari al 15%. Dal
punto di vista tecnico, le chiamate
API per i servizi PIS e AIS sono
LE TENDENZE
NAZIONALI
Al forte peso dei servizi AIS contribuiscono anche due fattori tecnici: il primo
è l’attività di testing, particolarmente intensa dal secondo semestre del 2020; il
secondo è che, nell’attuale contesto normativo, le terze parti sono autorizzate
ad accedere alle informazioni anche in assenza del cliente (accesso cd.
mirroring
dell’attività di testing da parte dei TPP abbia cominciato a ridursi gradualmente e
che stia prendendo quota l’operatività della clientela, riscontrabile anche nella
crescita della quota di servizi di pagamento dispositivi (PIS). Ciò nonostante,
rimane l’assoluta prevalenza dei servizi AIS che, nell’ultima rilevazione del
primo semestre 2022, hanno generato circa 104,8 milioni di chiamate API,
contro i 10,4 milioni di chiamate API relative ai servizi PIS.
Figura
Piattaforme di open banking in Italia: a
mbiente statistico di raccolta e sfruttamento
dati
Figura
Accesso di terz
parti alle API: ripartizione percentuale per
ruol
di
ccesso
(mono o
multi)
Figu
ra
Numero dell
e chiamate API
per tipo
servizio
(PIS/AIS)
20%
40%
60%
80%
100%
I° sem
II° sem
I° sem
II° sem
I° sem
2021
2022
mono (AIS o PIS o PIIS)
36,4%
40,6%
12,4%
20,2%
15,9%
multi (AIS/PIS/PIIS)
63,6%
59,4%
87,6%
79,8%
84,1%
I° sem
II° sem
I° sem
II° sem
I° sem
numero chiamate API (milioni)
I° sem
II° sem
I° sem
II° sem
I° sem
API per servizi PIS
1.924.977
3.442.987
9.849.575
9.513.747
10.397.137
API per servizi AIS
10.826.496
43.806.851
42.650.329
57.478.378
104.768.637
Figura
Piattaforme di open banking in Italia: a
mbiente statistico di raccolta e sfruttamento
dati
Figura
Accesso di terz
parti alle API: ripartizione percentuale per
ruol
di
ccesso
(mono o
multi)
Figu
ra
Numero dell
e chiamate API
per tipo
servizio
(PIS/AIS)
I° sem
II° sem
I° sem
II° sem
I° sem
mono (AIS o PIS o PIIS)
36,4%
40,6%
12,4%
20,2%
15,9%
multi (AIS/PIS/PIIS)
63,6%
59,4%
87,6%
79,8%
84,1%
20
40
60
80
100
120
I° sem
II° sem
I° sem
II° sem
I° sem
numero chiamate API (milioni)
2021
2022
I° sem
II° sem
I° sem
II° sem
I° sem
API per servizi PIS
1.924.977
3.442.987
9.849.575
9.513.747
10.397.137
API per servizi AIS
10.826.496
43.806.851
42.650.329
57.478.378
104.768.637
Il totale dei clienti che utilizzano i nuovi servizi, come riportato nella Tavola 1,
è ancora limitato ma presenta margini di crescita elevati nei prossimi anni, non
appena sarà terminata la fase iniziale di sviluppo del mercato.
Riguardo ai servizi di pagamento (PIS), la gura 13 mostra che l’importo
complessivo transitato nel sistema dal primo semestre del 2020 ha seguito
una tendenza lineare, sino alla ne del 2021, per poi accelerare in maniera
importante durante il primo semestre 2022. L’importo semestrale transato da
ciascun cliente dapprima ha oscillato tra valori compresi tra i €1.465 e i €1.775
(gura 14).
L’afdabilità e le performance delle interfacce dedicate sono tendenzialmente
migliorate nel tempo: la percentuale media di errore nell’esecuzione delle
API, calcolata sull’intero periodo, è stata pari al 10,9%, sebbene nell’ultimo
semestre abbia mostrato un incremento non trascurabile, con un valore pari a
13,5%; la velocità di risposta delle interfacce è migliorata considerevolmente,
con tempi di esecuzione per le richieste API scesi dai 1056 millisecondi del
Clienti che hanno utilizzato l’interfaccia per servizi di tipo PIS
Clienti che hanno utilizzato l’interfaccia per servizi di tipo AIS
Clienti che hanno utilizzato l’interfaccia per servizi di tipo
Totale clienti di servizi di open banking in Italia
Tavola
Servizi
di open banking in Italia: n
umero clienti (PSU)
Voce
II° 2020
I° 2021
II° 202
I° 2022
Clienti che hanno utilizzato l’interfaccia per servizi di tipo PIS
15.109
31.337
48.108
65.498
Clienti che hanno utilizzato l’interfaccia per servizi di tipo AIS
98.016
131.998
305.810
341.821
Clienti che hanno utilizzato l’interfaccia per servizi di tipo
CBPII o PIIS
(conferma di disponibilità di fondi)
Totale clienti di servizi di
open banking
in Italia
113.128
163.337
353.920
407.319
Figura
Importo
semestrale
delle
operazioni dispositive (PISP)
50 €
100 €
150 €
200 €
I° sem
II° sem
I° sem
II° sem
I° sem
Milioni (€)
2021
2022
I° sem
II° sem
I° sem
II° sem
I° sem
Importo operazioni dispositive
514.841 €
26.820.816 €
53.539.403 €
70.487.555 €
183.723.566 €
secondo semestre 2020 agli attuali 578 millisecondi; quest’ultima tendenza è
in atto dall’avvio del mercato, a riprova della qualità delle attività di sviluppo
operatori.
C
nelle modalità di possesso e di utilizzo dei dati degli utenti dei servizi nanziari.
ruolo – nora esclusivo – degli intermediari presso cui i conti dei clienti
sono radicati, consentendo a “terze parti”, ovvero alle loro applicazioni
consumatore, senza la necessità che esse abbiano una relazione contrattuale
con la banca. Si creano le basi, di mercato e infrastrutturali, per un’inedita
Account Servicing
Third-Party Providers –
genera una maggiore complessità tecnologica e aumenta
le interconnessioni all’interno dell’industria dei pagamenti. Ciò richiede
in grado di fare evolvere l’intero sistema nanziario verso una maggiore
efcienza e inclusività , mantenendolo nel contempo sicuro e afdabile.
in Italia è incardinato nella normativa comunitaria
di mercato paneuropei. A differenza
delle esperienze di altre giurisdizioni, il legislatore comunitario ha adottato
per la
clientela di consentire l’accesso a terze parti, favorendo così l’innovazione
normativi comunitari adottati sono molto
Figura
Importo t
ransato semestrale
per utente
€1.200
€1.600
€2.000
€2.400
€2.800
€3.200
Importo semestrale per PSU
2020 – II°sem
€1.775
2021 – I°sem
€1.709
2021 – II°sem
€1.465
2022 – I°sem
€2.805
, il percorso di applicazione della
normativa di riferimento ha portato le autorità pubbliche italiane a strutturare
percorsi di sorveglianza e supervisione, declinati secondo la struttura dei
strutture, tali da rispondere alle nuove caratteristiche del mercato, fortemente
open banking
adottando non solo
comuni ma spesso anche sistemi tecnologici
che gestiscono l’accesso delle terze parti ai dati e ai conti istituiti presso più
prestatori di servizi di pagamento; in Italia, attualmente, di tali piattaforme ve
ne sono quattro mentre negli stati membri soluzioni di questo tipo compaiono
a macchia di leopardo, con alcune esperienze nazionali simili al nostro
L’evoluzione che ne è scaturita ha consentito, da un lato, di valorizzare
l’infrastruttura interbancaria nazionale e contenere i costi di realizzazione
e gestione, dall’altro di stimolare le stesse banche a sviluppare nuovi servizi
Dal suo avvio nel 2019, il nuovo mercato sta mostrando miglioramenti su
vari fronti: dalla
, con tempi di esecuzione delle chiamate API
che sono praticamente dimezzati, sino all’ampiezza dell’offerta (in termini
di numero di terze parti) e alla diffusione tra i clienti nali con un generale
miglioramento dell’afdabilità . Ciò attesta sia la qualità delle attività di
sviluppo e di
svolte dagli operatori sia l’entità dei loro investimenti
in capacità di calcolo. Nell’ambito dei servizi utilizzati continuano a
predominare le attività ai ni informativi mentre il totale semestrale dei
Ulteriori miglioramenti sono attesi dalle nuove iniziative in atto, sia per la
EBA), ma ancor di più per i comportamenti maggiormente proattivi da parte
La spinta tecnologica in corso funge da stimolo anche alla ricerca di nuovi
servizi e strumenti di pagamento e, con essi, allo sviluppo di quei sistemi e
infrastrutture ad alta operatività e resilienza che sono necessari per rendere
disponibili e accessibili le forme di pagamento innovative. Diversi fattori
spingono per una maggiore integrazione della fase di puro pagamento nella
open banking
previsti dalla PSD2 hanno denito un nuovo paradigma di interazione per
vigilati e accesso al conto del cliente.
Questo approccio in futuro potrà essere esteso in varie direzioni, a servizi
dei dati del cliente apre infatti la strada a
open
potrebbe evolvere verso paradigmi più ampi, come ad esempio
: ciò è reso possibile dalle tecnologie che oggi abilitano
e i registri
afnché tale ricchezza di strumenti non porti le forze di mercato a divergere
in una costellazione di soluzioni frammentate, quanto piuttosto a convergere
verso ecosistemi coerenti e interdipendenti, nell’ottica di un pieno governo
Lo sviluppo di soluzioni avanzate dovrebbe consentire di contemperare le
esigenze degli operatori con le ambizioni del legislatore europeo, così come
denite nella “Strategia dei pagamenti
e nella connessa “Strategia
. A questo ne, gli sviluppi di mercato dovranno essere
accompagnati e indirizzati da una evoluzione dell’impianto normativo che,
proporzionalità , continui a favorire la diffusione di nuovi servizi nell’ambito
A
VOLUZIONE
ACCE
DATI
Le terze parti, prima che i servizi di
venissero regolati, utilizzavano
diverse tecniche per accedere ai conti disponibili
dei clienti che avevano
concesso il permesso di accedere alle proprie informazioni bancarie, tra cui:
Screen Scraping
nacque inizialmente come copia/incolla manuale, evolvendo poi in processi
software
automatizzati in grado di emulare le modalità di accesso del
cliente. Per accedere ai conti
screen scraping
richiedono
che il cliente inserisca le credenziali di accesso al sito di
della propria banca (ad es. nome utente e password) nella pagina web,
o nell’APP, che la terza parte utilizza per i servizi di pagamento; la terza
on-line banking
simulando, tramite
appositi software, la navigazione del cliente ed eseguendo operazioni
dispositive e/o informative al posto del cliente stesso.
Reverse Engineering
. Queste pratiche sono volte a ricostruire il codice
scambiate tra l’applicazione del cliente e i server delle banche, realizzando
successivamente una versione ”
reverse engineered
banche, senza possibilità di rilevamento e consapevolezza da parte di
Entrambe le tecniche presentano diversi fattori di rischio in termini di sicurezza
e di conservazione dei dati. La terza parte, memorizzando le credenziali del
cliente e avendo pieno accesso al suo conto ha, ad esempio, la possibilitÃ
l’autorizzazione; oppure potrebbe eseguire transazioni nanziarie non
autorizzate e modicare, in maniera autonoma e senza consenso, le stesse
credenziali di accesso ai dati e ad altre operazioni bancarie del cliente
. In
dell’interazione con la banca, con possibili impatti negativi sull’adeguato
tracciamento delle attività e sulla ricostruzione delle responsabilità delle
transazioni da parte della banca.
Più specicamente, queste tecniche sono state riconosciute dai vari
stakeholder
come poco adatte allo sviluppo di servizi nanziari digitali sicuri ed avanzati,
a causa dei rischi sottostanti seguenti:
sottrazione delle credenziali
raccogliere le credenziali del cliente, che però potrebbero essere sottratte
o utilizzate in modo improprio, anche a ni fraudolenti;
screen scraping
reverse engineering
di una banca di identicare transazioni fraudolente, poiché le banche non
possono sempre distinguere tra cliente, aggregatore di dati, esecutore di
forzatura della capacità di trafco
di dati, possono accedere all’interfaccia cliente della banca ed estrarre
prova i sistemi informatici della banca.
Al ne di superare questi limiti si fa ricorso a due tecnologie alternative allo
screen scraping
reverse engineering
Application Programming Interface
(API) – le API, come meglio illustrato
nel seguito, consentono ai programmi software di comunicare tra loro
e di condividere informazioni. In particolare, forniscono un maggiore
controllo sul tipo e sull’estensione dei dati condivisi
e garantiscono un
livello di sicurezza più elevato nell’interazione tra intermediari e terze
parti. In questo modo le banche possono sia delimitare l’insieme dei
normative e/o accordi contrattuali, sia sviluppare velocemente interfacce
autenticazione tokenizzata
e che ne conosce le credenziali (
identity provider – IP
resource provider – RP
questi modelli: i) il cliente si identica con le sue credenziali presso l’IP;
token
verso il RP; iii) la presentazione di tale
token
. In questi modelli il RP, che coincide con la terza
sono spesso basate su queste due tecnologie, che, se da un lato
accrescono il livello di sicurezza ed efcienza dei processi di condivisione
tokenizzati
tramite API pubbliche garantiscono
beneci anche alle terze parti, poiché non richiedono loro di adeguare i propri
processi automatizzati ogni volta che una singola banca ridisegna la propria
potrebbe collegarsi anche senza la sua presenza attiva nella sessione di accesso. Al contrario le API consentono di
MPLICAZIONI
NORMATIVE
ACCE
DATI
Diverse sono le istituzioni nazionali e internazionali che hanno intrapreso
azioni speciche relative all’open banking; alcune hanno adottato nelle proprie
giurisdizioni schemi normativi (cd. “
open banking frameworks
consentire o imporre alle banche di condividere dati con le terze parti, a valle
del consenso dei clienti. Tali approcci possono essere classicati secondo tre
Prescrittivo
alle banche di condividere i dati
dei clienti e richiedono alle terze parti di registrarsi presso le autorità di
Wait & See
– Le autorità adottano un approccio orientato al mercato,
la condivisione dei dati autorizzati dai clienti da parte delle banche con
Facilitatore
adozione di standard API aperti
e speciche tecniche: l’iniziativa è avviata
con provvedimento della autorità , ma la realizzazione della infrastruttura
è demandata al mercato. Va in questa direzione, ad es., l’iniziativa
, ha richiesto alle maggiori banche del paese di creare un
governance
Nelle diverse giurisdizioni sono stati previsti meccanismi a tutela dei clienti che
che possono essere classicate come segue:
Bank Supervisors and Overseers
(Autorità di Vigilanza bancaria e di
Sorveglianza sul sistema dei pagamenti): ssano i requisiti e svolgono i
controlli sulle banche, sulle infrastrutture e sugli altri prestatori di servizi di
(organismi per la denizione degli
standard tecnici): stabiliscono gli standard e certicano le entità che li
(autorità garanti della concorrenza): vigilano,
promuovono e se necessario intervengono per garantire la concorrenza
nei mercati;
Nel 2017 la CMA –
– ha emesso una ordinanza con la quale ha chiesto alle
principali 9 banche inglesi di creare e nanziare la Open Banking
Implementation Entity (OBIE)
Consumer Protection Authorities
consumatori): garantiscono che i consumatori non siano svantaggiati
coinvolti nella prestazione del servizio.
Data Privacy Authorities
(autorità garanti per la protezione dei dati
Alternative Dispute Mechanisms
controversie alternativi alle sedi giudiziarie): forniscono una sede
tecnologica (piattaforma) o un processo per mediare le controversie tra
monitoraggio delle nuove soluzioni di open banking viene afdata all’autoritÃ
garante della concorrenza (ad es. in Australia), mentre in altri casi (UE, India,
Singapore) questo ruolo è assunto dalla banca centrale o dall’Autorità di
API
L’offerta dei servizi di open banking non può prescindere dall’utilizzo di una
tecnologia che garantisca l’accesso sicuro a parti del patrimonio informativo
o altri operatori attivi in campo nanziario.
si ha accesso, ii) consentire modalità di interazione sicure e iii) limitare la
complessità tecnica necessaria all’integrazione tra il tradizionale mondo dei
e condivisione di informazioni avviene prevalentemente attraverso la
tecnologia delle API che realizza l’interfaccia di comunicazione tra i vari
delle informazioni sulle transazioni realizzate.
API
–
PPLICATION
ROGRAMMING
NTERFACE
Dal punto di vista tecnico un’API è una modalità utilizzata da due sistemi
software
, per scambiare
dati. Una API consente di collegare i sistemi in modo tale che, prescindendo
dalla conoscenza del loro funzionamento interno o della struttura dei dati
, sia
possibile sviluppare rapidamente
software
per accedere alle informazioni
le API consentono la comunicazione tra applicazioni attestate su sistemi diversi,
queste sono anche denite come “
”.
” sono diventate sempre
più diffuse, in virtù della loro idoneità allo sviluppo di applicazioni distribuite
software
cooperano per realizzare funzioni complesse, accedendo a dati ospitati in diversi
uso) siano pubbliche e basate su protocolli/
standard
pubblici (“
standard
aperti”)
”. Un esempio è quello di una pubblica amministrazione
le speciche tecniche (catalogo dati e modalità di accesso), denite a loro volta
per i dati e protocollo di trasmissione
). Questo approccio favorisce la cooperazione tra applicazioni,
procedure e organizzazioni distinte, ognuna delle quali da un lato espone dati
sfruttano protocolli e modelli dati tipici di questo ambiente; si parla in questo
web-API.
Il modello di scambio dati utilizzato è quello di un’entitÃ
”) che interagisce tramite protocollo
dati e servizi (“server”); da un punto di vista operativo, le web API consentono
il browser sul PC dell’utente recupera i dati dai siti web a cui si collega. Con
queste nuove interfacce il web evolve da ambiente di navigazione degli umani
a luogo di interazione tra entitÃ
software
, sviluppate a partire da interfacce
pubbliche e documentate; va segnalato che le API di natura commerciale e
industriale incorporano generalmente anche altri
standard
di natura accessoria,
FALL
BACK
TALIA
Gli ASPSP che realizzano interfacce dedicate hanno anche l’obbligo di implementare
e rendere operativa un’interfaccia alternativa (cd. interfaccia di
, da
utilizzarsi nel caso di indisponibilità dell’interfaccia principale. Gli ASPSP possono
fall-back exemption
i requisiti di performance e robustezza deniti nella normativa. Il legislatore ha
previsto tale opportunità al ne di contenere gli oneri derivanti dall’applicazione
della PSD2, a carico degli ASPSP, prevedendo al contempo passaggi di verica nel
processo dell’esenzione che garantiscono in ogni caso l’afdabilità dei servizi esposti
server può essere cifrata attraverso un protocollo SSL/TLS facendo uso di certicati digitali e tecniche di crittograa
dalle interfacce. Al ne di armonizzare tale processo, la vigilanza ha predisposto,
sin dal 2019, un modello framework di segnalazione tramite cui l’ASPSP fornisce
le evidenze richieste dalla normativa EBA per la valutazione dell’adeguatezza
. In particolare, gli ASPSP devono fornire informazioni
riguardanti i livelli di servizio, le modalità di pubblicazione delle statistiche di
performance dell’interfaccia, le modalità di autenticazione, la descrizione delle
funzionalità dell’interfaccia, il processo di risoluzione dei problemi, le evidenze
quantitative circa il risultato degli stress test e dei test di funzionalità previsti dagli
RTS e confermare inne l’avvio in esercizio dell’interfaccia dedicata.
Come sopra accennato, il mercato italiano ha fatto ampio ricorso alle piattaforme
interazione tra la funzione di sorveglianza e quella di vigilanza nella valutazione delle
domande di esenzione. Infatti, nell’ambito delle soluzioni basate su piattaforme di
sistema coesistono, da un lato, elementi specici che riguardano i singoli prestatori,
dall’altro, un sostrato di elementi propri della piattaforma che sono comuni per tutti
gli intermediari aderenti. La verica della coerenza con la normativa di riferimento
funzione di sorveglianza in coordinamento con le strutture di vigilanza. Ciò ha
consentito una maggiore celerità dal lato delle autorità e una riduzione degli oneri
per gli intermediari.
PSD2 e dalla sua normativa attuativa (RTS)
si tiene conto, in particolare, dell’assenza
. Altri elementi ritenuti
i livelli di servizio garantiti, i piani di
business continuity
disaster recovery
cyber resilience
adottate per far fronte alle minacce
Inne, dato che le piattaforme di sistema offrono ai singoli prestatori di servizi di
pagamento un servizio in outsourcing, è stata vericata la loro aderenza ai requisiti
Common and Secure
cd. CSC), Orientamenti, Opinioni e Q&A dell’EBA, ma anche Regolamento UE n. 2016/679 sulla
– GDPR) e Regolamento UE n. 910/2014 sull’identità digitale
interfacce dedicate equivalenti a quelle già disponibili agli utenti; ii) adeguata pubblicità alla documentazione relativa
Open Banking: nuovi modelli di business e rischi emergenti
novembre 2021.
Report on open banking and application
programming interfaces
, BIS, novembre 2019.
European Banking Authority (2018a),
Opinion of the European Banking Authority on the
implementation of the RTS on SCA and CSC
, EBA, giugno 2018.
European Banking Authority (2018b),
Opinion of the European Banking Authority on the use of
eIDAS certicates under the RTS on SCA and CSC
, EBA, dicembre 2018.
European Banking Authority (2018c),
Guidelines on the conditions to benet from an exemption
from the contingency mechanism under Article 33(6) of Regulation
(EU) 2018/389 (RTS on SCA &
CSC), EBA, dicembre 2018.
European Banking Authority (2020),
Opinion of the European Banking Authority on obstacles under
Article 32(3
) of the RTS on SCA and CSC, EBA, giugno 2020.
Directive (EU) 2015/2366 of the European Parliament and of the
2002/65/EC, 2009/110/EC and 2013/36/EU and Regulation (EU) No 1093/2010, and repealing
Directive 2007/64/EC
Gammaldi, D. e C. Iacomini (2019), Mutamenti del mercato dopo la PSD2, in F. Maimeri, M. Mancini
(a cura di) “L
e nuove frontiere dei servizi bancari e di pagamento fra PSD2, criptovalute e rivoluzione
digitale
Hardt, D. (ed.) (2012), The OAuth 2.0
Authorization Framework
Maimeri, F. e M. Mancini (2019), Introduzione, in F. Maimeri, M. Mancini (a cura di) “L
e nuove
frontiere dei servizi bancari e di pagamento fra PSD2, criptovalute e rivoluzione digitale
The Berlin Group (2021), NextGenPSD2 XS2A
Framework Implementation Guidelines
Altre iniziative di Open Banking
Hong Kong
https://www.hkma.gov.hk/eng/key-information/press-releases/2018/20180718-5.shtml
France –
Australia –
https://treasury.gov.au/consultation/c2018-t247313
https://www.apicentre.paymentsnz.co.nz/
https://www.openbanking.org.uk/about-us
n. 1
LucaMibelli, Laura Ricciardi, Giovanni M. Sabelli (
UESTIONI
ISTITUZIONALI
n. 2
di Mauro Arcese, Domenico Di Giulio, Vitangelo Lasorella
Green Bonds: the Sovereign Issuers’ Perspective,
di Raffaele Doronzo, Vittorio Siracusa,
n. 4
di Cristina Mastropasqua, Alessandro Intonti, Michael Jennings, Clara Mandolini,
Massimo Maniero, Stefano Vespucci, Diego Toma
A
analysis with Bitcoin and other infrastructures,
Bundesbank, European Central Bank, Federal Reserve Board, Financial Conduct Authority,
Ministero dell’Economia e delle Finanze, Prudential Regulation Authority, U.S. Treasury
A
Inside the black box: tools for understanding cash circulation,
di Luca Baldo, Elisa Bonifacio,
Marco Brandi, Michelina Lo Russo, Gianluca Maddaloni, Andrea Nobili, Giorgia Rocco,
Gabriele Sene, Massimo Valentini
L’impatto della pandemia sull’uso degli strumenti di pagamento in Italia,
di Guerino Ardizzi,
Alessandro Gambini, Andrea Nobili, Emanuele Pimpini, Giorgia Rocco
Massimo Valentini
A
A digital euro: a contribution to the discussion on technical design choices,
Urbinati, Alessia Belsito, Daniele Cani, Angela Caporrini, Marco Capotosto, Simone Folino,
A
From SMP to PEPP: A Further Look at the Risk Endogeneity of the Central Bank,
Le TLTRO e la disponibilità di garanzie in Italia,
di Annino Agnes, Paola Antilici,
Overview of central banks’ in-house credit assessment systems in the euro area,
di Laura
Auria, Markus Bingmer, Carlos Mateo Caicedo Graciano, Clémence Charavel, Sergio Gavilá,
Alessandra Iannamorelli, Aviram Levy, Alfredo Maldonado, Florian Resch, Anna Maria Rossi,
A
UBBLICAZIONI
DELLA
COLLANA
ERCATI
,
INFRA
TRUTTURE
,
TEMI
DI
PAGAMENTO
L’allocazione strategica e la sostenibilità degli investimenti della banca centrale,
di Davide
Climate and environmental risks: measuring the exposure of investments,
di Ivan Faiella,
Davide Nasti
Mechanism,
di Daniela Della Gatta
A
n. 18
Antonino Fazio
A
n. 19
Francesco Di Stasio, Carlo Palmers, Faisal Alhijawi, Erol Kaya, Christophe Piccarelle,
Stuart Butler, Jwallant Vasani, Giancarlo Esposito, Alberto Tiberino, Manfredi Caracausi
n. 20
n. 21
Report on the payment attitudes of consumers in Italy: results from ECB surveys,
A
n. 22
di Paola Antilici, Gianluca Mosconi, Luigi Russo
A
n. 23
Ardizzi, Massimiliano Cologgi
n. 24
Press news and social media in credit risk assessment: the experience of Banca d’Italia’s
house Credit Assessment System,
di Giulio Gariano, Gianluca Viggiano
The bonre of banknotes,
Matteo Caruso, Stefano Cossu, Giuseppe Galano, Simone Mancini, Gabriele Marcelli, Piero
Martella, Matteo Nardelli, Ciro Oliviero
n. 27
di Guerino Ardizzi e Alessandra Righi
A
n. 28
TIPS: a zero-downtime platform powered by automation,
di Gianluca Caricato, Marco
n. 29
di Marc Glowka, Alexander Müller,
Livia Polo Friz, Sara Testi, Massimo Valentini, Stefano Vespucci
A
n. 30
Cologgi