La Direttiva Europea sui sistemi di pagamento, nota con l’acronimo PSD2 (Payment Service Directive 2) – a cui l’Italia ha dato attuazione con il D.lgs. 15 dicembre 2017, n. 218 – è notoriamente connessa al Fintech, all’interno del quale si annoverano tutti quei sistemi di fornitura di prodotti e servizi finanziari innovativi che utilizzano gli strumenti messi a disposizione dalle più avanzate tecnologie dell’informazione (i cosiddetti “strumenti ICT”).
Sappiamo che uno dei tratti peculiari della PSD2 è costituito dalla regolamentazione dei cosiddetti Third Party Providers (di solito abbreviati in “TPP”), cioè di quei soggetti che offrono servizi di pagamento ai consumatori, interponendosi nel rapporto tra questi ultimi e la banca titolare del rapporto di conto corrente.
Nel concreto, i TPP, tramite disposizioni dirette alla banca del cliente, bypassano la catena tradizionale dei circuiti delle carte di credito, creando un link diretto tra pagatore e beneficiario.
Si tratta del meccanismo utilizzato, ad esempio, da Paypal ed al quale stanno tendendo anche Amazon, Apple, Google e Facebook (i cosiddetti Over The Top o OTT) che, in quanto in possesso di un enorme quantità di dati su ciascuno di noi, anelano di offrirci servizi finanziari personalizzati, basati sulle nostre abitudini di consumo (che loro conoscono, di solito, molto bene).
Le capacità di analisi dei Big Data da parte degli OTT sono note e l’opportunità di applicarle ai servizi di pagamento viene generalmente considerata un’importante innovazione per il settore finanziario.
Nel contempo, però, le implicazioni di questa apertura preoccupa moltissimo le banche ed anche le Autority che presiedono ai mercati di riferimento perché, come ha recentemente messo in guardia la Consob, gli Over The Top dispongono di dati e di informazioni che, “opportunamente aggregati ed elaborati, possono consentire di ricavare preziose informazioni su abitudini di spesa, propensione al risparmio e, in senso più ampio, sul profilo finanziario di un utente tramite i conti di pagamento“.
Se, pertanto, l’open baking – cioè il meccanismo che garantisce ai TPP di aver accesso diretto al conto del cliente presso un operatore bancario e di dare a quest’ultimo disposizioni di pagamento per conto del cliente – è uno degli scopi dichiarati della PSD2, i rischi di cui ho fatto cenno sopra portano a concludere che sia di estrema rilevanza tutelare i dati del consumatore che vengono condivisi all’interno dell’ecosistema bancario tra più attori.
In base alle regole della PSD2, le banche dovranno, infatti, fornire ai TPP una serie di dati dei loro clienti per consentire l’erogazione dei rispettivi servizi finanziari.
Il trattamento di questi dati ricade inevitabilmente nel perimetro di applicazione del GDPR, ma l’attenta analisi delle due normative (PSD2 e GDPR) ha già messo in evidenza una serie di disallineamenti di disciplina che, nella pratica applicativa, determineranno complesse situazioni “borderline“, di difficile risoluzione.
In tema di consenso dell’interessato, ad esempio, sappiamo che il GDPR impone che sia rilasciato in modo a) preventivo e b) inequivocabile; l’art. 94 della PSD2 prevede, però, che i TPP possano avere accesso ai dati del cliente solo previo ottenimento di un consenso esplicito dell’utente per tali servizi di pagamento.
Di fatto, quindi, l’effetto combinato del GDPR e della PSD2 eleva i requisiti per il consenso connesso ai servizi finanziari al rango più elevato previsto dal GDPR solo per il trattamento dei dati particolari di cui all’art. 9, imponendo uno standard di protezione del consumatore rafforzato rispetto a quanto prevede il GDPR.
Gli operatori dovranno, quindi, prestare molta attenzione all’esistenza dei requisiti sufficienti e necessari, in tema di consenso, per la legittima erogazione dei servizi finanziari richiesti dall’utente e basati sull’applicazione della PSD2.
Un altro punto di incontro/scontro tra le due normative si potrà probabilmente verificare nell’ambito dell’esercizio del diritto alla portabilità dei dati di cui all’art. 20 del GDPR.
Per la PSD2, infatti, il diritto alla portabilità dei dati – che permette all’utente di trasferire direttamente i propri dati personali da un Titolare del trattamento ad un altro – è un principio cardine per consentire il flusso di informazioni dalla banca ai TPP.
Ciò significa, in concreto, che l’interessato, esercitando il diritto sancito dall’art. 20 del GDPR, potrà pretendere dalla banca il trasferimento diretto delle sue informazioni di cliente ad un altro Titolare del trattamento (il TPP, appunto).
E’ evidente, però, che questo diritto potrà, in concreto, essere applicato solo se:
- vi sia uniformità nella mappatura dei dati e dei flussi di dati che vengono trattati dai Titolari del trattamento;
- sia garantito un controllo efficace in ordine a quali dati debbano essere effettivamente trasferiti, perché il rischio di divulgazione di informazioni e notizie ulteriori a quelle strettamente necessarie è, per la natura delle operazioni oggetto di trattamento, è piuttosto elevato.
Non vi è, comunque, dubbio che, nell’ambito dei servizi finanziari innovativi che trovano fonte e legittimazione nella PSD2, si verificherà un’interessantissimo e vivace dibattito interpretativo con riferimento ai punti di contatto con le norme del GDPR.
Di ciò è consapevole anche il nostro Garante per la Protezione dei Dati Personali che, infatti, ha di recente, ha approvato il nuovo “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” che prevede, tra le altre cose:
- maggiori tutele per i consumatori censiti nelle banche dati del credito;
- più trasparenza sul funzionamento degli algoritmi che analizzano il rischio nei finanziamenti;
- l’apertura alle nuove tecnologie e ai servizi del Fintech.
Nel futuro non ci sarà, pertanto, il rischio di annoiarsi!