Tali norme definiscono i requisiti tecnici per le interfacce di comunicazione (API) che in futuro le banche devono fornire ai cosiddetti Third Party Provider (TPP) e specificano in che modo le banche devono autenticare gli utenti quando accedono ad un conto di pagamento o danno inizio a un pagamento.
La divergenza sullo screen scraping
La più recente evoluzione riguardo alle norme tecniche di regolamentazione risale allo scorso giugno. Fu allora che l’Autorità Bancaria Europea (ABE) pubblicò il suo parere sugli emendamenti proposti dalla Commissione Europea alla bozza finale delle norme tecniche di regolamentazione che la stessa ABE aveva presentato. Il parere dell’ABE mise in evidenza visioni divergenti rispetto alla Commissione in merito alla necessità che le banche forniscano un’interfaccia di comunicazione alternativa basata sullo screen scraping nel caso in cui l’interfaccia basata su API di una banca non fosse disponibile o non funzionasse adeguatamente. L’ABE e le istituzioni finanziarie non erano favorevoli alla necessità di una tale interfaccia alternativa. La Commissione e i TPP, di contro, richiedevano che ciò fosse previsto nelle norme tecniche di regolamentazione.
NextGenPSD2: tempistiche e interfaccia
Alla conferenza NextGenPSD2 del Berlin Group, che si è svolta lo scorso 25 ottobre a Berlino, un rappresentante della Commissione Europea, Ralf Jacob, ha fornito l’atteso aggiornamento intervenendo sulle tempistiche relative alle norme e spiegando l’approccio circa l'interfaccia di comunicazione.
Le norme tecniche? Arrivano il 25 novembre
Per quanto riguarda le scadenze, Jacob ha spiegato che il testo delle norme è pronto e che è attualmente in fase di traduzione. Le norme tecniche di regolamentazione dovrebbero essere pubblicate intorno al 25 novembre. Per diventare ufficiali, le norme devono essere pubblicate nella Gazzetta Ufficiale dell’Unione Europea, il che dovrebbe avvenire a fine febbraio 2018. Le norme, quindi, entreranno in vigore 18 mesi dopo, nell’agosto 2019.
Niente screen scraping con API di qualità
La Commissione propone di risolvere la situazione che riguarda l’interfaccia di comunicazione senza richiedere alle banche di fornire un’interfaccia alternativa basata sullo screen scraping, se le loro interfacce di comunicazione basate su API funzionano adeguatamente. A prima vista, la Commissione sembra seguire l’approccio proposto dall'ABE e dalle banche. Tuttavia, bisogna considerare i dettagli: i criteri per stabilire se una determinata interfaccia basata su API funziona adeguatamente saranno definiti da un nuovo organismo di settore costituito sia da rappresentanti delle banche che da rappresentanti dei TPP. In questo modo, la Commissione sposta la responsabilità di definire i criteri sulle parti in causa e garantisce che i TPP abbiano voce in capitolo sulla qualità delle interfacce API che devono essere fornite dalle banche.
Nel complesso, l’approccio proposto dalla Commissione favorisce ampiamente le interfacce basate su API e cerca di eliminare la pratica dello screen scraping. La comunicazione della Commissione alla conferenza NextGenPSD2 mette fine a diversi mesi di silenzio normativo e porta un nuovo slancio al processo di attuazione della PSD2. Adesso spetta a organizzazioni quali The Berlin Group, Open Banking UK e STET il compito di finalizzare i propri standard API e alle banche di prendere decisioni in merito alle loro procedure per la Strong Customer Authentication.
