EnterpriseFisco e Finanza

GDPR e PSD2, uno contro l’altro?

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

Google + Linkedin Subscribe to our newsletter Write a comment

Da un lato il Regolamento GDPR, dall’altro la Direttiva PSD2. In mezzo le banche e i provider TPP. Protezione dei dati e servizi bancari sono in rotta di collisione?

Sul GDPR abbiamo già scritto quasi tutto (qui si trova tutto quello che serve sapere), per comodità riassumiamo solo che si tratta di un regolamento con l’ambizione di rafforzare e unificare la normativa sulla protezione dei dati personali entro i confini UE superando i parziali regolamenti locali e regolando anche il tema dell’esportazione dei dati personali al di fuori dei confini UE.

E’ invece interessante pensare a una valutazione sui punti di attrito tra il nuovo Regolamento sui dati e la Direttiva sui servizi di pagamento (PSD2).
Con la legge del 12 agosto 2016 n. 170, pubblicata in Gazzetta Ufficiale all’inizio di settembre dell’anno concluso, il Senato ha approvato la delega al Governo al recepimento della direttiva sui servizi di pagamento PSD2 per l’attivazione di un unico standard normativo che possa favorire lo sviluppo delle transazioni di pagamento digitali.

PSD2 in effetti è nata per realizzare l’ideale di banca aperta, o meglio, di più facile accessibilità a una serie di servizi grazie all’accesso ai conti tramite API per l’utilizzo in sicurezza di una serie di informazioni.

L’obiettivo sarebbe da un lato di approdare a soluzioni che possano fungere da volano per il decollo della Digital Economy, dall’altro  preservare la privacy delle persone, ma potrebbe anche portare a una sorta di schizofrenia legislativa, dove mentre da un lato si cerca di facilitare una serie di nuovi servizi, dall’altro – con il GDPR – si inserisce un ostacolo.

In verità questo approccio è sbagliato, perché a un’analisi approfondita il GDPR al momento può rappresentare un ostacolo da superare, ma applicato rappresenta anche un ottimo strumento per quella che ci piace chiamare ‘igiene del dato’ e come tale in grado proprio di abilitare la possibilità di offrire in sicurezza tante nuove possibilità. 

La Roadmap a PSD2 secondo Accenture
La Roadmap a PSD2 secondo Accenture

Il dubbio di un GDPR in rotta di collisione con PSD2 è al centro anche della riflessione degli analisti di Ovum. Con il PSD2 le banche europee dovranno soddisfare le richieste effettuate tramite un provider di terze parti (TPP), autorizzato, a condividere i dati dei propri clienti.

Sono previste sanzioni anche per la mancata compliance a PSD2, ma in questo caso saranno comminate a seconda dei regolamenti locali. Il primo banco di prova sarà quando proprio al TPP sarà attribuibile una qualche perdita di dati, oppure sarà stato attaccato dal cybercrime. In uno scenario di questo tipo, con un TPP indipendente, di chi sarà l’effettiva responsabilità nell’applicazione del Regolamento GDPR? Sicuri sia ancora della banca che non ha controllo sul TPP?

Un tema interessante ancora tutto da sviscerare secondo Ovum. I dati richiesti sono dei clienti della banca X, che ne è responsabile, ma questo vuol dire che quando la Banca non è sicura al 100 percento riguardo la provenienza della richiesta di un determinato TPP potrebbe rifiutarsi di rispondere? Per salvaguardare quanto richiesto dal GDPR, ma esponendosi alla sanzione PSD2? Che magari prevede sanzioni meno onerose?

Di certo un effetto immediato della direttiva che entra in rotta di collisione con il regolamento è quello di scoraggiare chi non ha le spalle larghe dal diventare un Third Party Provider (TPP). La riflessione più immediata resta che probabilmente anche alla direttiva PSD2 si sarebbe dovuto dare natura di regolamento studiando ogni aspetto proprio in relazione al GDPR. E abbiamo tanti dubbi che sia stato realmente fatto. Tutto in uno scenario in cui districarsi tra responsabilità e cambiamento di procedure per adempiere al GDPR è e sarà tutt’altro che semplice.