Con la Direttiva (UE) 2015/2366 (PSD2), applicabile in tutti i paesi membri dell’Unione Europea, ci attendiamo una rivoluzione in ambito finanziario.

Con la PSD2 per effettuare i pagamenti dal proprio conto corrente online non sarà necessario passare per il proprio istituto di credito, ma si potrà fare tutto tramite i nuovi soggetti terzi autorizzati.

Sono inoltre stati previsti, tra l’altro, due nuovi soggetti:

1) gli AISP (Account Information Service Provider), fornitori di servizi con accesso alle informazioni sul conto dei clienti delle banche in grado di analizzare il comportamento di spesa di un utente o aggregare i dati da diverse banche in un’unica piattaforma;

2) i PISP (Payment Initiation Service Provider), fornitori di servizi di pagamento

Analizzando la documentazione necessaria da presentare a Banca d’Italia, è interessante notare, in alcuni passaggi, la stretta correlazione con la documentazione richiesta per l’”allineamento” al GDPR.

Tra la documentazione di rilievo, applicabile sia ai PISP che agli AISP, si segnala la seguente:

a) una descrizione dei dispositivi di governo societario dei meccanismi di controllo interno, ivi comprese le procedure amministrative, di gestione del rischio e contabili, del richiedente, che dimostri che tali dispositivi di governo societario, meccanismi di controllo e procedure siano proporzionati, appropriati, validi ed adeguati;

b) una descrizione della procedura esistente per monitorare e gestire gli incidenti relativi alla sicurezza e i reclami dei clienti in materia di sicurezza e per darvi seguito, compreso un meccanismo di notifica degli incidenti che tenga conto degli obblighi di notifica dell’istituto di pagamento di cui all’articolo 96 PSD2;

Banca d’Italia sta svolgendo un importante compito in questa fase storica e il suo dipartimento FinTech sta dimostrando grande competenza e capacità professionale nell’affrontare un quadro normativo, regolamentare e tecnico molto complesso non solo per le diverse fonti di riferimento ma anche per l’evidente evoluzione tecnica che giorno dopo giorno sposta in alto l’asticella dei cosiddetti “rischi informatici”.

Soffermandoci, in particolare, sugli incidenti informatici, è doveroso richiamare le guidelines dell’EBA come da standard pubblicato quale Annex 1 del Final Report EBA del 27 luglio 2017, n. EBA/GL/2017/, le quali forniscono un dettagliato quadro su come le società, che intendono svolgere attività quale PISP e AISP, debbano gestire i cosiddetti “incidenti informatici”, definendo non solo un flusso di attività conseguenti ad un incidente ma anche le procedure di notifica e i modelli di reportistica.

Nel diagramma qui di seguito, viene rappresentato il processo di notifica da parte di un PISP alla autorità bancaria centrale nazionale (in Italia Banca d’Italia), relativo ad un incidente informatico.

Vai all’articolo originale qui.