L’accesso ai dati dei conti di pagamento: innovazione digitale e tutela degli utenti nell’evoluzione della regolamentazione UE dell’Open Banking

di Simone Mezzacapo -

Il saggio analizza le principali innovazioni del quadro regolatorio dell’UE in materia di servizi di pagamento e di moneta elettronica, così come prospettate nelle proposte di Payment Services Directive 3 (PSD3) e di Payment Services Regulation (PSR) all’esame delle Istituzioni UE. Si evidenzia, in primo luogo, un disegno incline a decisa transizione dall’attuale sistema normativo, ancora fondato prevalentemente su direttive (in particolare PSD2, PAD ed EMD), verso la codificazione di un vero e proprio Single Rulebook unionale in materia di pagamenti digitali e di Open Banking. Particolare attenzione è dedicata pertanto alla ridefinizione delle nozioni di servizi di pagamento e di moneta elettronica, nonché ai presidi tecnico-giuridici volti a promuove ulteriormente l’accesso aperto, equo e sicuro ai dati dei conti di pagamento tramite il servizio di informazione sui conti (Account Information Service – AIS) (tra cui le c.d. permissions dashboards e il principio di parità dei dati). In questa prospettiva, è affrontata anche la questione dei presupposti di legittimo trattamento dei dati dei conti di pagamento, chiarendo il rapporto tra la nozione di “autorizzazione” dell’utente ai sensi del PSR e quella di “consenso esplicito” di cui al GDPR, ed evidenziando taluni punti di disallineamento tra il framework PSD3/PSR e la proposta di Regolamento FIDA in materia di accesso e condivisione dei “dati finanziari” per lo sviluppo dell’Open Finance nell’UE.

***

The paper analyses the main upcoming innovations in the EU regulatory framework on payment services and electronic money, as envisaged in the Payment Services Directive 3 (PSD3) and the Payment Services Regulation (PSR) currently under consideration by the EU institutions. The analysis highlights, first and foremost, a regulatory design aimed at ensuring a decisive transition from the current legal framework, still largely based on directives (notably PSD2, PAD, and EMD), towards the codification of a genuine Single EU Rulebook on digital payments and Open Banking. Specific attention is devoted to the redefinition of the regulatory notions of payment and e-money services, as well as to the technical and legal safeguards intended to further promote open, fair, and secure access to payment account data through the Account Information Service (AIS), including the so-called permissions dashboards and the data parity principle. From this perspective, the paper also addresses the conditions for the lawful processing of payment account data, clarifying the relationship between the notion of user “authorisation” under the PSR and that of “explicit consent” under the GDPR, while highlighting certain areas of misalignment between the PSD3/PSR framework and the proposed FIDA Regulation concerning access to and sharing of financial data for the development of Open Finance within the EU.