Con il Regolamento FIDA la Commissione europea norma la condivisione dei dati finanziari e incentiva nuovi modelli di business basati sull’open finance.
Nel giugno 2023 la Commissione europea ha pubblicato una proposta di regolamento per normare l’accesso ai dati finanziari. Questa proposta affianca quella relativa al nuovo Regolamento sui servizi di pagamento (PSR) e alla nuova Direttiva sui servizi di pagamento e di moneta elettronica (PSD3), al fine di creare un articolato pacchetto di norme, il Financial Data Access and Payments Package.
Il cosiddetto Regolamento FIDA (Financial Data Access) ha come obiettivo la creazione di un sistema di open finance, basato sulla condivisione dei dati degli utenti tra banche, intermediari finanziari, assicurazioni e fintech, al fine di sviluppare prodotti finanziari fortemente personalizzati e personalizzabili.
Si tratta a tutti gli effetti di un ampliamento della PSD2 fondamentale per passare dall’open banking all’open finance. Della portata della normativa abbiamo parlato con Salvatore Corigliano, Director – Payments & Digital Banking di PwC, parte del team multidisciplinare sull’open finance.
Quali sono gli elementi che contraddistinguono il Regolamento FIDA?
Con il Regolamento FIDA, la Commissione europea mira a promuovere la condivisione dei dati tra i soggetti operanti nel settore dei servizi finanziari, superando i confini dell’open banking, appannaggio degli operatori di pagamento.
La condivisione dei dati degli utenti potrà agevolare lo sviluppo di prodotti finanziari maggiormente in linea con le esigenze della clientela, aumentare l’inclusione finanziaria e agevolare la creazione di modelli di business innovativi legati al dato, in linea con quanto accade già extra-UE: Brasile, Hong Kong, Australia, sono solo alcuni tra i Paesi in cui l’Open Finance è già realtà.
Allo stesso tempo, il Regolamento FIDA intende incentivare l’applicazione di elevati standard di sicurezza ed una condivisione consapevole delle informazioni designate dall’utente.
Tra i principali elementi di novità rispetto alla PSD2 si segnalano il maggior peso dato ai player di mercato nel disegno dell’ecosistema di Open Finance, attraverso i Data sharing Schemes, e l’introduzione di un modello di remunerazione per i Data Holder che esporranno i servizi.
A quale tipo di dati e di operatori si applicherà? E quali saranno gli obblighi di questi ultimi?
Il Regolamento FIDA individua due tipologie di soggetti che agiscono rispettivamente in qualità di titolari del dato (anche detti Data Holder) ed utilizzatori del dato (ovvero i Data User): tali attori saranno chiamati – a fronte di richiesta del cliente – alla condivisione di informazioni attraverso interfacce dedicate (API) realizzate in accordo a standard di mercato ampiamente diffusi.
L’ambito di applicazione del nuovo framework Open Finance copre diverse tipologie di dati tra cui prestiti, mutui, risparmi, investimenti, pensioni, assicurazioni non vita, merito creditizio, prodotti pensionistici, valutazione d’idoneità ed adeguatezza finanziaria.
Gli obblighi legati all’accesso a quest’ampio insieme di dati finanziari si applicheranno alle principali istituzioni finanziarie, dai fornitori di servizi di pagamento/moneta elettronica agli istituti ed agenzie di credito, imprese d’investimento, assicurazioni, fornitori di servizi di crowdfunding, PEPP, enti pensionistici, con alcune limitate eccezioni (per esempio gestori sotto soglia, intermediari assicurativi qualificabili come PMI).
FIDA si inserisce nella più ampia Data Strategy dell’UE e va ad affiancarsi al Data Act e al Digital Operational Resilience Act (DORA). Del resto, quando si parla di dati non possiamo trascurare privacy e sicurezza, cosa prevede FIDA in merito?
GDPR, DORA, Data Governance Act, Digital Market Act, Data Act, ePrivacy, Open Data Directive, European Digital Identity sono solo alcune delle iniziative che definiscono i principi chiave per l’accesso e il trattamento dei dati in Europa.
La proposta sull’accesso ai dati finanziari si inserisce in questo contesto giuridico puntando non solo alla condivisione sicura delle informazioni, ma anche alla protezione dei consumatori, alla cyber resilience, alla supervisione efficace degli operatori di mercato, alla definizione di sanzioni amministrative e alla promozione della cooperazione tra le autorità competenti nell’ottica di omogeneizzare sempre più le regole del gioco.
Il framework Open Finance sottolinea l’importanza del consenso del cliente nel processo di condivisione dei dati, la necessità di disporre di dashboard di controllo per visionare e gestire i consensi prestati, puntando a creare un ecosistema trasparente che risulti sicuro per tutte le parti coinvolte.
Grande accento è posto inoltre sulle misure necessarie alla conservazione, trasmissione e trattamento dei dati, i quali potranno essere utilizzati per diverse finalità – tra cui il marketing diretto – in conformità alla normativa applicabile.
Il Regolamento FIDA introduce la figura dei Financial Information Service Providers (FISP), qual è il loro ruolo?
Sulla stregua di quanto fatto dalla Direttiva PSD2 con l’introduzione – tra gli altri – del ruolo di AISP (Account Information Service Provider), titolato ad aggregare le informazioni dei conti di pagamento del cliente, FIDA introduce una nuova tipologia di soggetto autorizzato ad operare nel mercato dei servizi finanziari: il cosiddetto fornitore di servizi di informazione finanziaria (Financial Information Service Provider – FISP).
Per poter accedere ai dati dei clienti, i Data User non già autorizzati ad operare come istituto finanziario dovranno richiedere un’autorizzazione come FISP all’Autorità competente dello Stato membro in cui si trova la propria sede legale.
Il Regolamento fornisce indicazioni sul processo di autorizzazione, dettagliando le informazioni da includere nel fascicolo di richiesta verso l’Autorità competente, che includono a titolo di esempio il piano aziendale, modello di governance, piani di continuità operativa, misure di controllo interno, gestione rischio ICT e di sicurezza, indicazioni sul management, capitale iniziale, assicurazione di responsabilità civile professionale. Sarà poi importante garantire l’armonizzazione e la consistenza tra AISP e FISP dal punto di vista regolamentare per garantire la facilità di accesso ai dati e lo sviluppo di use cases cross settoriali.
La proposta prevede che la condivisione dei dati avvenga attraverso i Financial data sharing schemes (FDSS), di cosa si tratta?
La proposta prevede che la condivisione dei dati avvenga attraverso i cosiddetti Financial data sharing schemes (FDSS): organismi di autoregolamentazione costituiti da Data Holder e Data User, nonché da organizzazioni e associazioni rappresentative dei clienti e dei consumatori, cui è affidata la gestione di numerosi profili tra cui la definizione di linee guida legate al modello di remunerazione, il disegno di standard tecnici per il colloquio e l’identificazione dei partecipanti, la standardizzazione di processi (e.g. gestione dispute).
Il limitato coinvolgimento dei player di mercato nel disegno e nello sviluppo dell’Open Banking è stato uno dei punti di attenzione emersi nell’Impact Assessment sulla PSD2 e su cui la Commissione europea si è basata per il disegno di FIDA.
Nei fatti, attraverso i Financial Data Sharing Schemes (FDSS) la FIDA demanda ai player di mercato il disegno dell’ecosistema di Open Finance attraverso cui abilitare lo scambio di dati. La collaborazione diventa a tutti gli effetti un elemento cardine per l’implementazione di sistemi virtuosi di scambio dei dati.
Ciascun operatore dei servizi finanziari dovrà diventare membro di almeno un FDSS: laddove non venisse istituito alcuno schema per una o più categorie di dati, la Commissione europea potrà adottare atti delegati per disciplinare i profili di rilievo relativi alla condivisione dei dati, al fine di garantire omogeneità d’implementazione.
L’applicazione di questo regolamento consentirà lo sviluppo di modelli di business fortemente innovativi. Che impatti possiamo aspettarci sul settore finanziario?
La relazione sulla valutazione d’impatto che accompagna la proposta evidenzia la pervasività del Regolamento: oltre 17.500 istituti finanziari saranno tenuti a rendere disponibili i dati dei clienti a circa 4.000 Data User. Si stimano fino a 10 mld € di benefici diretti per le European financial data company entro il 2030; a fronte di 2,4 mld € di costi una tantum per i titolari dei dati per la creazione di infrastrutture API e fino a 0,47 mld € di costi annuali per la loro manutenzione.
Per gli operatori di mercato, il framework Open Finance rappresenta l’opportunità di utilizzare i dati in modo innovativo, con potenziali benefici derivanti dalla monetizzazione diretta, dallo sviluppo di nuovi modelli digitali di Customer Engagement anche basati su una valutazione olistica del cliente e infine dalla messa a valore delle infrastrutture tecnologiche per l’integrazione di servizi finanziari nelle Customer Journeys e nei processi delle aziende.
Quali opportunità e quali incognite possiamo immaginare dall’introduzione di FIDA?
La Commissione europea ha recentemente annunciato che l’iter autorizzativo dovrebbe completarsi entro il Q1 del 2025.
Le disposizioni FIDA entreranno poi in vigore 24 mesi dopo la pubblicazione della versione finale sulla Gazzetta Ufficiale dell’UE, ad eccezione degli obblighi legati all’adesione a FDSS, in vigore 6 mesi prima.
La proposta costituisce un’interessante novità per gli operatori di mercato ed apre significative opportunità in un settore in cui l’accesso ai dati e la loro elaborazione, anche attraverso applicativi di intelligenza artificiale, costituiscono un vantaggio competitivo per l’offerta di nuove funzionalità ed il miglioramento della qualità del servizio reso alla clientela.
Le tempistiche sono sfidanti considerati i settori impattati, la portata degli adeguamenti e anche in relazione all’arco temporale necessario agli operatori per gli adeguamenti in ambito open banking.
Restano ancora dei punti aperti per una valutazione di dettaglio degli impatti. Ad esempio alcuni requisiti di natura operativa e tecnologica risultano ad oggi solo accennati, rallentando potenzialmente l’avanzamento nel disegno degli interventi: il metodo di identificazione degli operatori, l’autenticazione del cliente, le regole alla base della remunerazione sono solo alcuni degli aspetti che saranno auspicabilmente indirizzati durante l’iter di adozione.