Criptovalute: “motore” della Financial Technology?
- 1. Rule Britannia - il programma “UK FinTech 2020
Nel suo recente manifesto programmatico “UK FinTech 2020”il premier David Cameron ha fissato uno dei prossimi obiettivi del suo Governo, quello di rendere il Regno Unito “il principale centro al mondo per il Fintech”. Affinché ciò possa avverarsi, ha chiarito, “[…] occorrerà un ambiente regolato, che si può ottenere solo grazie alla collaborazione di tutti”.
I “tutti” a cui allude l’inquilino del n. 10 non sono, naturalmente, i players tradizionali del settore finanziario (banche o istituti di credito più o meno creativamente legati anche ai nuovi fenomeni della nuova finanza partecipativa, es. crowdfunding, P2P lending, e-trading, ecc.). Sono soprattutto i nuovi operatori attivi nell’uso dei dati e delle identificazioni digitali dei comportamenti degli utenti, legati al mondo della moneta virtuale ed alla intermediazione delle transazioni online, anche mediante criptovalute. Il fintech (crasi di financial technology, tecnologia finanziaria) s’incentra infatti molto poco sugli elementi tipici della finanza tradizionale, facendo riferimento innanzitutto ai modelli predittivi ed ai big data analytics legati al flusso consapevole o meno di dati sulle transazioni online, motivo per il quale il settore coinvolge gli operatori di comunicazioni e OTT.
In UK, nel 2015 si sono registrati oltre il 45% del totale degli investimenti in Europa nel settore della nuova finanza tecnologica, particolarmente legata alla modalità nuova di esperienza degli utenti rispetto ai servizi finanziari. La sfida punta ad identificare le modalità d’uso e servizio dei servizi finanziari da parte degli utenti, principalmente tramite l’automatismo ed intermediazione nei metodi di pagamento, e sul piano regolamentare il tema è garantire un level playing field obiettivo, trasparente e non discriminatorio tra i nuovi operatori dando per scontato il superamento del tradizionale ruolo intermediario svolto sino ad ora dalle banche.
La nuova regolamentazione dovrà coinvolgere, da un lato, le regole di trasparenza nell’erogazione di servizi finanziari di nuova generazione, quali i nuovi fenomeni di aggregazione “per progetto” o condivisione di programmi anche di valore collettivo (si pensi all’equity crowdfunding o fundraising legato ad iniziative artistiche o di impatto sociale), dall’altro curare le tutele ed i diritti individuali per gli utenti del web, anche con riguardo agli obblighi di sicurezza nella validazione delle transazioni su criptovalute. La nuova regolamentazione investe quindi sia la trasparenza ed i metodi di validazione delle transazioni in criptovalute, sia la tutela dei diritti individuali degli utenti, in primis l’espressione del consenso e la sua revoca (le transazioni in criptovalute sono oggi irreversibili per loro natura), la segretezza ed anonimia nei trasferimenti di valute, la privacy e la sicurezza delle trasmissioni, tutte tematiche regolamentari collegate sempre più all’uso e gestione dei bit associati alle monete virtuali trattate sulle reti di comunicazioni.
Il topic non ammette ritardi, e pochi giorni fa che i principali istituti di credito anglosassoni hanno dato mandato alla società di consulenza R3 per verificare la possibile estensione del meccanismo adottato da Bitcoin per le transazioni in criptovalute, noto come blockchain.
*
Le criptovalute poggiano su sistemi peer-to-peer non centralizzati, e le operazioni di generazione di nuove valute sono eseguite tramite metodi criptati, basati su algoritmi che “generano” le monete[1]. Nel caso della criptovaluta Bitcoin, i nuovi algoritmi sono equiparati a nuovi “blocchi” da aggiungere alla catena che contraddistingue tali “monete” virtuali, tramite il meccanismo del Blockchain. Il Blockchain è quindi un registro, o un database decentralizzato, in grado di tenere traccia dei dati digitali per la mutua condivisione, rafforzato contro la manomissione grazie all’uso di sistemi crittografici. Il progetto demandato dagli istituti ad R3 è la possibilità di garantire la tracciabilità e la verifica postuma dei passaggi di denaro online, ma financo la reversibilità del trasferimento, che attualmente costituisce un chiaro vulnus di tutte le valute virtuali. Le banche intendono verificare la possibilità di esportare il Blockchain come via alternativa al passaggio online di divise tradizionali, particolarmente in ambito transfrontaliero o internazionale.
Nella visione del progetto, tramite il Blockchain, le banche potranno quindi mantenere i registri sugli asset, regolati direttamente dal corso delle transazioni eseguite, mentre il Blochchain svolgerebbe la funzione di registro delle transazioni in modo più economico e sicuro. Il ledger (registro) Blockchain risulterebbe condiviso in modo sistemico dalla Rete per il tramite stesso dell’architettura peer-to-peer diffusa adottata, assicurando al tempo stesso le transazioni tramite uso di sistemi crittografici con garanzia di anonimato. In sintesi, il Blockchain:
- è un registro pubblico condiviso, attualmente utilizzato da Bitcoin;
- non è centralizzato ma diffuso e peer-to-peer, e non una configurazione di rete “ad albero” (tipica del server-utente);
- E’ uno strumento di verifica “post transazione”: tutte le transazioni “confermate” sono poi incluse nella Blockchain, ed in questo modo i portafogli Bitcoin possono calcolare in tempo reale il loro bilancio spendibile e nuove transazioni possono essere verificate, in quanto riferite ad un dato portafoglio (e-wallet);
- L’integrità e l’ordine cronologico della Blockchain sono protetti attraverso la crittografia;
- la transazione è un trasferimento di valori tra portafogli Bitcoin che viene incluso nel Blockchain.
Il meccanismo s’inquadra nel fondamentale schema utilizzato dalle criptovalute: nella sua “Opinion” del 2014 l’European Banking Authority ha individuato le seguenti caratteristiche nelle valute virtuali:[2]
- Sono rappresentazioni digitali di valore, utilizzate come mezzo di scambio o detenute a scopo di investimento, che possono essere trasferite, archiviate e negoziate elettronicamente;
- Non rappresentano in forma digitale le comuni valute a corso legale (euro, dollaro, ecc.);
- Non sono emesse o garantite da una banca centrale o da un’autorità pubblica e generalmente non sono regolamentate. è indipendente dal ruolo di garanzia di un emettitore (banca centrale o istituto);Sono quindi create da un emittente privato o in via diffusa, da utenti che utilizzano software altamente sofisticati;
- Non sono fisicamente detenute dall’utente, ma sono movimentate attraverso un conto personalizzato - “portafoglio elettronico” (cd. e-wallet);
- Possono essere acquistate con moneta tradizionale su una piattaforma di scambio ovvero ricevute online direttamente da qualcuno che le possiede, per poi essere detenute sul e-wallet;
- I titolari dei portafogli elettronici e i soggetti coinvolti nelle transazioni rimangono anonimi;
- Le transazioni tramite le quali vengono trasferite sono tecnicamente irreversibili (una volta fatta la transazione non e` possibile chiederne l’annullamento).
Per la BCE la valuta virtuale è poi simile a valuta convertibile, per l’utilizzo che se ne può fare nel mondo reale (conversione ed acquisti), pur non essendo una “moneta elettronica” in quanto i fondi non sono espressi in unità di calcolo tradizionali. Tuttavia può esser parte di un e-wallet, e quindi essere parte di una piattaforma di scambio online, anche con riferimenti a valute correnti.
Va notato che l’e-wallet non è uno strumento di pagamento nel senso proprio, in quanto tipicamente contiene uno (o piu`) strumenti di pagamento (per esempio una carta di credito). Per la Banca d’Italia, rientrano nella nozione di carte prepagate, ossia di Borsellino Elettronico, i valori monetari caricati su una carta a micro circuito, quali quelle utilizzabili presso più esercizi commerciali. Sono quindi escluse le carte "monouso" (ad es., carte telefoniche) nonché le carte "limited purpose", utilizzabili presso categorie circoscritte di esercenti. Va altresì notato che l’e-wallet, può essere tenuto dall’utente sui propri strumenti elettronici, oppure può essere affidato ad un a “wallet provider”, tenuto a gestire ed amministrare a tutela dell’utente il portafoglio elettronico, con eventuale attività di custodia delle chiavi crittografiche, altra attività che di commistione tra operatori di comunicazioni e nuovi attori della finanzia tecnologica.
La possibilità che un e-wallet svolga la funzione di cambio-valuta, tale da consentire, di fatto, una compensazione tra divise anche virtuali ha determinato, il 22 ottobre 2015, la sentenza della Corte di Giustizia dell’Unione Europea (C-264/14), che ha giudicato che le operazioni di cambio di valute tradizionali contro la valuta virtuale Bitcoin (e viceversa) costituiscono prestazioni di servizi effettuate a titolo oneroso ai sensi della direttiva, dato che esse consistono nel cambio di diversi mezzi di pagamento. Sussiste quindi, secondo la CG, un nesso diretto fra il servizio prestato dal soggetto autorizzato al cambio valute e il corrispettivo ricevuto dallo stesso, vale a dire il margine costituito dalla differenza, da una parte, tra il prezzo al quale egli acquista le valute e, dall’altra, il prezzo cui le valute sono vendute ai clienti, motivo per il quale le relative operazioni sono esenti IVA[3].
La Corte afferma anche che tali operazioni sono esenti dall’IVA in forza della disposizione riguardante le operazioni relative «a divise, banconote e monete con valore liberatorio». Escludere operazioni come quelle programmate dal soggetto che opera nel cambio valute dalla sfera di applicazione di tale disposizione priverebbe quest’ultima di parte dei suoi effetti, alla luce della finalità dell’esenzione, che consiste nell’ovviare alle difficolta` insorgenti nel contesto dell’imposizione delle operazioni finanziarie quanto alla determinazione della base imponibile e dell’importo dell’IVA detraibile.
Il multiruolo giuridico delle operazioni tramite e-wallet, e la “convertibilità” attesa della criptovaluta in valuta tradizionale (muovendo dalla definizione di servizio di cambio valuta sotteso nella Sentenza della Corte di Giustizia), costituiscono elementi di possibile accettazione futura della criptovaluta tra i sistemi legali di pagamento.
- 2. Ruolo degli operatori di comunicazioni I - le misure di sicurezza
Oltre agli istituti di credito, il fenomeno Fintech coinvolge di necessità anche gli operatori di comunicazioni, intermediari insostituibili nell’espletamento delle transazioni online. Lo sviluppo dei servizi già oggi estende, dal punto di vista regolamentare, il novero dei soggetti tipicamente coinvolti nell’offerta diretta di servizi finanziari su reti, com’è apparso evidente anche nel testo della nuova direttiva EU sui servizi di pagamento di sostituzione della PSD, la cd. “PSD 2”[4], che individua una serie di categorie di soggetti intermediari nella gestione ed erogazione di servizi finanziari online.
Tuttavia il ruolo degli operatori tradizionali di comunicazioni non è affatto univoco nell’ambito dell’offerta Fintech. La PSD 2 ridefinisce il ruolo dei nuovi operatori di comunicazioni volendo contribuire ad un ulteriore sviluppo dei pagamenti elettronici tramite lo sviluppo di ruoli gestionali ed intermediari bypassando il tipico ruolo accentratore delle banche. Scopo della PSD 2 è assicurare la chiarezza giuridica e le condizioni di parità che si traducano in una convergenza verso il basso dei costi e dei prezzi a carico degli utenti di servizi di pagamento, al fine di garantire anche una maggior sicurezza e trasparenza dei servizi stessi nel quadro del sempre più certo venir meno della distinzione tra istituti di pagamento e istituti di moneta elettronica. La nuova direttiva si prefigge quindi di favorire lo sviluppo di pari condizioni di concorrenza tra i c.d. “prestatori storici” e i nuovi prestatori di servizi di pagamento, migliorando l’efficienza, la trasparenza e l’ampliamento della scelta degli strumenti a disposizione degli utenti sul web, garantendo un livello elevato di tutela per questi ultimi.
Relativamente agli obblighi a carico degli operatori addetti alle transazioni online, partendo dal presupposto necessario che i servizi di pagamento offerti elettronicamente dovranno in ogni caso essere prestati in maniera sicura e gli operatori (collettivamente intesi, quindi anche gli operatori di trasmissione dei segnali) saranno quindi tenuti ad adottare tecnologie in grado di garantire l'autenticazione inequivoca dell'utente riducendo al massimo il rischio di frode, può intuirsi che il tema legale e regolamentare connesso ai servizi Fintech sarà ben più complesso di quanto oggi ravvisabile.
Innanzitutto, la diffusione dei pagamenti e delle transazioni finanziarie tramite internet con dispositivi fissi o mobili di diversa tecnologia implica, da un lato, la definizione di standard obbligatori di riconoscimento legati ai devices utilizzati nella navigazione, autenticazione e tracciabilità dei pagamenti. Le tecnologie oggi utilizzate dalle diverse marche nei devices di pagamento automatizzato sono intrinsecamente diverse a seconda degli standard dei handset da loro utilizzati (ad es. Samsung Pay ed Apple Pay utilizzano sistemi di riconoscimento ed autenticazione sostanzialmente diversi nei propri smartphones: il primo generalmente consente la “fotografia” della carta di credito dell’utente appoggiandola al video ed aggiungendola così all’e-wallet, mentre il secondo necessita di regola l’attività di aggiunta specifica della card “prelevandola” dal caricamento precedente sul servizio iTunes ed inserendo il codice di sicurezza della carta). I sistemi trasmissivi dovranno quindi eseguire funzioni omologhe di riconoscimento ed autenticazione secondo protocolli specifici ma interoperabili, ed i sistemi dovranno poi consentire, ai fini del rispetto dei diritti degli utenti, un tracciamento e gestione dei dati delle transazioni eseguite e la gestione dei dati personali coerente con la tutela privacy.
Tuttavia i metodi di pagamento e la fruibilità dei servizi tramite gli apparati prescelti dagli utenti appaiono oramai costituire la vera frontiera concorrenziale, potendo garantire una fidelizzazione dei clienti per il tramite del controllo dei dati processati dai sistemi. Le modalità di interazione e di pagamento prescelte dagli utenti determinano anche il processing automatizzato di dati, capace di garantire l’esatta conoscenza delle abitudini e scelte dei clienti (un po’ com’è avvenuto storicamente nella grande distribuzione, che ha soppiantato il tradizionale ruolo della produzione tramite il controllo “fisico” dei clienti ed il loro progressivo indirizzo nelle scelte d’acquisto). In questo senso il controllo dei comportamenti abituali degli utenti e l’indirizzamento dei loro consumi/bisogni appare la prossima frontiera regolamentare, anche per la progressiva difficoltà nella conoscenza dell’uso del dato. I sistemi smartphone consentono anche la localizzazione degli utenti tramite sistemi geo-referenziali e per il tramite di sistemi automatizzati di profilazione dei gusti dei clienti gli operatori di linea possono già oggi non soltanto indirizzare e soppiantare le scelte dei consumatori sostituendosi nelle scelte d’acquisto, ma addirittura di fatto prevenirle tramite le resultanze determinate dall’incrocio con i dati dei sistemi finanziari integrati nei propri servizi.[5]
Sul piano degli obblighi di sicurezza, i servizi di pagamento offerti via internet o tramite altri canali a distanza - il cui funzionamento non dipende dal luogo fisico in cui sono situati il dispositivo per disporre l'operazione di pagamento o lo strumento di pagamento - devono de minimis comportare l'autenticazione delle operazioni attraverso codici dinamici, affinché l'utente sia, in ogni momento, al corrente dell'importo e il beneficiario dell'operazione che l'utente sta autorizzando.
Al fine di permettere lo sviluppo di mezzi di pagamento di facile uso e accessibili per pagamenti a basso rischio, come i pagamenti di importo ridotto senza contatto fisico al punto vendita (es. tramite sistema RFID in uso con Apple Pay), basati o meno su telefono cellulare, le esenzioni dall'applicazione dei requisiti di sicurezza dovrebbero in ogni caso essere specificate nel quadro delle tecniche generali di regolamentazione. L'uso sicuro di credenziali di sicurezza personalizzate appare tuttavia necessario per limitare i rischi connessi al phishing e ad altre attività fraudolente, ed in ogni caso l’autenticazione dell’acquisto con sistemi dinamici appare l’ultimo vero baluardo dei consumatori all’assalto elettronico ai loro dati.
L'utente dovrebbe poter fare sempre affidamento sull'adozione di misure che tutelano la riservatezza e l'integrità delle credenziali di sicurezza personalizzate, garantendo in ogni momento di poter revocare il consenso dato agli operatori, conoscere quali operatori (o connessi sistemi di advertising…) siano in possesso dei propri dati, poterli migrare tramite shift di provider e cancellarli a proprio piacimento (diritto all’oblio). Le misure di autenticazione degli acquisti dovrebbero comprendere sistemi di cifratura basati su dispositivi personali del pagatore, tra cui lettori di carte o telefoni cellulari, o forniti al pagatore dal proprio prestatore di servizi di pagamento di radicamento del conto mediante canali diversi, come SMS o posta elettronica. L'uso di tali codici di autenticazione da parte degli utenti dei servizi di pagamento appare compatibile con i relativi obblighi in relazione agli strumenti di pagamento e alle credenziali di sicurezza personalizzate, anche quando sono coinvolti prestatori di servizi di disposizione di ordine di pagamento o prestatori di servizi di informazione sui conti.
- 3. Ruolo degli operatori di comunicazioni II – autenticazione e privacy
La PSD 1 individua la categoria di soggetti specializzati nell’offerta di servizi di pagamento denominati “istituti di pagamento” (in aggiunta a quelli tradizionali, quali enti creditizi, uffici postali, istituti di moneta elettronica). Tali operatori esercitano l’attività finanziaria anche unitamente all’esercizio di attività commerciale, e sono tenuti al rispetto dei tempi di esecuzione, informazioni per la clientela ed alla corretta esecuzione della transazione fino all’addebito dei fondi al beneficiario.
La PSD 2, che come detto intende estendere gli obblighi di sicurezza nei pagamenti elettronici, ritenuti fondamentali per garantire la protezione degli utenti nello sviluppo di un contesto affidabile per il commercio elettronico, distingue le funzioni di “autenticazione” dei clienti (eseguibile anche in forma anticipata, se ancorata a meccanismi di riconoscimento dei dispositivi) dall’autorizzazione al singolo pagamento dei servizi.
La PSD 2 definisce "autenticazione" la procedura che consente al prestatore di servizi di pagamento di verificare l'identità di un utente di servizi di pagamento o la validità dell'uso di uno specifico strumento di pagamento, compreso l'uso delle credenziali di sicurezza personalizzate dell'utente. In tal senso lega l’autenticazione all’identificazione del singolo, prevedendo anche una metodologia di autenticazione “forte" (strong authentication) basata, secondo la prassi anche fatta propria dalla e-privacy directive[6], sull'uso di due o più elementi classificati nelle categorie della conoscenza (qualcosa che solo l'utente conosce), del possesso (qualcosa che solo l'utente possiede) e dell'inerenza (qualcosa che caratterizza l'utente), indipendenti l’uno dall’altro, in quanto la violazione di uno non compromette l'affidabilità degli altri in modo tale da tutelare la riservatezza dei dati di autenticazione.
Tutti temi attualmente in corso di verifica e formulazione nel quadro del processo di riforma della direttiva privacy attualmente in uso (95/46/EC). Ma il tema riguarda il ruolo specifico dell’operatore FinTech come titolare del dato, responsabile del trattamento o semplice incaricato secondo la normativa specifica. In termini generali, già la direttiva AML[7] obbliga gli operatori finanziari e gli operatori di pagamenti ad identificare le identità dei clienti nelle transazioni online, tuttavia tale direttiva non chiarisce cosa debba intendersi per “identità” (l’handset pre-autorizzato, ad esempio?), rinviando alla normativa specifica sul trattamento dati[8], e soprattutto non pare applicabile allo stato alle transazioni in criptovalute, ancor’oggi in cerca di specifica regolamentazione e riconoscimento giuridico. Il livello di obbligo e rispetto specifico dei criteri di identificazione del cliente potrebbe quindi costituire un banco negoziale tra operatori FinTech e propri clienti, pur nel rispetto delle linee guida già emanate dalla EBA in materia (ci si riferisce in particolare alla EBA/GL/2914/12 del dicembre 2014).
Per sua espressa previsione, la PSD 2 non si applica alle operazioni di pagamento da parte di un fornitore di reti o servizi di comunicazione elettronica realizzate in aggiunta a servizi di comunicazione elettronica per un abbonato alla rete o al servizio:
i)per l'acquisto di contenuti digitali e servizi a tecnologia vocale, indipendentemente dal dispositivo utilizzato per l'acquisto o per il consumo dei contenuti digitali e addebitate alla relativa fattura; o
ii) effettuate da o tramite un dispositivo elettronico e addebitate alla relativa fattura nel quadro di un'attività di beneficenza o per l'acquisto di biglietti;
a condizione che il valore di ogni singola operazione di pagamento non superi 50 EUR e:
-il valore complessivo delle operazioni di pagamento non superi, per un singolo abbonato, 300 EUR mensili; o
qualora l'abbonato pre-alimenti il proprio conto presso il fornitore di reti o servizi di comunicazione elettronica, il valore complessivo delle operazioni di pagamento non superi 300 EUR mensili.
Nel quadro dello sviluppo dei servizi online, la PSD 2 individua poi tre nuove figure: l’“account servicing payment service provider”, il “payment initiation service provider” e l’“account information service provider”. Sono inclusi nell’ambito di applicazione della PSD 2, quindi, nuovi servizi e nuovi prestatori di servizi collegati a conti di pagamento ed alla gestione/uso dei relativi dati, mai prima d’ora soggetti alle disposizioni della previgente PSD 1, in quanto non in possesso dei fondi del soggetto pagatore ovvero del soggetto beneficiario (i c.d. “TPP”, i “third party payment service providers”).
Questi “terzi prestatori” offrono servizi di pagamento basati sull’on line banking e consentono nuove operazioni di pagamento elettronico a basso costo on line, per le quali la nuova regolamentazione individua l’esigenza di assicurare dei livelli generali appropriati di sicurezza, tutela dei dati e responsabilità diretta dei soggetti coinvolti. Tali terzi prestatori, al fine di poter offrire servizi di ordine di pagamento, dovranno ottenere l’autorizzazione all’esercizio dell’attività ovvero l’iscrizione nei registri pubblici degli istituti di pagamento autorizzati (artt 10 e 13), e dovranno garantire l’applicazione di norme in materia di autenticazione ai fini del valido compimento di operazioni di pagamento (art. 87). L’esigenza di garantire la interoperabilità dei servizi ed un mercato concorrenziale è chiaramente stabilita dall’art. 29, par. 1, laddove è previsto che, nel quadro della nuova Direttiva, «qualsiasi prestatore di servizi di pagamento operante sul mercato interno sarà in grado di utilizzare i servizi delle infrastrutture tecniche [...]alle medesime condizioni [...]».
Tali operatori dovranno inoltre accedere ai dati del conto bancario, ed in tal senso possono porsi dei temi concorrenziali legati all’uso e condivisione di API (application programming interface), il cui eventuale sbarramento da parte degli istituti (anche legato, ad esempio, ad esigenze legittime di sicurezza o di responsabilità) porrebbe temi di non-replicabilità della risorsa ed eventuale uso dell’essential facility.
In merito alla tutela dei dati di carattere personale e l’obbligo per i prestatori di munirsi di misure di “strong authentication”, deve desumersi che le misure dovranno garantire la tenuta e gestione dei dati anche relativi alla segretezza delle credenziali di autenticazione del cliente, soggetto pagatore. Gli operatori dovranno infine garantire la tracciabilità del valido consenso espresso nelle transazioni (anche, come detto, in forma di autorizzazione anticipata o successiva alla transazione, com’è configurabile con determinati terminali) e la possibilità di revoca dell’ordine, stante il dettato dell’art. 64 della Direttiva, che stabilisce “[…] che un'operazione di pagamento sia considerata autorizzata solo se il pagatore ha prestato il suo consenso ad eseguire l'operazione di pagamento. Un'operazione di pagamento può essere autorizzata dal pagatore prima o, se concordato dal pagatore e dal prestatore di servizi di pagamento, dopo l'esecuzione della stessa […]”. In merito alla revoca “[…] anche il consenso ad eseguire una serie di operazioni di pagamento può essere revocato e qualsiasi operazione di pagamento successiva alla revoca è considerata non autorizzata”.
Tenendo a mente che il consenso ad eseguire un'operazione di pagamento può anche essere prestato tramite il beneficiario o il prestatore di servizi di disposizione di ordine di pagamento, i TPP possono quindi trasformarsi in data stewards, ossia titolari delle credenziali di autorizzazione all’esecuzione delle transazioni per conto dell’utente, il che pone inevitabili interrogativi in merito alla validità dei consensi prestati nel quadro dell’obbligatorietà del binomio autenticazione/autorizzazione al pagamento (il soggetto detentore di handset potrebbe non essere, ad esempio, il legittimo titolare dell’utenza o del conto di appoggio).
Il regime di data stewardship riguarderà quindi la distribuzione di incarichi e responsabilità tra i due soggetti (identificabili genericamente nel trinomio banche/TPP/operatori tlc) coinvolti nelle transazioni, che custodiranno a vario titolo i dati dei comportamenti di acquisto dell’utente e le credenziali di autenticazione al fine di consentirgli le operazioni in rete. In tal senso la PSD 2 impone (art. 72) delle prove di autenticazione ed esecuzione di operazioni di pagamento, stabilendo che “[…] qualora l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita o sostenga che l'operazione di pagamento non è stata correttamente eseguita, spetta al prestatore di servizi di pagamento fornire la prova del fatto che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata, e che non ha subito le conseguenze di guasti tecnici o altri inconvenienti del servizio fornito dal prestatore di servizi di pagamento. Se l'utente di servizi di pagamento nega di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso se del caso il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l'operazione di pagamento sia stata autorizzata dal pagatore né che questi abbia agito in modo fraudolento o non abbia adempiuto, dolosamente o con negligenza grave, a uno o più degli obblighi di cui all'articolo 69.”
Il tema dell’autenticazione investe quindi anche le modalità tecniche di espressione e prova del consenso, e dal nuovo quadro regolamentare potrà derivarne una radicale revisione degli obblighi di evidenza e di riscontro di identità dei soggetti e del consenso da loro eventualmente reso nell’ambito delle operazioni di pagamento (nonché, più in generale, con riferimento al perimetro esatto del “consenso informato” reso, del quale tanto si tratta nei progetti di riforma privacy). E’ anche plausibile che gli API di accesso ai conti possano costituire baluardi concorrenziali, o che i criteri di anonimato in uso presso le criptovalute possano divenire – in particolare se l’eventuale estensione del Blockchain prendesse corpo – un elemento di particolare interesse per gli utenti, stante la parcellizzazione dei dati e la concreta difficoltà, riscontrabile nei servizi FinTech, di corretta identificazione dei soggetti gestori dei dati.
*
[1] Nel caso di Bitcoin i “miners” (minatori) “scavano” tra gli algoritmi alla ricerca dell’identificazione di uno valido capace di generare un “block” da aggiungere alla filiera esistente. L’operazione è svolta da software estremamente potenti e complessi, ed una volta raggiunto lo scopo il “block” costituito dal nuovo algoritmo si aggiunge alla catena preesistente, donde il termine “blockchain”
[2] European Banking Authority: Opinion on virtual currencies, luglio 2014 http://www.eba.europa.eu/documents/10180/657547/EBA-Op-2014-08 e -Banca d’Italia: Comunicazione del 30 gennaio 2015, Valute virtuali, Provvedimenti di carattere generale delle autorità creditizie Sezione II – Banca d’Italia , Bollettino di Vigilanza n. 1, gennaio 2015; Banca d’Italia, Avvertenze sull’uso delle Valute Virtuali; Financial Action Task Force, FATF Report, Virtual currencies, Key Definition and Potential AML?CFT Risks, June 2015 reperibile in http://www.fatf-gafi.org/media/fatf/documents/reports/Virtual-currency-key-definitions-and-potential-aml-cft-ri
[3] Stante il disposto dell’articolo 2, paragrafo 1, lettera c), della direttiva 2006/112/CE del Consiglio del 28 novembre 2006, relativa al sistema comune d’imposta sul valore aggiunto, che individua come prestazioni di servizi effettuate a titolo oneroso le operazioni che consistono nel cambio di valuta tradizionale e viceversa, effettuate a fronte del pagamento di una somma corrispondente al margine del servizio. Tuttavia, sempre secondo tale direttiva, gli Stati membri devono esonerare dall’imposta le operazioni relative «a divise, banconote e monete con valore liberatorio” alle quali di fatto la Corte annovera quindi Bitcoin
[4] Di sostituzione della PSD 1. Il testo definitivo è stato approvato nella sessione plenaria del Parlamento Europeo il 7-8 ottobre 2015, durante la quale sono stati approvati gli emendamenti al testo della Direttiva 2007/64/CE relativa ai servizi di pagamento nel mercato interno
[5] Apple Inc. risulta aver depositato a marzo 2015 una domanda di brevetto per “metodo e sistema di advertising mirato legato alla profilazione dei clienti su dispositivi mobili”. La Società tuttavia nega ufficialmente a tutt’oggi di conoscere i dati dei propri clienti, tanto da non poter dar seguito ad eventuali ordini di esibizione da parte delle Autorità.
[6] La 2002/58/CE
[7] Direttiva EU 2015/849 del 20 maggio 2015
[8] Pari rinvio è effettuato dalla Direttiva sulla firma elettronica, la Direttiva EU 1999/93/EC del Parlamento e del Consiglio del 13 dicembre 1999