PSD3 spiegata: principali cambiamenti per i pagamenti e l’open banking nell’UE
Nell'UE, ogni anno vengono movimentati circa 240 trilioni di euro di pagamenti elettronici. Le norme che li regolano sono in fase di revisione.
La PSD3, la Terza Direttiva sui Servizi di Pagamento, sostituisce completamente la PSD2. Non si limita ad aggiornare le vecchie norme, ma integra la direttiva con un Regolamento sui Servizi di Pagamento (PSR) direttamente applicabile, eliminando le differenze nazionali che rendevano la PSD2 incoerente nei mercati dell'UE. Le principali novità includono una maggiore protezione dalle frodi, API di open banking standardizzate e una regolamentazione esplicita dei token di moneta elettronica e dei servizi di pagamento in criptovalute.
Un accordo politico provvisorio è stato raggiunto nel novembre 2025. La pubblicazione nella Gazzetta ufficiale dell'UE è prevista per il secondo trimestre del 2026. La piena entrata in vigore è prevista intorno al 2028. Il lasso di tempo tra queste date è importante: il Regolamento politico provvisorio si applica 20 giorni dopo la pubblicazione, ben prima che gli Stati membri completino il recepimento della direttiva nel diritto nazionale.
Cos'è PSD3?
Dal 2007 l'UE gestisce il proprio mercato dei pagamenti tramite direttive. La PSD1 ha stabilito il quadro normativo di base. La PSD2, introdotta nel 2015, ha aggiunto una forte autenticazione del cliente e l'accesso di terze parti tramite l'open banking. La PSD3 rappresenta la terza generazione e costituisce un cambiamento strutturale ben più radicale rispetto alle precedenti.
A differenza delle sue predecessore, la PSD3 non è un'entità isolata. È accompagnata da un Regolamento sui Servizi di Pagamento (PSR) che si applica direttamente in tutti gli Stati membri dell'UE, senza necessità di recepimento a livello nazionale. Con la PSD2, Germania e Francia avevano implementato la stessa direttiva in modo differente. Una fintech doveva comprendere ciascun mercato singolarmente. Con il PSR, queste differenze vengono meno: le norme di condotta sono identiche ovunque.
Altre due modifiche rivestono importanza a livello strutturale:
- La Direttiva sulla moneta elettronica (EMD2), che disciplinava separatamente gli istituti di moneta elettronica, confluisce nella PSD3. Gli istituti di moneta elettronica diventano una sottocategoria degli istituti di pagamento nell'ambito di un unico quadro normativo.
- I token di moneta elettronica, ovvero le stablecoin crittografiche utilizzate per i pagamenti, rientrano per la prima volta nella regolamentazione dei servizi di pagamento dell'UE.
PSD3 vs PSD2: cosa è cambiato?
Sei aree hanno subito aggiornamenti sostanziali tra la PSD2 e la PSD3:
| Zona | PSD2 | PSD3 |
|---|---|---|
| Strumento giuridico | Direttiva (recepimento nazionale) | Direttiva + PSR (regolamento uniforme dell'UE) |
| quadro EMI | Direttiva EMD2 separata | Integrato nel quadro degli istituti di pagamento |
| Requisiti SCA | Categorie di fattori rigorosi | Principio di indipendenza; maggiore flessibilità |
| API di open banking | Formati volontari, incoerenti | Specifiche standardizzate, obbligo di segnalazione |
| responsabilità per frode APP | Il cliente si assume il rischio maggiore | PSP è responsabile a meno che non venga dimostrata colpa grave. |
| Token di criptovaluta/moneta elettronica | Non coperto | Esplicitamente incluso nell'ambito di applicazione del PSR |
Il passaggio da un sistema basato esclusivamente su direttive a uno che combina direttive e regolamenti è più importante di quanto sembri. Una fintech operante in Germania, Francia e Paesi Bassi si trovava in precedenza a dover gestire tre diverse versioni della stessa legge. Con la PSD3/PSR, le norme di condotta sono identiche in tutti gli Stati membri.
Verifica dell'IBAN e responsabilità per frode relativa all'APP
Due delle disposizioni commercialmente più significative della PSD3 prendono di mira le frodi, in particolare le frodi tramite pagamenti autorizzati (Authorized Push Payment, APP), in cui i clienti vengono manipolati per inviare volontariamente fondi a un conto criminale.
Il primo meccanismo prevede la verifica della corrispondenza tra il nome del beneficiario e il suo IBAN . I fornitori di servizi di pagamento devono verificare che il nome del beneficiario corrisponda al suo IBAN prima che un bonifico venga eseguito. La verifica deve essere completata in pochi secondi ed è gratuita per i consumatori. Questo sistema ricalca il sistema britannico di Conferma del Beneficiario (CoP), che ha ridotto significativamente le frodi APP dopo la sua introduzione nel 2020. Il requisito entrerà in vigore 24 mesi dopo l'entrata in vigore della PSD3, prevista intorno al 2028.
Il secondo meccanismo riguarda il trasferimento della responsabilità . Ai sensi della PSD2, l'onere della prova nei casi di frode relativi alle APP ricadeva in genere sulle vittime, che dovevano dimostrare di non aver dato il proprio consenso. La PSD3 inverte questa situazione:
- Il cliente segnala una transazione non autorizzata o indotta fraudolentemente
- PSP ha 14 giorni lavorativi per elaborare la richiesta di rimborso.
- PSP deve rimborsare l'intero importo a meno che non possa dimostrare che il cliente ha agito in modo fraudolento o con grave negligenza.
- I fornitori di servizi di pagamento (PSP) che non implementano controlli antifrode adeguati, inclusa la verifica dell'IBAN, si assumono la responsabilità inadempiente per le perdite
- Casi di manipolazione da parte del pagatore: se il PSP non ha notificato una discrepanza tra nome e IBAN, è tenuto a subire la perdita indipendentemente da altri fattori.
Gli istituti che hanno ignorato l'intento esplicito della PSD2 in materia di responsabilità per frode ora si trovano ad affrontare un'esposizione finanziaria obbligatoria. Non si tratta solo di un obbligo di conformità, ma di un incentivo diretto a investire in infrastrutture antifrode.
Open Banking e standard API
Le ambizioni di open banking della PSD2 si sono scontrate con un ostacolo pratico: le banche hanno implementato le API a modo loro. I fornitori di terze parti (TPP), ovvero le fintech che sviluppano soluzioni basate sui dati bancari, si sono trovati di fronte a decine di implementazioni incompatibili nei vari mercati dell'UE. Una fintech francese che accedeva ai dati di una banca tedesca utilizzava un'interfaccia completamente diversa da quella impiegata in Spagna.
La PSD3 risolve questo problema con la standardizzazione obbligatoria:
- I fornitori di servizi di pagamento per la gestione dei conti (ASPSP) devono offrire interfacce dedicate conformi alle specifiche standardizzate dell'UE.
- Le banche devono pubblicare rapporti trimestrali sulle prestazioni relative a disponibilità, latenza e tassi di errore delle API.
- Se l'API principale non è disponibile, i TPP ottengono l'accesso di riserva all'interfaccia clienti standard della banca.
- Le dashboard per la gestione del consenso dei clienti diventano obbligatorie: gli utenti possono visualizzare quali terze parti hanno accesso ai loro account e revocare l'autorizzazione in tempo reale.
- Le interfacce dedicate devono essere sufficientemente affidabili da eliminare lo "screen scraping" come metodo di ripiego.
Per le banche, ciò significa una reale responsabilità per la qualità delle API, che in precedenza era volontaria e ampiamente ignorata. Per le fintech, significa un accesso coerente e verificabile in tutti i mercati dell'UE.
Autenticazione forte del cliente ai sensi della PSD3
Le norme sulla forte autenticazione del cliente (SCA) della PSD2 richiedevano due fattori di autenticazione tratti da almeno due categorie distinte: qualcosa che si conosce (PIN, password), qualcosa che si possiede (dispositivo, carta) o qualcosa che si è (dati biometrici). La PSD3 mantiene il requisito dei due fattori, ma elimina la regola delle categorie.
Il nuovo standard è "indipendenza", non separazione delle categorie. Due fattori sono conformi a condizione che la compromissione di uno non comprometta automaticamente l'altro. Si tratta di un vero e proprio vantaggio in termini di design per i fornitori di servizi di pagamento, che sono stati costretti ad adottare un'esperienza utente scomoda per soddisfare una regola di categoria che non aggiungeva molta sicurezza effettiva.
Le transazioni avviate dal commerciante sono quelle che subiscono i cambiamenti più significativi. Con la PSD2, gli addebiti ricorrenti successivi alla configurazione iniziale dell'autenticazione forte del cliente (SCA) si trovavano in una zona grigia: le norme non erano state concepite per la fatturazione in abbonamento. La PSD3 risolve questo problema: l'autenticazione forte del cliente al momento della creazione del mandato copre l'intero rapporto commerciale. Gli addebiti automatici successivi non richiedono una nuova autenticazione.
Anche la tokenizzazione viene chiarita. L'autenticazione forte del cliente (SCA) ora si attiva solo quando il titolare della carta partecipa attivamente alla creazione di un token. Una volta creato il token, le transazioni effettuate tramite esso non richiedono una nuova autenticazione per ogni addebito.
Il collegamento dinamico è un retaggio della PSD2: il codice di autenticazione è ancora legato allo specifico importo della transazione e al beneficiario. Inoltre, il PSR fornisce indicazioni più chiare sulle esenzioni SCA, il che dovrebbe ridurre le variazioni tra i diversi mercati nell'applicazione delle esenzioni ai sensi della sola direttiva.
PSD3, pagamenti in criptovalute e token di moneta elettronica
La maggior parte delle guide sulla PSD3 omette completamente questa sezione, oppure la tratta in una sola frase. Il legame tra PSD3 e criptovalute è strutturale, non marginale: riguarda qualsiasi attività commerciale che elabori pagamenti in criptovalute nell'UE.
Il punto di ingresso sono i token di moneta elettronica. In base al MiCA, il regolamento UE sulle criptovalute entrato in vigore nel 2024, le stablecoin ancorate a una singola valuta fiat sono classificate come token di moneta elettronica quando utilizzate per scopi di pagamento. L'USDC, ad esempio, veniva utilizzato per saldare una fattura denominata in euro. La PSD3 integra direttamente questi token nel quadro dei servizi di pagamento.
Il quadro normativo per un fornitore di servizi di pagamento in criptovalute nell'UE:
| Tipo di entità | Si applica la normativa |
|---|---|
| Istituto di pagamento tradizionale | PSD3 + PSR |
| Istituto di moneta elettronica | PSD3 (framework unificato EMD2) |
| PSP crittografico tramite token di moneta elettronica | MiCA + PSD3/PSR (applicazione semplificata) |
| Fornitore BNPL | PSD3 + norme sull'adeguatezza patrimoniale |
| Fornitore di portafogli di criptovalute | Framework per portafogli digitali PSD3 |
La questione della doppia regolamentazione è l'aspetto in cui la maggior parte dei team di compliance sottovaluta la complessità. Un fornitore di servizi di criptovalute (CASP) autorizzato da MiCA che emette token di moneta elettronica non necessita automaticamente di un'autorizzazione PSD3 separata. Tuttavia, se fornisce anche servizi di pagamento (invio, ricezione, elaborazione), si applica una procedura di richiesta PSD3 semplificata. I due regimi non si escludono a vicenda per impostazione predefinita.
Il "Buy Now Pay Later" (BNPL) è un'altra categoria recentemente inclusa. I fornitori che operavano in una zona grigia dal punto di vista normativo nei mercati dell'UE ora devono rispettare requisiti formali di autorizzazione per gli istituti di pagamento e norme di adeguatezza patrimoniale. Il costo della conformità per il settore aumenta in modo significativo.
Per le aziende che sviluppano infrastrutture per i pagamenti in criptovalute, Plisio rappresenta un esempio di gateway di pagamento in criptovalute in grado di muoversi agevolmente in questo contesto normativo, consentendo ai commercianti di accettare criptovalute man mano che il quadro normativo europeo in materia di pagamenti si evolve con l'introduzione della PSD3 e del MiCA.
A chi si applica la PSD3?
La PSD3 e il PSR si applicano a qualsiasi entità che fornisca servizi di pagamento all'interno dell'UE, indipendentemente dal luogo di costituzione. Ambito di applicazione:
- Istituti di credito (banche) che forniscono servizi di pagamento
- Istituti di pagamento : prestatori di servizi di pagamento non bancari, tra cui fintech, neobanche e operatori di trasferimento di denaro.
- Gli istituti di moneta elettronica sono ora integrati nel quadro degli istituti di pagamento.
- Fornitori di servizi BNPL (Buy Now Pay Later) — recentemente inclusi nell'ambito di applicazione, soggetti ad autorizzazione e requisiti patrimoniali
- Fornitori di servizi di criptovalute che offrono servizi di pagamento: doppia regolamentazione ai sensi di MiCA e PSD3.
- Fornitori terzi (TPP): fornitori di servizi di informazione sui conti (AISP) e fornitori di servizi di avvio dei pagamenti (PISP)
Le piattaforme e i marketplace si trovano ad affrontare i cambiamenti più radicali. Ai sensi della PSD2, molti evitavano l'autorizzazione per i servizi di pagamento avvalendosi dell'"esenzione per gli agenti commerciali", sostenendo di agire come agenti sia per l'acquirente che per il venditore, anziché come processori di pagamento. La PSD3 inasprisce drasticamente tale esenzione. La maggior parte delle piattaforme che ne fanno affidamento dovranno ottenere l'autorizzazione formale da parte di un PSP (Payment Service Provider), soddisfare requisiti patrimoniali e sottoporsi a una supervisione normativa continua: un cambiamento operativo significativo per le aziende marketplace che hanno costruito la propria infrastruttura attorno a tale esenzione.
Entità con sede nel Regno Unito: la PSD3 è una normativa valida solo nell'UE. Dopo la Brexit, il Regno Unito gestisce il proprio quadro normativo FCA. La normativa britannica sul BNPL (Buy Now Pay Later, acquisto senza pagamento alla consegna) (FCA in vigore da luglio 2026) e il sistema di conferma del beneficiario seguono una direzione simile, ma le aziende che operano in entrambe le giurisdizioni devono affrontare percorsi di conformità completamente separati.
Tempistiche della PSD3: quando entrerà in vigore?
La PSD3 viene implementata in fasi, non con un unico passaggio:
- 28 giugno 2023 — La Commissione europea ha pubblicato le proposte relative alla PSD3 e al PSR.
- 27 novembre 2025 — Accordo politico provvisorio raggiunto tra Parlamento europeo e Consiglio
- Secondo trimestre 2026 (stimato) — Pubblicazione nella Gazzetta ufficiale dell'UE; il Regolamento sugli standard di protezione delle informazioni (PSR) entra in vigore 20 giorni dopo.
- 18 mesi dopo l'entrata in vigore : termine ultimo per gli Stati membri per recepire la direttiva PSD3 nel diritto nazionale.
- 24 mesi dopo l'entrata in vigore — la verifica dell'IBAN/nome del beneficiario diventa obbligatoria (~2028)
- 24-30 mesi dopo l'ingresso — Le autorizzazioni PSD2 esistenti rimangono valide; è possibile un'estensione a 30 mesi.
- Secondo-terzo trimestre 2028 (stimato) — Piena applicazione della PSD3/PSR; PSD2 e EMD2 completamente sostituite
Il periodo di recepimento di 18 mesi non è un periodo di attesa. Le norme di condotta del PSR si applicano in tutta l'UE a partire dal ventesimo giorno dalla pubblicazione. L'analisi delle lacune rispetto al PSR, che riguarda l'implementazione dell'SCA, i controlli antifrode, l'infrastruttura API e le licenze di criptovalute ai sensi delle norme di coordinamento MiCA, dovrebbe essere in corso.
