Big Data, FinTech e merito creditizio

Alcune novità nei servizi di pagamento dalla Direttiva PSD2

L’argomento Big Data è, a più riprese, studiato e approfondito per l’essenziale contributo che una tale tecnologia può apportare a tutti i settori della scienza o, latamente discorrendo, allo sviluppo sociale.

In particolare, fra gli sbocchi di utilizzo dei Big Data, le banche, gli assicuratori e le società di investimento hanno fatto tesoro dell’aforisma “knowledge is power”[1] implementando l’ICT nella scelta del contraente e nella profilazione dei migliori clienti, nonché utilizzandola analogamente per l’abbattimento dei costi in termini di affinamento dei dati raccolti. Il termine “tecnofinanza”, o più comunemente FinTech[2], ha di fatto semanticamente ricompreso le soluzioni tecnologiche a quesiti di natura prettamente finanziaria, comportando semplificazioni per gli utenti e opportunità per gli stakeholders di settore. Il quadro normativo sempre più stratificato – che fa da cornice allo sviluppo di soluzioni giuridicamente sostenibili – garantisce, per un verso, una tutela più forte per i consumatori e le imprese, i quali si trovano tradizionalmente in una posizione di “soggezione”[3] contrattuale rispetto agli operatori della finanza, ma per altro verso può costituire un freno allo sviluppo dei servizi finanziari qualora eccessivamente rigido e/o ancorato a soluzioni anacronistiche. Il tutto è reso più complicato dalla fondamentale priorità di contemperare l’esigenza di unificazione delle norme europee in materia bancaria e finanziaria con le peculiarità degli ordinamenti nazionali, sia in senso economico che in senso giuridico.

Le norme della Direttiva “PSD2”[4] sui servizi di pagamento introducono numerose novità giacché essa ha dato piena attuazione nell’Unione a modelli di “open banking”, basati sulla condivisione di dati bancari tra i diversi operatori dell’ecosistema finanziario[5]. Siffatti principi centralizzano ancora una volta il ruolo dell’informazione come asset strategico sia per il principio di sana e prudente gestione[6] dell’attività creditizia e incentivano la concorrenza tra operatori bancari e non, in particolare favorendo la nascita di qualificati soggetti operanti nel settore dei servizi di pagamento online.

Tali nuovi attori sono di due tipologie:

• i Payment Initiation Service Providers (PISP), o prestatori di servizi di “disposizione di ordini di pagamento”, che si frappongono tra il pagatore ed il suo conto di pagamento on line, avviando il medesimo a favore di un terzo beneficiario tramite addebito diretto su conto corrente. Tali particolari soggetti gestiscono o amministrano i conti di pagamento online dell’utente, ma non li detengono[7];
• gli Account Information Service Providers (AISP), o prestatori dei servizi di informazione sui conti, che consentono a chi paga di ottenere un’informativa completa su tutti i propri conti di pagamento, anche se tenuti in diverse banche.

Sotto il profilo della tutela dei dati personali dei clienti, la Direttiva PSD2 introduce requisiti di sicurezza a più livelli: regole stringenti per l’autenticazione delle transazioni (strong authentication); requisiti per la gestione dei rischi di sicurezza dei prestatori di servizi di pagamento da valutare sia in fase di autorizzazione che nell’operatività corrente; requisiti specifici per la comunicazione sicura tra gli operatori, inclusi i nuovi prestatori di servizi di accesso ai conti; obblighi di segnalazione degli incidenti e di condivisione delle informazioni tra le autorità. Questo nuovo sviluppo, che apre la disponibilità degli archivi aziendali a un novero potenzialmente ampio di operatori, non può non suscitare preoccupazioni in ordine ai rischi per la sicurezza connessi con l’utilizzo delle credenziali di accesso ai conti bancari. Per gestire tali rischi, come innanzi illustrato, la direttiva definisce un ampio novero di requisiti, applicabili a tutti gli attori del nuovo ecosistema e articolato su quattro cardini: l’autenticazione forte della clientela, la gestione del rischio IT a livello aziendale, il reporting obbligatorio degli incidenti, la comunicazione sicura tra gli operatori sfruttando tecnologie tipiche del mondo internet come le Application Programming Interfaces (API)[8], anche attraverso l’ausilio di soggetti terzi ideatori e sviluppatori delle piattaforme informatiche necessarie per l’implementazione dei servizi di pagamento.

Peraltro, il Regolamento delegato 2018/389 della Commissione Europea del 27 novembre 2017, che integra la Direttiva PSD2 per quanto riguarda le norme tecniche sulla strong authentication del cliente e sugli standard aperti di comunicazione, prevede che tutti i prestatori di servizi di pagamento che detengono conti accessibili online (Account Servicing Payment Service Providers o ASPSP) predispongano, entro il 14 settembre 2019, un’interfaccia di accesso per consentire a terze parti (Third Party Providers o TPP)[9] di svolgere la propria attività. Tale obbligo è volto a garantire un canale sicuro di autenticazione e comunicazione tra l’ASPSP e il TPP e può essere alternativamente soddisfatto attraverso:

1. a) la realizzazione di un’interfaccia online dedicata all’accesso dei TPP;
2. b) l’adattamento di interfacce già disponibili ai clienti per accedere direttamente ai propri conti di pagamento online.

In questo contesto, la versatilità del mobile payment e la dematerializzazione degli strumenti di pagamento consentono alle banche, agli IMEL[10] e agli istituti di pagamento di erogare, anche in forza del potenziamento della rete contactless italiana e dello sviluppo di diverse tecnologie, tra cui l’NFC[11], una molteplicità di servizi FinTech che rendono trasparente ed economico in termini di tempo il trasferimento di somme di denaro[12].

L’analisi dei Big Data per il merito creditizio

I Big Data hanno, potremmo oramai dire tradizionalmente, alcuni specifici sbocchi di utilizzo per implementare il patrimonio informativo di un’impresa, cui non fanno eccezione quelle bancarie, assicurative o finanziarie[13]:

• Sentiment analysis, che consente, sfruttando algoritmi di text analytics, di comprendere i bisogni dell’utenza attraverso l’analisi semantica di commenti o esternazioni effettuate online dalla stessa;
• Customer insight, che permette di profilare il cliente (anche potenziale) a tutto tondo mediante reti neurali o decision trees, così da progettare intere campagne di marketing su specifiche categorie di target;
• Customer segmentation, che consiste nella creazione di cluster nei quali incanalare l’utenza per segmentare l’offerta;
• Next Best Offer, con cui l’algoritmo calcola le abitudini di acquisto degli utenti e ne prevede i bisogni, così da consentire l’attivazione di campagne pubblicitarie al momento opportuno;
• Channel journey, quando ve ne sia la possibilità e cioè a cliente acquisito o comunque quando vi sia multicanalità di informazione, con cui si cerca di carpire le sue esperienze e costituendone un paradigma dettagliato.

I brevemente descritti strumenti dovrebbero essere, invero, utilizzati con particolare cautela e, al di là del formale rispetto della legge, comunicati in termini semplici ai clienti (qualificati e non), per garantire non solo un rapporto fiduciario tra intermediario e utente, ma anche una stabilità della più generale fiducia nel sistema creditizio, sulle cui spalle è riposto il baricentro di un’economia stabile.

L’uso dei Big Data, in particolare, nelle valutazioni – anche e soprattutto di stampo precontrattuale – sul merito creditizio postula due questioni preliminari: la prima afferisce alle modalità di indagine sui dati del cliente con cui si intende costituire un rapporto, la seconda riguarda l’utilizzo di tali informazioni da parte della banca. Quanto al primo profilo, l’intermediario e il gestore dell’eventuale piattaforma online sono tenuti solidalmente a garantire la compliance in materia di protezione dei dati personali, garantendo la sicurezza nel trattamento dei dati[14] con quanto ne consegue in termini di costi e rischi (tecnici e giuridici). Quanto alla seconda questione, è fondamentale soddisfare l’esigenza di un utilizzo corretto, non pregiudizievole e non discriminatorio e trasparente riguardo alle modalità di tale utilizzazione. Il gestore della piattaforma online, sia nel caso dell’online banking che dei servizi di pagamento, dovrebbe dunque attenersi a obblighi informativi volti a garantire la conoscenza preliminare delle tecniche adottate per il reperimento dei dati e dei criteri secondo cui tali dati vengono considerati rilevanti per la valutazione del merito di credito. Il sacrificio in termini economici relativo al rispetto di tali obblighi potrebbe comunque essere superato dai sopra menzionati benefici[15] che la trasparenza è in grado di determinare in termini di fiducia degli utenti e affidabilità dei servizi, paradossalmente anche sul piano concorrenziale.

Per concludere, è opportuno prestare particolare attenzione alle eventuali distorsioni che la tecnologia può creare nei confronti della clientela, generando perfette discriminazioni dettate da scelte algoritmiche mal configurate[16]. In tale prospettiva è auspicabile un’attenzione spasmodica delle istituzioni pubbliche e delle autorità di vigilanza, oltre che un’incentivazione al progresso dettata mediante l’inserimento, nei cronoprogrammi governativi, di misure a salvaguardia dello sviluppo tecno-finanziario sostenibile, soprattutto a favore di coloro che compongono il tessuto imprenditoriale e dei risparmiatori del Paese. Al tempo stesso, occorre uno slancio al taglio dei costi legati al credito e ai pagamenti dematerializzati, anche grazie alla corsa al risparmio dettata dalla digitalizzazione dell’informazione, dall’eliminazione di “costi fisici” da parte delle banche e dalla maggiore trasparenza che caratterizza il rapporto tra i contraenti. Solo in questo modo i Big Data possono realmente rappresentare un punto di svolta per una crescita robusta del sistema economico.

[1] Frase comunemente attribuita a Sir Francis Bacon.

[2] Per una conoscenza più approfondita del settore è utile consultare C. Schena, A. Tanda, C. Arlotta, G. Potenza, Lo sviluppo del FinTech. Opportunità e rischi per l’industria finanziaria nell’era digitale, in CONSOB, Quaderni FinTech, 2018, 1, scaricabile gratuitamente qui:  http://www.consob.it/documents/46180/46181/FinTech_1.pdf/35712ee6-1ae5-4fbc-b4ca-e45b7bf80963#page=15.

[3] In questo contesto il termine “soggezione” è inteso in senso atecnico.

[4] Direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio del 25 novembre 2015 relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010 e abroga la direttiva 2007/64/CE. La “PSD2” è stata recepita in Italia con il d.lgs. n. 218/2017.

[5] R. Menzella, Il ruolo dei Big data e il mobile payment, in F. Maimeri – M. Mancini (cur.), Le nuove frontiere dei servizi bancari e di pagamento fra PSD2, criptovalute e rivoluzione digitale, opera contenuta nei Quaderni di Ricerca Giuridica della consulenza legale pubblicati dalla Banca d’Italia e reperibile su https://www.bancaditalia.it/pubblicazioni/quaderni-giuridici/index.html, 2019, fasc. 87, 153, cit.

[6] Il principio di sana e prudente gestione è positivizzato nell’art. 5 del TUB, d.lgs. 1° settembre 1993, n. 385 e costituisce il cardine dell’attività delle banche, nonché il fulcro dell’attività di vigilanza.

[7] A tal proposito v. F. Porta, Gli obiettivi e gli strumenti della PSD2, in F. Maimeri – M. Mancini (cur.), Le nuove frontiere dei servizi bancari e di pagamento, 32, cit.

[8] Ibidem. Le suindicate misure di protezione dei dati e di notifica delle violazioni vanno, ovviamente, a rafforzare la già implementata tutela dettata dal GDPR in materia di notifiche e comunicazioni in caso di data breach prevista dall’art. 33 del Regolamento (UE) 2016/679.

[9] I TPP sono le due categorie di attori (PISP e AISP) menzionate supra, che in tal modo possono gestire in sicurezza i conti di pagamento precedentemente predisposti.

[10] Istituti di moneta elettronica.

[11] La comunicazione in prossimità, anche chiamata near-field communication (NFC), è una tecnologia di ricetrasmissione che fornisce connettività senza fili bidirezionale e a corto raggio, esistente fin dal 1983 ma implementata da pochi anni per consentire forme di pagamento tramite smartphone.

[12] A titolo esemplificativo il mobile remote payment, che consente, anche da remoto, il pagamento di beni o servizi a mezzo del telefono cellulare attraverso la rete wireless; il mobile commerce, che correda ai tipici servizi e-commerce la possibilità, per chi utilizza lo smartphone, di effettuare attività connesse al procedimento di acquisto (come la selezione, acquisto, confronto prezzi ecc.); mobile money transfer, legato alle predette tecnologie a corto raggio come NFC o bluetooth, che consente di trasferire denaro a parenti o amici o effettuare rimesse a parenti ubicati in Paesi terzi; mobile proximity payment, che consente al cellulare di emulare il pagamento della carta.

[13] In proposito, v. ancora R. Menzella, Il ruolo dei Big data e il mobile payment, in F. Maimeri – M. Mancini (cur.), Le nuove frontiere dei servizi bancari e di pagamento, 155 ss., op. cit.

[14] Gli artt. 24, 25 e 32 del GDPR sono particolarmente stringenti in merito, ma anche il Garante privacy italiano è particolarmente severo in materia finanziaria. A tal uopo si veda, di questo A., Il credit reporting e il credit scoring nell’era del GDPR, in Ius in itinere, consultabile qui: https://www.iusinitinere.it/il-credit-reporting-e-il-credit-scoring-nellera-del-gdpr-16810.

[15] Cfr. E. Prosperetti, Algoritmi dei Big Data: temi regolamentari, responsabilità, concorrenza, in Informazione e big data tra innovazione e concorrenza, a cura di V. Falce, G. Ghidini, G. Olivieri, Milano, 2018.

[16] Si pensi a errori di calcolo degli algoritmi e conseguenti abusive concessioni di credito nei confronti di imprenditori o consumatori insolventi, con un inutile sovraccarico sistemico di NPL e responsabilità delle banche.