La Payment Services Directive 3 (PSD3) rappresenta, insieme al Payment Services Regulation (PSR), il più ambizioso aggiornamento del quadro normativo europeo sui servizi di pagamento dall’adozione della PSD2 nel 2018. Concepita come parte del “Payments Package” della Commissione Europea pubblicato il 28 giugno 2023, la PSD3 mira a modernizzare la disciplina dei pagamenti digitali per allinearla alle dinamiche competitive, tecnologiche e di sicurezza emerse negli ultimi anni.
In questo articolo analizziamo:
-
Le principali novità normative, con particolare attenzione all’integrazione degli EMI (Electronic Money Institutions) nell’ambito PSD3;
-
Le implicazioni pratiche per gli operatori (banche, fintech, PISP, AISP, wallet provider);
-
Lo status aggiornato della proposta normativa e la possibile timeline di attuazione.
La PSD3 si colloca tra le iniziative normative più ambiziose dell’Unione europea in materia finanziaria degli ultimi anni. Non è soltanto la naturale evoluzione della PSD2, né un semplice aggiustamento tecnico volto a correggerne le inefficienze applicative. Al contrario, la PSD3 rappresenta un vero e proprio tentativo di rifondazione del diritto europeo dei pagamenti, chiamato a rispondere a un mercato profondamente trasformato dalla digitalizzazione, dalla crescita dell’ecosistema fintech e dalla progressiva convergenza tra servizi di pagamento e moneta elettronica.
La proposta della Commissione europea, presentata nel giugno 2023 all’interno del più ampio “Payments Package”, nasce dalla consapevolezza che il quadro normativo vigente non è più adeguato a governare un settore caratterizzato da modelli di business sempre più complessi, da operatori non bancari di dimensione sistemica e da aspettative crescenti in termini di sicurezza, rapidità e interoperabilità dei pagamenti. In questo contesto, la PSD3 non si limita a intervenire su singoli aspetti, ma ridefinisce le categorie giuridiche di riferimento, le condizioni di accesso al mercato e il rapporto tra innovazione e regolazione.
Per comprendere appieno la portata della riforma è necessario partire dai limiti strutturali della PSD2. Quest’ultima ha indubbiamente segnato una svolta, aprendo i conti bancari all’accesso di terze parti e favorendo la nascita dell’open banking europeo. Tuttavia, l’esperienza applicativa ha mostrato come l’apertura del mercato non sia stata accompagnata da un’armonizzazione sufficiente delle regole tecniche e operative. Le API hanno funzionato in modo disomogeneo, la Strong Customer Authentication ha spesso generato frizioni per gli utenti e, soprattutto, è rimasta irrisolta la frattura normativa tra istituti di pagamento e istituti di moneta elettronica.
Proprio questa frattura costituisce il punto di partenza concettuale della PSD3. Per oltre un decennio, il legislatore europeo ha mantenuto due regimi distinti: da un lato la disciplina dei servizi di pagamento, oggi contenuta nella PSD2, dall’altro quella della moneta elettronica, regolata dalla Electronic Money Directive 2. Tale distinzione, fondata su presupposti storici e teorici, è stata progressivamente svuotata di significato dall’evoluzione del mercato. Nella pratica, molti operatori offrono servizi che combinano emissione di moneta elettronica, conti di pagamento, strumenti di pagamento e servizi accessori all’interno di un’unica piattaforma tecnologica. Continuare a sottoporli a regimi giuridici differenti ha prodotto complessità regolatorie, incertezze interpretative e, in alcuni casi, distorsioni concorrenziali.
La PSD3 prende atto di questa realtà e compie una scelta netta: abroga sia la PSD2 sia la EMD2 e le rifonde in un unico quadro normativo. Il risultato è una disciplina unitaria dei prestatori di servizi di pagamento, nella quale confluiscono anche gli istituti di moneta elettronica. Non si tratta di una mera semplificazione formale, ma di un cambio di paradigma. La moneta elettronica viene definitivamente ricondotta all’interno del più ampio ecosistema dei pagamenti digitali, superando una separazione che non riflette più il funzionamento effettivo del mercato.
Questo passaggio ha conseguenze rilevanti sul piano delle autorizzazioni. Uno degli aspetti più delicati della PSD3 riguarda infatti il destino delle licenze già rilasciate sotto la PSD2 o la EMD2. È importante chiarire un punto fondamentale: la nuova direttiva non prevede una decadenza automatica delle autorizzazioni esistenti, ma nemmeno una loro conversione automatica nel nuovo regime. Poiché la base giuridica delle licenze attuali viene meno con l’abrogazione delle direttive vigenti, il legislatore europeo ha previsto un meccanismo di transizione che consente agli operatori già autorizzati di continuare a operare per un periodo limitato, a condizione che intraprendano un percorso di adeguamento verso il nuovo quadro PSD3.
In termini concreti, ciò significa che le società oggi autorizzate come payment institutions o come electronic money institutions dovranno necessariamente interagire con la propria autorità nazionale competente. Non si tratterà, nella maggior parte dei casi, di una nuova domanda di autorizzazione ex novo, ma di un processo di ri-autorizzazione o di variazione sostanziale della licenza, finalizzato a verificare la conformità ai nuovi requisiti introdotti dalla PSD3. Sarà quindi richiesto un intervento attivo da parte degli operatori, accompagnato dalla presentazione di documentazione aggiornata in materia di capitale, governance, salvaguardia dei fondi, gestione dei rischi e piani di uscita ordinata dal mercato.
Questo meccanismo di “grandfathering” riflette un equilibrio delicato. Da un lato, evita una discontinuità sistemica che avrebbe potuto paralizzare il mercato dei pagamenti; dall’altro, consente ai supervisori nazionali di riesaminare il posizionamento regolatorio degli operatori alla luce di un perimetro normativo profondamente mutato. In prospettiva, la PSD3 rafforza così il ruolo delle autorità di vigilanza, chiamate a esercitare un controllo più omogeneo e sostanziale su un insieme di soggetti che, pur non essendo banche, svolgono funzioni sempre più centrali nell’infrastruttura finanziaria europea.
Accanto alla riforma delle licenze, la PSD3 interviene su altri snodi cruciali. Il tema della sicurezza occupa un ruolo centrale, anche alla luce dell’aumento delle frodi digitali e delle sofisticate tecniche di manipolazione degli utenti. La nuova disciplina mira a rendere la Strong Customer Authentication più efficace e proporzionata, riducendo le ambiguità interpretative emerse sotto la PSD2 e promuovendo soluzioni tecnologiche più resilienti. L’obiettivo non è tanto irrigidire ulteriormente il sistema, quanto migliorarne la qualità complessiva, rafforzando la cooperazione tra prestatori di servizi di pagamento e introducendo obblighi più chiari in materia di prevenzione e gestione delle frodi.
Un ulteriore elemento di discontinuità riguarda l’open banking. La PSD3 conferma l’impianto di apertura del mercato, ma ne corregge le debolezze. L’esperienza degli ultimi anni ha mostrato che l’accesso ai dati, in assenza di standard tecnici minimi e di meccanismi di responsabilizzazione, rischia di restare incompleto o inefficiente. La nuova direttiva punta quindi a rafforzare l’affidabilità delle interfacce, a garantire una maggiore continuità del servizio e a restituire al cliente un controllo più consapevole sulle autorizzazioni concesse alle terze parti.
Di particolare rilievo è anche il tema dell’accesso alle infrastrutture di pagamento. La PSD3, in coordinamento con il Payment Services Regulation, affronta una delle criticità storiche del mercato europeo: la difficoltà per i prestatori non bancari di accedere ai sistemi di clearing e settlement a condizioni eque. L’intento è quello di ridurre le asimmetrie tra banche e non-banche, favorendo un contesto competitivo più aperto e coerente con la realtà di un mercato dei pagamenti sempre più disintermediato.
Dal punto di vista dei consumatori, la riforma promette maggiore trasparenza, una disciplina più chiara delle responsabilità in caso di operazioni non autorizzate e una tutela rafforzata contro le frodi. In un ecosistema in cui i pagamenti digitali sono diventati parte integrante della vita quotidiana, la fiducia dell’utente finale assume una valenza sistemica, e la PSD3 sembra volerla collocare al centro del nuovo assetto normativo.
Per quanto riguarda lo stato dell’iter legislativo, la PSD3 si trova attualmente nella fase dei negoziati interistituzionali tra Parlamento europeo, Consiglio e Commissione. Dopo la presentazione della proposta nel giugno 2023, le istituzioni hanno elaborato le rispettive posizioni e avviato i triloghi. Le previsioni più accreditate indicano la possibilità di un accordo politico nel corso del 2026. Trattandosi di una direttiva, una volta adottata formalmente sarà necessaria una fase di recepimento da parte degli Stati membri, che potrebbe estendersi fino al 2028. È in questo arco temporale che si inserirà il periodo transitorio per l’adeguamento delle licenze esistenti.
In conclusione, la PSD3 non è semplicemente una nuova direttiva sui pagamenti. È il tentativo di costruire una piattaforma normativa più coerente, capace di accompagnare l’evoluzione tecnologica senza rinunciare alla stabilità e alla tutela degli utenti. L’integrazione tra servizi di pagamento e moneta elettronica, la riforma delle licenze, il rafforzamento della sicurezza e la promozione di una concorrenza più equa delineano un cambio di passo significativo. La sfida, ora, sarà trasformare questa ambizione normativa in un’applicazione concreta e armonizzata, evitando che la complessità della transizione finisca per rallentare proprio quell’innovazione che la PSD3 intende favorire.
