L’open banking, intesa come la pratica delle banche di condividere dati e informazioni finanziarie (previo consenso) dei clienti con società esterne, le cosiddette terze parti (TPP, fornitore di servizi presso il quale l’utente detiene il proprio conto o servizio di pagamento attraverso le API) è tra i fenomeni più rivoluzionari nel settore bancario. Per rendere il concetto estremamente chiaro, è come se al ristorante il cliente ordinasse dal menù, ma avesse bisogno di un tramite, in questo caso il cameriere, per ottenere il piatto desiderato. L’API in questo caso è il cameriere.
L’Open Banking ridefinisce il modo di fare banca, sfida la modalità con cui le banche si interfacciano con i loro clienti e cambia il modo in cui competono tra loro in quanto non detengono più la piena proprietà dei dati ma l’obbligatorietà di condividerli in seguito all’approvazione della PSD2.
Il valore più grande dell’open banking quindi risiede nei dati finanziari dei clienti. Perché apre alle società finanziarie strumenti di conoscenza ulteriori rispetto al passato, consentendo di proporre servizi personalizzati, molti dei quali ad alto valore aggiunto.
Open banking e trattamento dei dati sono quindi strettamente connessi: non soltanto per la mole ingente di dati personali, identificativi e soprattutto di natura sensibile, che si possono desumere dall’accesso indiscriminato ai dati bancari dei diretti interessati e di eventuali terzi beneficiari (si pensi, ad esempio, a ricorrenti pagamenti o donazioni a partititi politici o sindacati, ad abbonamenti a riviste di stampo religioso o ancora al dettaglio dei bonifici per visite mediche specialistiche) ma anche per il rischio che tali informazioni possano essere oggetto di successive elaborazioni, basate su decisioni automatizzate e quindi potenzialmente rientranti nell’ambito di applicazione del GDPR.
Il rapporto tra GDPR e PSD2, nel settore bancario, evidenzia come le esigenze di favorire il mercato digitale e rafforzare la protezione dei dati personali non sempre coincidono e, in molti casi, finiscono addirittura per entrare in conflitto. Due tendenze opposte polarizzano due finalità diverse: mentre la PSD2 spinge il sistema bancario verso la cosiddetta Open Banking, garantendo quindi maggiore flessibilità all’ingresso per i nuovi operatori e maggiore facilità di accesso ai dati dei clienti, il GDPR rafforza, in tutti i settori, compreso quello bancario, la tutela dei dati personali e le garanzie volte a consentire la condivisione e il trasferimento di tali dati solo a certe condizioni.
Non ottemperare al Gdpr può arrecare un danno economico devastante per aziende di ogni dimensione. Basti pensare che le sanzioni in caso di inadempienze per le aziende private possono arrivare fino a 20 milioni di euro o al 4% del fatturato a livello globale (si sceglie la stima più onerosa). Bisogna poi aggiungere le sanzioni penali (in Italia, fino a cinque anni di reclusione) e risarcimenti eventuali richiesti dalle vittime delle violazioni, se reputano di aver subito danni di qualsiasi natura (economici e non solo). Il Gdpr è molto più di un listino di multe, è un quadro che ha ridisegnato l’impianto della riservatezza europea, partendo dal modo in cui si deve strutturare un’azienda fino alla tempestività e alla trasparenza con cui l’impresa deve comunicare un’eventuale violazione. Orientarsi non è semplice e spesso servono degli strumenti che possano fare da guida
Ma nell’open banking esiste qualcuno che può vigilare e garantire efficacemente prima la verifica e poi il trasferimento dei dati personali dei consumatori?
La risposta è sì. Un nuovo segmento del Fintech ci viene in soccorso: il RegTech.
Cos’è il RegTech?
Il Regtech è un segmento del Fintech che mira ad utilizzare la tecnologia messa a disposizione dalla trasformazione digitale per rendere più ordinato ed efficiente il comparto compliance dell’azienda ovvero aiutare le aziende ad automatizzare le più ripetitive task di compliance e a ridurre i rischi operativi associati agli obblighi relativi al soddisfacimento dei requisiti di compliance e all’attività di reporting.
In generale si può dire che il RegTech rappresenta una risorsa notevole per convertire la compliance da comparto costoso dell’organizzazione aziendale a una leva per far crescere il proprio business. A dare il via a questo nuovo mondo sono state le richieste di informazioni e di adeguamento normativo che arrivavano dalla Bce e dagli altri regolatori locali. Il trend è in forte crescita, tanto che, secondo Deloitte, entro il 2023 sono previsti 6 miliardi di dollari di investimenti a livello globale in questo particolare ambito (+18,45% nel 2019).
Il range di applicazioni del Regtech è molto ampio: policy, gestione degli aggiornamenti normativi, reportistica, elaborazione e sfruttamento delle informazioni aziendali. L’aspetto più qualificante riguarda la tendenza a utilizzare l’innovazione non più solo in una logica passiva di rispetto delle regole ma in una prospettiva attiva di sfruttamento del sistema normativo per sviluppare la capacità competitiva, specie attraverso l’aumento di efficienza dell’infrastruttura organizzativa.
Tra le potenzialità del RegTech non si sperimenta solo un’occasione per ridurre i costi di reporting e un’opportunità di crescita per tutte quelle start-up e FinTech, il cui core business risiede nella semplificazione e nell’automatizzazione dei processi di adeguamento ai requisiti normativi ma nel contempo concede ai regolatori anche una concreta occasione di intraprendere delle pratiche di vigilanza real time volte a facilitare un’ individuazione ex ante dei rischi sistemici (ovvero il rischio che dipende da fattori che influiscono sull’andamento generale del mercato e che non può essere eliminato o ridotto.
L’automatizzazione di questi processi può arrecare benefici a tutto il sistema economico: digitalizzare le procedure di compliance e di reporting significa infatti ridurre i costi di gestione e quindi aumentare il livello degli investimenti in altri segmenti della catena del valore dell’attività finanziaria, quale, ad esempio, quello dell’innovazione delle modalità di prestazione dei servizi, il che comporterebbe a sua volta una maggiorazione del livello di competitività, a diretto vantaggio del benessere sociale dei consumatori.
La protezione e la sicurezza dei dati personali è pertanto un tema cruciale per garantire la qualità del servizio e per avvalorare la fiducia degli utenti intenzionati ad utilizzare tali nuovi meccanismi di gestione del proprio conto. Spesso sono le start-up che si occupano di ampliare questo settore del tutto emergente nel nostro Paese e che sperimentano le nuove tecnologie come l’Intelligenza Artificiale, i big data e lo sviluppo di applicazioni.
Non a caso, il numero di start-up dedicate a questa sorta di compliance 2.0 sono sempre di più e offrono servizi sempre più specifici e sofisticati. Tra le RegTech che si sono sapute distinguere nel comparto, con sede in UK ed operativa anche in Italia troviamo Konsentus la RegTech che fornisce servizi di verifica dell’identità mediante controllo della regolamentazione al fine di proteggere i consumatori e istituti finanziari dal rischio di frodi nell’ambito dell’Open Banking e Open Finance aiutando l’ecosistema bancario a gestire il rischio e prevenire le frodi proteggendo i dati degli utenti di servizi di pagamento tramite il controllo, in tempo reale, dell’identità e dello status normativo assicurando che solo fornitori terzi (TPP) legittimi possano accedere alle informazioni relative ai conti e ai servizi di disposizione di pagamento.
Le RegTech aiutano le Istituzioni Finanziarie ad essere aperte e sicure quando Fornitori Terzi (TPP) richiedono l’accesso ai conti dei clienti per disporre pagamenti o accedere ai dati tramite API. Da ricerche svolte da Konsentus emerge che sul mercato italiano si quantificano 91,4 milioni di “chiamate” API sul canale Open Banking ogni mese; questo significa che una banca con un market share del 10% deve gestire più di 9 milioni di transazioni ogni mese, ognuna delle quali richiede la rapida identificazione del chiamante e l’efficace convalida delle attività consentite e della legittimità delle richieste.
In che modo le RegTech assistono le banche a proteggere i nostri dati?
Attraverso un processo diviso in tre step: il primo fondamentale step è la Validazione la quale consiste nell’identificazione dei fornitori terzi (TPP) e validare la loro identità in tempo reale. Più del 53% delle terze parti (TPP) operative stanno sviluppando soluzioni mirate a soddisfare le esigenze di mercato esercitando i loro diritti di libero scambio grazie all’UE e operano sempre più frequentemente in più stati membri mediante licenze.
Dalle analisi svolte da Konsentus, nel caso specifico italiano il numero di TPP nazionali registrati sono solo 11, ma altre 88 organizzazioni prettamente fintech sono registrate per esercitare i loro servizi in Italia mediante passporting (ovvero il diritto di una società registrata nello Spazio economico europeo di condurre il proprio business in qualsiasi altro Stato europeo senza necessità di ulteriori autorizzazioni in ogni singolo Paese) da tutta Europa. Questo significa 7 volte tanto il numero di entità registrate con la Banca d’Italia. Per rendere il concetto più chiaro, ipotizzando un caso di frode dello 0,25%, l’esposizione sarebbe di oltre 12 milioni di euro all’anno sulle sole transazioni non domestiche e delle quali quindi non si potrebbero avere informazioni.
Le soluzioni in essere basate esclusivamente sulla verifica di certificati digitali autorizzati che utilizzano controlli manuali o che fanno affidamento sui dati dell’EBA (Autorità bancaria europea) la quale fornisce registri centralizzati, di cui però non è responsabile, il loro aggiornamento risulta ad oggi incompleto e inaccurato per poter verificare l’identità del chiamante e prevenire accessi illegittimi. Infatti, i certificati eIDAS (certificati digitali contenenti le credenziali per richiedere servizi nel canale API del mercato europeo) contengono informazioni statiche che garantiscono l’accesso ma non contengono informazioni sui servizi consentiti per il passporting e il 30% di essi operano a livello Europeo proprio mediante questa tecnica con diritti di operare in ogni stato membro rispetto al loro mercato nazionale.
Il secondo step consiste nel Verificare che i Fornitori Terzi siano autorizzati a fornire i servizi che stanno richiedendo. Ma perché è così importante che la verifica avvenga in tempo reale? Le analisi di Konsentus ci mostrano che ai TPP a cui è stata revocata la licenza di operare nel gennaio 2021 sono ancora presenti nei registri EBA dopo oltre sei mesi dalla revoca e potrebbero oltretutto effettuare richieste di servizi anche ora visto che i sistemi di controllo si avvalgono solamente del criterio di una validazione formale del certificato digitale presentato.
Le ReghTech sono invece in grado di verificare se un certificato è stato revocato, se ha una firma valida e identificare eventuali incongruenze o mancate corrispondenze dei dati che identificano un fornitore esterno fornendo alle Istituzioni Finanziarie e ai loro intermediari le informazioni normative più recenti disponibili, permettendogli di prendere decisioni in tempo reale migliori e di proteggere i dati dei propri clienti.
Il terzo ed ultimo step si basa sulla Registrazione inalterabile di tutti gli accessi API che transitano da e verso il cliente, necessarie alle Istituzioni Finanziarie per risolvere eventuali controversie o frodi derivanti dai dati che hanno condiviso di cui sono responsabili.
A quanto ammonta il totale di rischio di esposizione in Italia sull’impatto di una violazione di dati per i vari soggetti coinvolti?
Sempre secondo Konsentus il totale risulta essere di 2,1 milioni di euro annui. Ma in gioco non ci sono solo perdite economiche immediate, c’è molto di più: la reputazione aziendale e indirettamente, conseguenze sulle vendite e molti altri fattori. Il costo reale di una frode invece va ben oltre l’importo dell’eventuale perdita e sanzione ma include anche altri costi monetari come l’allocazione di risorse umane e tecnologiche per porre rimedio alla violazione.
Conclusioni
Stiamo gettando le basi per una nuova era in cui l’attività di interpretazione e di implementazione della legge potrebbe avvenire attraverso un algoritmo matematico e soluzioni innovative e tecnologiche.
In particolare per il successo del RegTech sarà necessario coniugare le normative, la possibilità di sperimentare in innovation hub e sandbox e un maggiore confronto e collaborazione tra il Regolatore e le istituzioni finanziarie. A fine giugno 2021 è stato presentato a tal riguardo il report “EBA analysis of RegTech in the EU Financial Sector” rappresentando, di fatto, il riconoscimento del potenziale ruolo del RegTech anche da parte dell’EBA.
La realizzazione della vigilanza finanziaria potrà essere raggiunta inoltre con la riduzione del gap tecnologico tra le Autorità e i soggetti regolati: l’incapacità di sviluppare sistemi in grado di gestire e monitorare efficacemente la massa di dati e di informazioni comunicati periodicamente dagli istituti finanziari potrebbe pregiudicare il corretto funzionamento dei processi di individuazione di situazioni di vulnerabilità nel sistema finanziario.
Diventa quindi chiaro che affidarsi a loro diventa non solo utile ma più che necessario. Con la speranza che il RegTech guidi lo sviluppo di un ambiente più connesso e collaborativo di contributori pubblici e privati alla lotta contro la criminalità finanziaria passando da un modello di Open Banking ad uno di “Open Compliance”.
Deborah Ullasci
