RBA all’interno degli Istituti di Pagamento

Approfondimento dei nuovi players alla luce della PSD2

Gli Istituti di Pagamento (IP) autorizzati in Italia sono iscritti dalla Banca d’Italia in un apposito elenco ove si indica la tipologia dei servizi autorizzati e le succursali ed agenti di cui ciascun istituto si avvale. Gli IP possono svolgere attività transfrontaliera nell’intera area comunitaria, prestandovi servizi ammessi al mutuo riconoscimento, tramite proprie succursali, vale a dire in regime di libera prestazione di servizi (LPS). Allo stesso modo gli IP degli altri Stati comunitari possono operare in Italia tramite succursali o in LPS.

Tra le peculiarità operative degli Istituti che assumono rilevanza ai fini dell’Antiriciclaggio si segnalano: la presenza di operazioni di pagamento complesse, il tradizionale ricorso a soggetti esterni, ai quali è demandato il contatto diretto con il cliente (intermediari-partner convenzionati, reti di agenti e altri soggetti convenzionati) e la prestazione in tempo reale di molti servizi. Si tratta di caratteristiche che, in particolare, possono rendere difficoltosa, in alcuni casi, l’esecuzione dell’adeguata verifica del cliente.

È importante inoltre segnalare che la funzione Antiriciclaggio all’interno degli Istituti di pagamento deve godere di assoluta indipendenza. L’attività di prevenzione e contrasto del riciclaggio e del finanziamento del terrorismo si fonda su tre pilastri: la conoscenza del cliente (attuata tramite la c.d. “adeguata verifica” anche definita Customer due diligence); la tracciabilità delle operazioni (attuata tramite la registrazione e la conservazione dei relativi dati, utilizzando l’Archivio Unico Informatico o le altre modalità consentite); la segnalazione delle operazioni sospette.

Il criterio dell’approccio basato sul rischio (RBA) – espressione del principio di proporzionalità – dovrebbe teoricamente consentire di commisurare discrezionalmente l’adempimento degli obblighi, all’effettivo rischio di riciclaggio desumibile dalla natura della controparte, dal tipo di attività esercitata /prodotto erogato e dall’area geografica di riferimento. In base a tale principio, l’Istituto può proporzionare l’adempimento degli obblighi alle proprie dimensioni e all’entità e tipologia dei rischi cui è concretamente esposta l’attività svolta. Questa operazione presuppone

Gli Istituti di pagamento e di moneta elettronica, possono delegare a terzi alcune fasi dell’adeguata verifica, salvo sempre il monitoraggio costante, attraverso “collaboratori esterni” (sia gli agenti ex. art. 128-quater del T.U.B.). Tuttavia, se da un lato, l’utilizzo di una rete di agenti o di altri collaboratori esterni consente di allargare la capillarità e incrementare la tempestività dell’offerta dei servizi, dall’altro comporta una serie di rischi aggiuntivi in vicende di riciclaggio o finanziamento del terrorismo. Pertanto, anche l’utilizzo e la distribuzione di strumenti di pagamento elettronici, che di per sé rappresenta un’attività a basso rischio di riciclaggio, richiede misure rafforzate di adeguata verifica nel momento in cui i rapporti o le operazioni coinvolgano collaboratori esterni, paesi terzi ad alto rischio, o PEP.

L’introduzione della PSD2 ha generato una profonda rivoluzione nel settore dei pagamenti con impatto sulla disciplina AML. Brevemente, la direttiva europea 2015/2366, cosiddetta PSD2, nasce con l’intento di rafforzare la tutela degli utenti dei servizi di pagamento, aumentare la trasparenza e la sicurezza, implementando efficienza e l’innovazione. I soggetti a cui è rivolta la PSD2 sono i fornitori di servizi di pagamento, Banche, Assicurazioni, Fintech, telco (telephone company), TPP (Third Party Providers), questi ultimi sono fornitori di servizi “terzi” rispetto a quello presso il quale l’utente detiene il proprio conto o servizio di pagamento. La direttiva prevede che le banche concedano ai TPP un accesso sicuro ai conti dei clienti e alle informazioni sui pagamenti, allo scopo di realizzare un mercato europeo dei pagamenti più efficiente, sempre nella tutela degli utenti dei servizi di pagamento. A tale scopo, gli utenti dei conti di pagamento e dei conti correnti online hanno, quindi, la possibilità di compiere operazioni di pagamento direttamente tramite software realizzati da terze parti autorizzate (TPP). Da queste nuove prestazioni, nascono, di conseguenze, nuovi fornitori autorizzati dalla direttiva tra i quali:

• prestatori di servizi di pagamento che forniscono e amministrano un conto di pagamento per un pagatore (ASPSP Account Servicing Payment Service Provider) è l’entità che controlla direttamente e nella sua totalità l’account di online banking del cliente, e che ha un contratto di servizio diretto con il titolare del conto corrente;

• i prestatori di servizi di disposizione di ordine di pagamento (PISP Payment Initation Service Provider) che fungono da tramite tra il pagatore ed il suo conto di pagamento online, avviando l’operazione di pagamento per conto dell’utente, a favore di un terzo beneficiario. Dall’altra parte, la Banca è tenuta a garantire al PISP l’accesso al conto di pagamento online del pagatore. In questo modo, ad esempio, il cliente potrà effettuare acquisti senza dover introdurre per ogni operazione i dati relativi alla propria carta di credito ma collegandosi direttamente al proprio conto. Ad esempio potrà acquistare un bene o un servizio su online store o e-commerce (Amazon) interfacciandosi direttamente con la propria Banca per tramite di un PISP;

• i prestatori di servizi di informazione sui conti (AISP Account Information Service Provider), che svolgono appunto i servizi di informazione sui conti. Si tratta quindi, per esempio, di applicazioni che riuniscono in una sola schermata tutti i conti correnti intrattenuti dal cliente presso vari istituti. In questo modo, dopo aver effettuato l’accesso utilizzando le credenziali di sicurezza messe a disposizione dalla propria banca, è possibile avere una sorta di fotografia del patrimonio complessivo, visualizzando anche le entrate e le uscite del mese di tutti i conti collegati.

• PSP (Payment Service Provider) ovvero questa definizione racchiude gli istituti di pagamento tradizionali quanto gli AISP e gli altri citati, più in generale, i TPP, risolvendo il problema dell’inquadramento giuridico nella disciplina di prevenzione del riciclaggio e contrasto al terrorismo. Quindi questi nuovi soggetti rientrano a pieno titolo nella categoria dei prestatori di servizi di pagamento e, come tali, necessariamente obbligati al rispetto della normativa prevista dal d.lgs. 231 del 2007 e successive modifiche.

La normativa europea ritiene appropriato non procedere con la ripetizione delle procedure di adeguata verifica, affidando al soggetto obbligato principale la suddetta responsabilità (colui che ha presentato il cliente); in tale circostanza, le responsabilità finali, saranno a capo della Banca o istituto di pagamento dal quale il cliente è stato “introdotto”. In qualità di soggetti obbligati, i TPP devono prendere in considerazione le misure di Customer due diligence adottando, nei casi di incertezza, comportamenti tendenzialmente conformi alla normativa più stringente.

Il D.lgs. del 15 dicembre 2017, n. 218 ha recepito la PSD2 ed ha adeguato la normativa Nazionale. Il D.lgs. n. 36 dell’8 aprile 2020, contiene disposizioni integrative e correttive al D.lgs. n. 218 del 2017. All’interno del decreto si fa riferimento alla presenza di commissioni previste nell’ambito delle transazioni di pagamento con carta. Per il mancato rispetto delle norme sulle commissioni è stabilita una sanzione amministrativa pecuniaria nei confronti del prestatore dei servizi di pagamento da 30.000 a 5 milioni di euro. Se l’importo del fatturato è disponibile e determinabile, l’importo è elevato fino al 10% del fatturato, se tale importo è superiore a 5 milioni. Sono attribuiti alla Banca d’Italia poteri di indagine e di controllo, in qualità di autorità competente.

Il quadro emerso proietta il sistema dei pagamenti verso l’innovazione, incrementando la velocità dei processi. Si tratta, in buona sostanza, di condividere il patrimonio di dati e informazioni considerati in dotazione esclusiva della banca o dell’istituto di pagamento, con terze parti. Un cambiamento notevole.