La regolamentazione dei pagamenti elettronici. Problemi in tema di privacy.

Questo studio si propone di esaminare il mancato coordinamento tra la Direttiva (Ue) 2015/2366 meglio nota come Payment Services Directive 2 (PSD2) ed il Regolamento (Ue) 2016/679, meglio noto come General Data Protection Regulation (GDPR). Al capitolo I, dopo aver brevemente illustrato l’origine e lo sviluppo degli strumenti di pagamento, si procede alla disamina dell’evoluzione della regolamentazione della libera circolazione dei pagamenti all’interno del territorio dell’Unione europea. Essi, quantunque ricoprissero un ruolo indubbiamente centrale nel processo di formazione dell’Unione europea, sono stati in origine oggetto di scarsa considerazione da parte dei legislatori comunitario ed internazionale. In tal senso si pensi al fatto che, ad una prima fase contraddistinta dalla totale assenza di interventi positivi del legislatore europeo (1957-1984), è seguito uno stadio caratterizzato da un approccio di tipo soft law (1985-1996), per giungere soltanto nel 1997 al primo intervento vincolante. È stato poi con l’introduzione della moneta unica che i consumatori hanno potuto effettuare pagamenti in denaro contante in tutta l’area dell’euro. Al conseguimento di questo obiettivo è seguitata la necessità di garantire ai consumatori la possibilità di pagare con strumenti diversi dal denaro contante in tutta l’area dell’euro. Come desumibile dal capitolo II, dapprima la direttiva 2007/64/CE (PSD1) e successivamente la direttiva (Ue) 2015/2366 (PSD2) hanno cercato di rispondere a questa esigenza. Le iniziative in parola forniscono un quadro normativo unitario nell’Unione europea in materia di pagamenti elettronici. Più nel dettaglio, come si avrà modo di analizzare nel capitolo III, la direttiva (Ue) 2015/2366 (PSD2), senz’altro ascrivibile al più ampio fenomeno del FinTech, ha posto le basi per la diffusione dell’Open Banking nell’Unione europea. Essa disciplina i cd. Third Party Providers, nuovi intermediari frapposti tra la banca e l’utente. Sono così individuabili due differenti attività che possono essere prestate dai Third Party Providers: il servizio di disposizione di ordine di pagamento ed il servizio di informazione sui conti. I primi, interponendosi tra l’utente-pagatore e la banca presso cui è detenuto il conto, al fine di dare impulso al pagamento secondo il noto modello PayPal, non entrano mai in possesso dei fondi del cliente. I secondi forniscono, invece, un servizio online che permette all’utilizzatore di ottenere informazioni complete sui propri conti di pagamento. La direttiva PSD2, al fine della prestazione di tali servizi, disciplinando il diritto dei Third Party Providers ad accedere al conto di pagamento ed ai dati personali ivi connessi dell’utente, impone alla banca, presso cui è radicato il conto, l’obbligo di renderglieli accessibili. Pertanto, nell’ambito dei rapporti tra Third Party Provider e banca si fa ricorso alle Application Programming Interface (API), piattaforme informatiche che consentono la creazione di un canale di condivisione dei dati dei clienti delle banche con i Third Party Providers. Di conseguenza, la prestazione dei servizi forniti dai Third Party Providers comporta la movimentazione di un gran flusso di dati. Purtroppo, la direttiva PSD2 lascia privi di risposta numerosi interrogativi in tema di privacy, densi di riflessi sul piano pratico ed applicativo ai quali si tenterà di dare risposta nel corso della trattazione.