L’impatto del FinTech sulla disciplina delle banche e il ruolo delle Autorità di Vigilanza

A cura della Dott.ssa Tamara Bianchini, partecipante dell'Executive Master in Finanza Aziendale.

Introduzione

A seguito dei cambiamenti intervenuti nella società e nell’innovazione tecnologica, l'attività degli intermediari bancari e finanziari si è costantemente trasformata nel tempo. Nell'ultimo decennio, il manifestarsi di una crisi di fiducia degli intermediari tradizionali e della travolgente trasformazione digitale delle attività economiche, ha condotto ad una veloce obsolescenza delle norme in vigore, favorendo la necessità di prevedere nuove regole per affrontare fenomeni del tutto nuovi. 

Il termine che ingloba l’insieme dei cambiamenti in corso prende il nome di FinTech. Quest’ultimo identifica il complesso di innovazioni relative a prodotti e servizi bancari, finanziari e assicurativi. Tra i più diffusi, è possibile annoverare il crowd-funding, il peer-to-peer lending, l’automated scoring nel mondo del credito; nel mondo dei servizi di pagamento gli instant payments, in quello dei servizi di consulenza finanziaria i robo-advisors.

Nonostante gli innumerevoli benefici che il FinTech sia in grado di apportare a consumatori ed imprese, all’interno di un contesto in continua evoluzione, è necessario tenere in considerazione eventuali rischi e tutelare sia i consumatori sia la stabilità del sistema finanziario. Per tale ragione,  le Autorità e le Istituzioni a livello internazionale, europeo e nazionale, si stanno impegnando nell’individuare il corretto intervento da avviare per una regolamentazione di tale fenomeno. 

Tuttavia, come sottolinea la stessa Vice Direttrice della Banca D’Italia Alessandra Perrazzelli in occasione del seminario “Le iniziative regolamentari per il FinTech: a che punto siamo?”:

“troppo spesso il rapporto tra regole ed innovazione viene visto in termini conflittuali: pur essendoci da un lato la lentezza e, talvolta, la scarsa comprensione del regolatore per i nuovi fenomeni e, dall’altro lato, la velocità e la forza dirompente delle innovazioni tecnologiche e di mercato, si tratta di un conflitto apparente che tiene in considerazione solo una dimensione dell’aspetto regolatorio, ovverosia quella delle norme come strumento “difensivo” per limitare i rischi e aiutare la collettività a proteggersi da abusi e fenomeni criminosi. L’aspetto difensivo è una dimensione importante ma non esaurisce la funzione delle regole. Queste, infatti, possono e devono essere viste anche in un’ottica più costruttiva, ovverosia come uno strumento per indirizzare i comportamenti delle imprese verso soluzioni più sicure e sostenibili e proteggere gli operatori più responsabili dalla concorrenza sleale di quelli meno virtuosi.”

Le istituzioni europee e le Autorità di Vigilanza nazionali sono dunque chiamati ad uno sforzo necessario e, sicuramente, non semplice. Perrazzelli continua affermando che:

“non è facile creare un ambiente all’interno del quale gli interessi di tutti gli stakeholders rilevanti, dalle imprese ai consumatori, sono bilanciati e tenuti in considerazione e dove sicurezza ed innovazione sono dimensioni complementari e non alternative. Ciò diventa ancora più complesso quando si parla di innovazione finanziaria.”

La tecnologie diventa quindi una sfida non solo per le banche, ma anche per le Autorità di Vigilanza. In primo luogo, vi è un cambiamento dei soggetti sottoposti a vigilanza. La presenza di nuovi operatori con grandi potenzialità di mercato, alcuni dei quali sottoposti a vigilanza, altri no, richiede particolare attenzione da parte delle Autorità, le quali sono chiamate a mantenere, ed in alcuni casi, a riesaminare la cornice regolamentare, al fine di gestire i rischi e le opportunità derivanti dai nuovi fenomeni FinTech.

Nuovo corpus normativo: direttiva PSD2 e normativa cybersecurity

Tra i vari rischi ai quali può condurre l’innovazione digitale del settore finanziario, è possibile menzionare soprattutto i rischi riguardanti la continuità operativa e la protezione dei dati della clientela. Lo stesso Vice Direttore Generale della Banca d’Italia Luigi Federico Signorini, durante il convegno ABI “Regolamentazione, tecnologia e redditività”, ha dichiarato che:

“gli attacchi informatici si diffondono con estrema facilità e rapidità; non va sottovalutata la possibilità che essi assumano in determinate circostanze una rilevanza sistemica. I rischi di attacco vanno considerati attentamente fin dalla definizione di ogni progetto informatico; vanno stabilite adeguate linee di difesa tecniche e organizzative”.

In un contesto caratterizzato da spinte innovative non seguite da investimenti digitali sufficienti, la nascita della nuova Direttiva Europea sui pagamenti Payment Services Directive 2 (PSD2 – 2015/2366) ha generato uno shock dello scenario di riferimento. A seguito dell’attuazione della PSD2, viene infatti imposto alle banche di far accedere ai conti dei propri clienti i cosiddetti Payment Initiation Service Providers, ovvero imprese nuove che avviano il pagamento per una transazione di commercio elettronico direttamente dal conto bancario dell’acquirente anziché passare per una carta di credito, con l’obiettivo di migliorare la competizione tra soggetti finanziari nuovi e tradizionali. 

Con lo sviluppo di nuovi modelli di “open banking” basati sulla condivisione dei dati bancari tra i diversi operatori dell’ecosistema finanziario, è intuibile capire come la Direttiva PSD2 porti con sé sia potenziali vantaggi, derivanti da un aumento della concorrenza, sia rischi per la stessa clientela. Il fatto che una banca, il cui business si basa sul trattamento delle informazioni, sia costretta oggi a condividere il flusso di informazioni con altri operatori non bancari conduce, tra gli altri rischi, ad un aumento del cosiddetto “rischio cibernetico” derivante da un maggior numero di attori coinvolti.

Al fine di stabilire delle regole di sicurezza armonizzate per la cybersecurity e di favorire la cooperazione tra autorità per far fronte a tale rischio, il legislatore europeo ha emanato la Direttiva 2016/1148 sulla Network and Information Security (NIS). Quest’ultima, a differenza della PSD2, la quale è maggiormente incentrata su requisiti di sicurezza specifici per i pagamenti di natura microprudenziale, tende a concentrare maggiormente la sua attenzione su rischi macroprudenziali di natura sistemica.

Centrale è, inoltre, il ruolo del Meccanismo di Vigilanza Unico (Single Supervisory Mechanism, SSM) a livello europeo, il quale dal 2015 si è dotato di un framework per la collaborazione tra la BCE e le autorità nazionali al fine di assicurare una gestione condivisa, efficace ed efficiente di eventuali attacchi informatici contro banche significative, ovvero banche che soddisfano i “criteri della significatività” e che vengono sottoposti alla vigilanza diretta della BCE. A tal fine, è stata istituita una “base dati degli incidenti” alimentata da notifiche obbligatorie da parte delle banche, e la gestione operativa delle crisi è stata affidata ad un’apposita task force. In funzione di specifici indicatori di rischio derivanti da segnalazioni di incidenti, l’SSM avvia ispezioni volte all’analisi del rischio cibernetico.

FinTech e la V Direttiva antiriciclaggio

In un contesto caratterizzato da un continuo sviluppo tecnologico, centrale è anche il fenomeno dell’ “antiriciclaggio” e, per tale ragione, sottoposto al controllo da parte delle Autorità di Vigilanza.

In particolare, con il termine “antiriciclaggio” viene identificata un’operazione, ritenuta illecita dalla maggior parte degli ordinamenti nazionali, consistente nella riutilizzazione di denaro derivante da attività illecite ai fini di attività legali.

Tale fenomeno incide notevolmente sulle dinamiche della ricchezza di una nazione e genera delle gravi distorsioni nell’economia legale alterando le condizioni di concorrenza, il corretto funzionamento dei mercati e i meccanismi di allocazione delle risorse, con conseguenze negative sulla stabilità e l’efficienza del sistema economico e finanziario.

In uno scenario caratterizzato da una forte tendenza all’innovazione tecnologica, il compimento di operazioni illecite da parte di grandi gruppi criminali si sostanzia sopratutto mediante l’utilizzo non conforme degli strumenti finanziari.

Per tale ragione, al fine di contrastare tali comportamenti, l’Unione Europea ha stabilito che i prestatori di servizi di cambio di criptovalute – monete virtuali decentralizzate, le quali pertanto non rientrano sotto il controllo di istituti finanziari o governi - e i prestatori di servizi di portafoglio digitale, saranno tenuti ad adottare tutti i provvedimenti previsti dalla V Direttiva Antiriciclaggio 2018/843 del 30 Maggio 2018 relativa alla prevenzione dell’uso del sistema finanziario ai fini di riciclaggio e finanziamento al terrorismo. 

Ne deriva, dunque, che tali entità dovranno adempiere alle misure di adeguata verifica della clientela, e saranno tenuti a monitorare le transazioni e segnalare quelle sospette. Inoltre, i prestatori di servizi di cambio e i prestatori di servizi di portafoglio digitale dovranno conservare tutta la documentazione in forma completa.

Conclusioni

Il ricorso alle regole è dunque importante non solo in chiave “difensiva”, ma anche per indirizzare i comportamenti di imprese e favorire l’innovazione da parte di quelle che si affacciano sul mercato.

La possibilità per queste ultime di sottrarre parte del mercato ai concorrenti già presenti, dipende dalla fiducia che le stesse riescono ad acquisire presso i consumatori. È importante, quindi, costruire con la clientela dei rapporti commerciali fondati sulla trasparenza delle informazioni e su una vigilanza basata su regole chiare. 

Il ruolo delle Autorità di Vigilanza è dunque duplice e da luogo ad un potenziale conflitto. Da un lato è necessario garantire la stabilità dei singoli soggetti sottoposti a vigilanza e dell’intero sistema finanziario, la trasparenza e la correttezza dei rapporti con i clienti e la concorrenza sul mercato; dall’altro lato, è necessario non ostacolare lo sviluppo tecnologico, il quale favorisce lo sviluppo economico.

La presenza di una regolamentazione troppo rigida potrebbe richiedere alle nuove imprese di dedicare una quantità eccessiva di tempo e risorse al fine di conformarsi alle norme, finendo così per comportarsi come banche già sottoposte a vigilanza e riducendo il vantaggio derivante dall’innovazione. Al contrario, la presenza di norme troppo flessibili, potrebbe creare degli squilibri concorrenziali sfavorendo i soggetti tradizionali che rimangono assoggettati a pesanti regole.

Secondo quanto dichiarato da Salvatore Rossi, ex Presidente della Banca d’Italia e Presidente dell’ IVASS:

“la sfida è quella di creare un ecosistema istituzionale e regolamentare attento ma accogliente. E’ essenziale stabilire in questo campo un dialogo continuo fra vigilanti e vigilati, attuali e potenziali. Gli interventi regolamentari dovrebbero essere volti innanzitutto a garantire il level playing field tra gli operatori (incumbents e nuovi), secondo il principio “stesso rischio, stessa attività, stessa regola”.