FIDA: il perimetro europeo dell’open finance

Con la proposta di Regolamento sul Financial Data Access (“FIDA“), presentata dalla Commissione europea il 28 giugno 2023, l’Unione europea si prepara a ridefinire la gestione e la condivisione dei dati finanziari, completando il percorso avviato con la PSD2 e aprendo la strada a un ecosistema di open finance integrato, sicuro e competitivo.

FIDA mira a creare un mercato unico dei dati finanziari fondato su standard comuni di interoperabilità, sicurezza e trasparenza, consentendo a consumatori e imprese di controllare pienamente l’accesso e l’utilizzo delle proprie informazioni.

Il regolamento rappresenta il pilastro informativo del Digital Finance Package insieme alla riforma dei Servizi di Pagamento (“PSD3“), al nuovo Regolamento sui servizi di pagamento (“PSR“) e al Regolamento sulla Resilienza Operativa Digitale (“DORA“).

In questo quadro, FIDA introduce un principio chiave: il dato finanziario come infrastruttura strategica europea. Non più un patrimonio statico custodito dalle istituzioni, ma una risorsa dinamica a disposizione del cliente, liberata attraverso un ecosistema regolato di scambio, basato su consenso informato, sicurezza tecnica e accountability.

FIDA, dunque, segna il passaggio dall’open banking all’open finance, ma anche, più profondamente, da un sistema centrato sulla banca a uno fondato sull’autodeterminazione digitale, e finanziaria, dell’utente.

1. Dal modello PSD2 al mercato unico dei dati finanziari

FIDA nasce come naturale evoluzione della PSD2, ma ne amplia radicalmente la portata. Mentre la direttiva del 2015 aveva introdotto il principio dell’open banking, imponendo alle banche di aprire l’accesso ai conti di pagamento tramite interfacce API a beneficio di terze parti autorizzate, il nuovo regolamento estende il modello a tutti i dati finanziari generati nel ciclo di vita economico del cliente.

Il perimetro diventa così molto più ampio: non solo conti correnti e carte di pagamento, ma anche mutui, prestiti, prodotti di investimento, polizze assicurative, piani pensionistici e servizi di risparmio gestito.

L’obiettivo è permettere all’utente – persona fisica o impresa – di decentralizzare e condividere in modo sicuro e trasparente tutte le informazioni detenute da diversi operatori, superando la frammentazione dei canali e dei formati.

Questa evoluzione segna un passaggio concettuale importante: il dato finanziario non è più una prerogativa dell’intermediario, ma un bene informativo di proprietà del cliente, accessibile e trasferibile secondo modalità standardizzate e sotto il suo controllo esclusivo.

Per rendere operativa questa visione, FIDA introduce due strumenti chiave:

• i Financial Information Service Providers (“FISP“), una nuova categoria di soggetti regolamentati incaricati di fornire servizi basati sui dati finanziari degli utenti;
• i Financial Data Permission Dashboards, interfacce digitali attraverso cui il cliente potrà visualizzare, concedere o revocare in tempo reale le autorizzazioni all’accesso dei propri dati.

Il meccanismo si fonda sul principio del consenso informato e granulare: nessun dato potrà essere condiviso senza una chiara e specifica autorizzazione da parte dell’interessato.

Questo modello, che si ispira all’articolo 20 del GDPR sul diritto alla portabilità, consente una vera autodeterminazione informativa, rafforzando il controllo dell’utente sulla circolazione dei propri dati.

Infine, il regolamento abbandona l’idea di accesso gratuito introdotta dalla PSD2 e introduce la nozione di compenso equo e proporzionato: i data holder potranno essere remunerati per i costi sostenuti nella predisposizione delle interfacce, nell’implementazione delle misure di sicurezza e nella gestione delle richieste.

In questo modo, FIDA trasforma l’obbligo di apertura in una partnership regolata tra istituzioni finanziarie e nuovi operatori digitali, con incentivi economici e standard tecnici comuni che rendono sostenibile l’ecosistema dell’open finance europeo.

2. Gli schemi di condivisione dei dati e la nuova infrastruttura dell’open finance

Il cuore operativo di FIDA risiede nell’obbligo, per tutti i soggetti che detengono o utilizzano dati finanziari, di aderire a schemi di condivisione (“Financial Data Sharing Schemes”) riconosciuti a livello europeo.

Si tratta di consorzi settoriali o organismi di cooperazione incaricati di definire regole comuni su standard tecnici, governance, sicurezza e modelli di remunerazione, garantendo un accesso uniforme, interoperabile e affidabile ai dati.

Ciascuno schema dovrà stabilire in particolare: (i) i formati comuni dei dati e le specifiche delle API, in modo da assicurare piena interoperabilità tra i diversi operatori; (ii) i protocolli di autenticazione e autorizzazione, basati su elevati standard di cybersecurity e conformi al Regolamento DORA; (iii) le regole di responsabilità contrattuale e di risoluzione delle controversie tra partecipanti; (iv) i criteri per la determinazione di un compenso equo e proporzionato ai data holder, evitando squilibri di mercato.

Solo gli scambi effettuati all’interno di tali schemi saranno considerati leciti.

L’adesione agli schemi diventerà dunque una condizione essenziale per poter operare nel mercato dell’open finance: nessun soggetto, né data holder né data user, potrà accedere o condividere dati al di fuori di un quadro di regole approvato e supervisionato dalle autorità europee competenti.

Questa architettura si ispira al modello di interoperabilità istituzionale già sperimentato nei pagamenti SEPA e, più di recente, nel quadro dell’European Single Access Point (“ESAP“).

In prospettiva, i Financial Data Sharing Schemes costituiranno la spina dorsale del mercato unico dei dati finanziari, promuovendo un ambiente competitivo ma regolato, in cui la collaborazione tra operatori diventa la condizione stessa dell’innovazione.

3. I nuovi attori dell’ecosistema

FIDA ridefinisce profondamente la mappa dei soggetti coinvolti nella gestione e nello scambio dei dati finanziari, introducendo una nuova tripartizione funzionale basata su ruoli, responsabilità e obblighi di trasparenza.

• I data holder sono gli enti che detengono dati finanziari generati o raccolti nell’ambito della prestazione di un servizio – incluse banche, istituti di pagamento, imprese di investimento, compagnie assicurative, società di gestione del risparmio, fondi pensione e intermediari creditizi. Essi sono tenuti a consentire l’accesso ai dati richiesti dagli utenti o dai soggetti da essi autorizzati, nel rispetto dei principi di non discriminazione, sicurezza e interoperabilità tecnica.

Il rifiuto di concedere l’accesso potrà essere giustificato solo per motivi di cybersecurity, prevenzione delle frodi o violazione del segreto professionale, in linea con il considerando 28 della proposta.

• I data user sono le entità che richiedono l’accesso ai dati per fornire servizi innovativi al cliente: applicazioni di gestione patrimoniale, scoring creditizio, consulenza finanziaria automatizzata, soluzioni di investimento ESG, o piattaforme di analisi aggregata dei flussi aziendali.

Il loro operato si fonda sul principio del consenso informato e reversibile: il cliente può in qualsiasi momento limitare o revocare l’accesso ai dati attraverso il proprio Financial Data Permission Dashboard, con effetto immediato e senza penalità.

I data user dovranno inoltre rispettare gli obblighi di accountability e data minimisation previsti dal GDPR, garantendo che le informazioni siano utilizzate solo per le finalità dichiarate.

• Al centro di questa dinamica si colloca una nuova figura regolamentata: i FISP. Si tratta di operatori specializzati che fungeranno da intermediari qualificati tra data holder e data user, fornendo servizi di raccolta, aggregazione, standardizzazione e analisi dei dati, nonché interfacce API certificate.

Per ottenere l’autorizzazione, i FISP dovranno rispettare stringenti requisiti di governance, solvibilità, sicurezza informatica e continuità operativa, in linea con gli articoli 62 e 68 del Regolamento DORA.

Inoltre, saranno soggetti alla vigilanza diretta dell’autorità competente nazionale e, nei casi di rilevanza transfrontaliera, alla supervisione congiunta delle autorità europee di settore.

Il modello delineato dal FIDA crea quindi un ecosistema multilivello, in cui il flusso dei dati non è più unidirezionale, ma regolato da meccanismi di consenso, auditabilità e tracciabilità. In questa prospettiva, i FISP assumono un ruolo strategico analogo a quello dei Payment Initiation Service Providers (“PISP“) e Account Information Service Providers (“AISP”) della PSD2, ma con un raggio d’azione più ampio e cross-settoriale, capace di connettere il mondo bancario, assicurativo e degli investimenti in un’unica infrastruttura di fiducia.

4. Sicurezza, consenso e protezione dei dati personali

La dimensione più delicata del FIDA riguarda il punto di contatto tra open finance e tutela dei dati personali. L’intero impianto del regolamento si fonda infatti su un equilibrio complesso tra trasparenza, controllo individuale e sicurezza cibernetica, nella consapevolezza che la fiducia degli utenti rappresenta la condizione necessaria per lo sviluppo del mercato unico dei dati finanziari.

Il consenso diventa il fulcro del sistema: deve essere esplicito, specifico, informato e revocabile in ogni momento, secondo i criteri stabiliti dagli articoli 4(11) e 7 del GDPR.

Sul piano della sicurezza, il FIDA impone agli operatori l’adozione di misure tecniche e organizzative conformi a DORA, imponendo requisiti stringenti di cyber resilience, business continuity e incident reporting.

Ogni accesso ai dati dovrà essere autenticato mediante meccanismi di strong customer authentication (“SCA“), e tutte le transazioni dovranno essere registrate in log cifrati, conservati per un periodo limitato e accessibili solo in caso di audit.

Il regolamento affronta anche il tema della combinazione dei dati provenienti da fonti diverse, imponendo un principio di limitazione funzionale: la correlazione tra dataset è ammessa solo se strettamente necessaria per la finalità autorizzata e non può comportare profilazioni ulteriori o valutazioni automatizzate non previste.

Ne deriva un allineamento diretto con gli articoli 5(1)(b), 6 e 22 del GDPR, che vietano decisioni basate unicamente su trattamenti automatizzati senza garanzie adeguate all’interessato.

Infine, FIDA introduce un obbligo specifico di data protection by design and by default per tutti i partecipanti agli schemi di condivisione.

I FISP, in particolare, dovranno integrare funzioni di cifratura, pseudonimizzazione e minimizzazione sin dalla fase di progettazione delle API, garantendo che nessun dato eccedente sia trattato o conservato.

5. Opportunità, sfide e prospettive di attuazione

Il FIDA si propone di estendere al mondo dell’intermediazione finanziaria, assicurativa e patrimoniale la stessa logica di interoperabilità che la PSD2 ha introdotto nei pagamenti.

In prospettiva, il regolamento rappresenta un cambio di paradigma: l’accesso ai dati non è più un vantaggio competitivo, ma una responsabilità condivisa fondata su fiducia, sicurezza e reciprocità.

Le opportunità sono evidenti.

• Per i consumatori, FIDA apre la strada a un mercato realmente integrato dei servizi finanziari, in cui i dati diventano la chiave per soluzioni personalizzate, portabilità dei rapporti contrattuali e maggiore concorrenza tra operatori.
• Per le imprese, la possibilità di aggregare informazioni da banche, assicurazioni e gestori patrimoniali consentirà di sviluppare nuovi modelli di analisi predittiva, scoring ESG e consulenza automatizzata.
• Per le autorità di vigilanza, infine, la standardizzazione dei flussi dati potrà rafforzare la supervisione basata sul rischio, riducendo gli oneri di compliance e migliorando la capacità di monitoraggio dei fenomeni sistemici.

Le sfide, tuttavia, restano significative.

• In primo luogo, l’attuazione effettiva dipenderà dalla capacità di armonizzare norme e infrastrutture nei diversi Stati membri, evitando il rischio di frammentazione tecnologica e regolatoria.
• In secondo luogo, il costo dell’adeguamento, min particolare per i soggetti di dimensioni minori, potrebbe rallentare l’adesione agli schemi di condivisione, vanificando l’obiettivo di inclusività del regolamento.
• Da ultimo, il bilanciamento tra innovazione e tutela della privacy continuerà a rappresentare una linea di tensione strutturale: ogni uso secondario dei dati dovrà essere rigorosamente giustificato, verificabile e proporzionato.

Il successo di FIDA dipenderà, in definitiva, dalla capacità dell’ecosistema finanziario europeo di tradurre la compliance in innovazione.

Non si tratta soltanto di garantire interoperabilità tecnica, ma di costruire un mercato dei dati finanziari fondato su fiducia, trasparenza e responsabilità condivisa.

In questo senso, il FIDA rappresenta la tappa più avanzata di un processo più ampio: la trasformazione del settore finanziario europeo in un’infrastruttura di data governance regolata, dove la competitività passa attraverso la conformità e la sovranità informativa diventa il vero motore dell’innovazione.