Il Parlamento europeo e il Consiglio dell’Unione Europea hanno raggiunto un accordo politico sul nuovo Regolamento sui Servizi di Pagamento (“PSR“) e sulla Terza Direttiva sui Servizi di Pagamento (“PSD3“), con l’obiettivo di modernizzare il quadro europeo sui servizi di pagamento, rafforzare la lotta contro le frodi e aumentare la trasparenza per consumatori e imprese. L’intesa, annunciata il 27 novembre 2025, conclude i negoziati tecnici e introduce un pacchetto di misure che ridisegna la responsabilità dei prestatori di servizi di pagamento nonché dei grandi intermediari digitali e fornitori di soluzioni tecnologiche.
Il nuovo impianto normativo nasce dalla crescente diffusione di forme di frode sempre più sofisticate intervenendo anche sulle piattaforme online e sui motori di ricerca, ponendo per la prima volta un collegamento diretto con gli obblighi di due diligence previsti dal Regolamento sui Servizi Digitali (“DSA“). Le piattaforme che non rimuovono contenuti fraudolenti dopo una segnalazione saranno responsabili nei confronti dei Prestatori di Servizi di Pagamento (“PSP“) che hanno rimborsato i clienti danneggiati. Inoltre, solo gli operatori debitamente autorizzati in uno Stato membro potranno pubblicizzare servizi finanziari online.
Parallelamente, PSR e PSD3 rafforzano la trasparenza delle commissioni, garantendo che gli utenti ricevano informazioni chiare prima di ogni transazione e introducono misure strutturali per migliorare l’accesso al contante, in particolare nelle aree rurali, autorizzando i negozi a fornire servizi di prelievo senza obbligo di acquisto.
Infine, l’accordo mira a stimolare la concorrenza nel settore dei pagamenti, imponendo alle banche di garantire un accesso non discriminatorio ai conti per i prestatori di open banking e obbligando produttori di dispositivi mobili e fornitori di sistemi operativi a consentire, a condizioni eque, l’uso delle funzionalità tecniche necessarie alla prestazione dei servizi di pagamento.
1. La nuova infrastruttura antifrode europea
Il pacchetto PSR-PSD3 ridisegna in profondità il rapporto tra utenti, prestatori di servizi di pagamento e piattaforme digitali. Le due istituzioni europee convergono su un messaggio molto chiaro: la lotta alla frode digitale non può più essere lasciata all’iniziativa dei singoli operatori. Servono regole comuni, responsabilità chiare e un’impostazione sistemica, capace di anticipare gli abusi prima che si traducano in un danno economico o reputazionale. È proprio su queste nuove forme di ingegneria sociale che il legislatore interviene, attribuendo ai prestatori di servizi un ruolo attivo e non più meramente reattivo.
1.1. Verifica degli IBAN, SCA e blocco delle operazioni sospette
La prima linea di difesa passa da obblighi tecnici chiari e non negoziabili. I PSP dovranno verificare che nome del beneficiario e numero di conto bancario internazionale (“IBAN“) coincidano, rifiutando l’operazione in caso di discrepanza e informando immediatamente il pagatore. Allo stesso tempo, tutte le operazioni dovranno essere sottoposte a strong customer authentication (“SCA“) e a una valutazione del rischio che non potrà più essere meramente formale.
A questo si aggiunge l’obbligo per il PSP ricevente di congelare qualunque transazione che presenti elementi di anomalia: un meccanismo preventivo che consente di interrompere la catena della frode prima che il denaro venga disperso. Gli utenti, dal canto loro, avranno la possibilità di impostare limiti di spesa e strumenti di blocco, introducendo un ulteriore livello di protezione personalizzabile.
1.2. L’impersonation fraud
Uno degli interventi più innovativi riguarda proprio le truffe da impersonificazione. Quando un criminale induce l’utente ad autorizzare un pagamento fingendosi un operatore del suo PSP, l’operazione viene qualificata come non autorizzata in senso pieno.
La conseguenza è radicale: il PSP è responsabile del rimborso integrale, purché l’utente denunci l’accaduto alla polizia e informi tempestivamente il proprio prestatore di servizi. È un ribaltamento del paradigma tradizionale: si riconosce che, nelle dinamiche digitali odierne, la linea tra legittimo operatore e impostore è sempre più sottile, e che la tutela del consumatore passa inevitabilmente da un presidio tecnologico avanzato.
1.3. Il ruolo delle piattaforme digitali
Il Parlamento ottiene un risultato di peso: per la prima volta, le piattaforme online e i motori di ricerca assumono una responsabilità indiretta nella catena antifrode in modo tale che, se informate della presenza di contenuti fraudolenti e non li rimuovono, diventano responsabili verso i PSP che hanno rimborsato l’utente danneggiato.
In parallelo, gli inserzionisti di servizi finanziari dovranno dimostrare alle Very large online platforms (“VLOP“) e ai Very large online search engines (“VLOSE“) di essere autorizzati nello Stato membro in cui operano, o di agire per conto di soggetti autorizzati: un filtro essenziale per impedire la promozione di servizi “fantasma”.
Il pacchetto introduce infine un principio di buon senso, troppo spesso trascurato. L’utente deve poter parlare con una persona reale. I PSP saranno quindi tenuti a garantire un servizio clienti umano e non esclusivamente chatbot-based.
2. Trasparenza delle commissioni e accesso al contante: riportare chiarezza nell’esperienza di pagamento
L’altro pilastro dell’accordo PSR-PSD3 parla direttamente alla quotidianità dei cittadini europei: capire quanto si sta pagando e poter accedere al proprio denaro anche quando gli sportelli sono lontani.
Se la prima sezione del pacchetto interviene sul rischio digitale, questa affronta invece la dimensione più concreta e spesso problematica dei pagamenti: costi opachi, commissioni inattese, barriere all’uso del contante.
2.1. Una nuova grammatica della trasparenza
Per anni, il costo reale di un pagamento è rimasto avvolto in una certa opacità: commissioni trattenute dagli sportelli automatici (“ATM“), spread applicati ai tassi di cambio, oneri dei circuiti di carte non sempre esplicitati.
Il nuovo regolamento cambia radicalmente approccio. Prima di ogni transazione, il cliente deve sapere esattamente (i) i costi applicati, (ii) l’eventuale commissione di conversione valutaria e (iii) qualunque altro importo che verrà addebitato. Non importa chi gestisce l’ATM, né quale circuito venga utilizzato: il principio è che il prezzo deve essere noto prima di autorizzare il pagamento, non dopo.
È un ritorno all’essenza della protezione del consumatore, in un settore che per troppo tempo ha fatto leva sulla complessità tecnica per giustificare asimmetrie informative. L’obbligo vale anche per gli operatori che offrono servizi di accettazione carte ai commercianti, i quali dovranno dettagliare chiaramente le commissioni applicate.
2.2. Il contante come diritto di cittadinanza economica
Il pacchetto introduce poi una misura tanto semplice quanto cruciale: i negozi potranno offrire prelievi di contante fino a 150 euro (ma almeno 100), senza obbligo di acquisto. Per molte aree rurali e comunità periferiche, dove gli ATM si riducono di anno in anno, questo non è un dettaglio ma un presidio di inclusione finanziaria.
2.3. Ridurre la distanza tra consumatori e addebiti
C’è un ultimo tassello che rafforza il quadro della trasparenza: il nome commerciale del merchant dovrà coincidere con quello che appare sull’estratto conto del cliente. È un dettaglio evidente solo in apparenza. Molti casi di contestazione nascono infatti da pagamenti legittimi che l’utente non riconosce perché il nome visualizzato dal prestatore non coincide con quello del punto vendita.
3. L’apertura del mercato dei pagamenti: un nuovo equilibrio competitivo
Se la lotta alle frodi rappresenta la difesa dell’infrastruttura, la terza anima del pacchetto PSR–PSD3 guarda invece al futuro dell’innovazione finanziaria. È qui che si gioca la partita più delicata: come rendere più aperto il mercato europeo dei pagamenti senza sacrificare sicurezza, concorrenza leale e fiducia degli utenti.
3.1. Rimuovere le briglie che frenano l’open banking
Dal 2018 l’open banking europeo ha preso forma solo a metà. Le API spesso non erano davvero interoperabili, gli Account-Servicing Payment Service Providers (“ASPSP“) erigevano ostacoli impliciti o espliciti, e i Payment Inititiation Service Providers (“PISP“) e Account Information Service Providers (“AISP“) faticavano a ottenere accesso stabile ai conti dei clienti.
PSR e PSD3 affrontano frontalmente questa distorsione di mercato: le banche non potranno più discriminare i prestatori di servizi di open banking, che dovranno poter accedere ai dati dei conti alle stesse condizioni previste per i servizi tradizionali. Il regolatore introduce persino una lista di ostacoli all’accesso ai dati vietati, per evitare che la concorrenza venga soffocata tramite soluzioni tecniche formalmente lecite ma sostanzialmente escludenti.
3.2. Un cruscotto unico per i propri dati
In parallelo, l’utente ottiene un potere che fino a pochi anni fa sembrava inconcepibile: una dashboard per monitorare e revocare i consensi dati ai vari prestatori.
È un’estensione naturale dei principi del Regolamento Generale sulla Protezione dei Dati Personali (“GDPR“): non basta concedere l’accesso, bisogna poterlo richiamare in ogni momento, con un’interfaccia semplice e immediata. Questo meccanismo rafforza la trasparenza e riduce uno dei rischi più sottovalutati dell’open banking: autorizzazioni dimenticate, mai revocate, lasciate attive per anni in background.
3.3. Un ecosistema più aperto, anche dalla prospettiva tecnologica
L’apertura non riguarda solo l’accesso ai conti di pagamento. Le nuove norme impongono anche ai produttori di dispositivi mobili e ai fornitori di servizi elettronici di permettere alle app di pagamento di accedere ai dati necessari per avviare e autorizzare transazioni, a condizioni eque, ragionevoli e non discriminatorie.
3.4. Accesso ai conti per i prestatori di pagamento non bancari
I negoziatori hanno anche stabilito che le banche dovranno garantire ai PI l’accesso ai conti a condizioni non discriminatorie. È un altro tassello che avvicina gradualmente banche e non-banche, riducendo lo squilibrio regolatorio e favorendo un mercato in cui tutti gli attori – vecchi e nuovi – competono sulla qualità del servizio e non sulle rendite di posizione.
4. Semplificazione delle autorizzazioni: verso un regime più fluido, anche per i CASP
Accanto alla protezione dei consumatori e all’apertura dei mercati, il pacchetto PSR-PSD3 interviene su un terzo snodo strategico: rendere più semplice, più uniforme e più prevedibile il percorso autorizzativo per gli operatori dei servizi di pagamento. Non si tratta di un dettaglio tecnico, ma di un passaggio che può determinare chi riuscirà davvero a competere nel nuovo ecosistema europeo.
4.1. Un’autorizzazione più chiara, più rapida, più proporzionata
Il legislatore europeo ha preso atto di un problema cronico: sotto la Seconda Direttiva sui Servizi di Pagamento (“PSD2“), ottenere l’autorizzazione come Istituto di Pagamento (“PI“) era un processo lungo, costoso e spesso eterogeneo tra Stati membri.
Il risultato era un mercato in cui la concorrenza veniva frenata già nella fase di ingresso.
Con PSD3, la logica cambia: l’autorizzazione resta rigorosa, ma diventa più lineare, più armonizzata e calibrata sul rischio dell’operatore.
Quattro sono gli elementi che emergono come chiave di volta:
- Requisiti prudenziali solidi, ma più proporzionati all’effettivo rischio dei servizi prestati.
Il capitale iniziale è scalato in funzione del modello di business, evitando che il processo autorizzativo scoraggi gli operatori più piccoli o altamente specializzati. - Calcoli dei fondi propri più accurati, così da prevenire sottostime del rischio ma anche eccessi regolatori.
- Timeline armonizzate tra gli Stati membri, per evitare divergenze ingiustificate che rendano più conveniente stabilirsi in alcune giurisdizioni rispetto ad altre.
- Previsioni di budget più affidabili, richieste come parte integrante del fascicolo autorizzativo: un modo per anticipare non solo la solidità finanziaria, ma anche la sostenibilità operativa dell’operatore.
Il risultato è un regime autorizzativo che non rinuncia alla prudenza, ma che, per la prima volta, riconosce che l’ingresso nel mercato è esso stesso un fattore di competitività.
4.2. La grande novità: il “canale accelerato” per i CASP già autorizzati sotto MiCAR
Un punto decisivo è l’impatto del nuovo pacchetto sul mondo delle cripto-attività. Le fonti ufficiali lo dicono chiaramente: i Prestatori di Servizi per le Cripto-Attività (“CASP“) già autorizzati nel perimetro del Regolamento sui Mercati delle Cripto-Attività (“MiCAR“) avranno accesso a una procedura semplificata per ottenere l’autorizzazione come payment institution.
Non si tratta di un’esenzione, né di un automatismo. Il controllo del rischio rimane, così come l’obbligo di rispettare tutti i presidi prudenziali e operativi richiesti ai PSP tradizionali. Tuttavia, il legislatore riconosce che i CASP hanno già attraversato un percorso di vigilanza stringente e che molte verifiche – governance, solidità finanziaria, AML, competenze degli esponenti, cybersecurity etc. – non devono essere duplicate.
È una scelta che manda un segnale chiaro ai mercati: l’Europa non considera più il settore degli asset digitali un corpo estraneo, ma un segmento che può contribuire alla competitività del mercato dei pagamenti purché operi entro un quadro regolato e vigilato.
4.3. Un equilibrio tra rigore e apertura
Tutto questo conferma la filosofia di fondo della strategia europea: rafforzare i controlli dove servono davvero togliendo attrito regolatorio dove il rischio non giustifica più il peso amministrativo e regolamentare.
Al netto delle sfide tecniche ancora aperte – tempi di attuazione, coordinamento con le norme nazionali, uniformità dei sistemi antifrode – il pacchetto PSR-PSD3 rappresenta una dichiarazione politica chiara: l’Europa vuole un settore dei pagamenti che sia sicuro come un’infrastruttura critica, aperto come un mercato concorrenziale e comprensibile come un servizio di base.
Autori: Andrea Pantaleo e Giulio Napolitano
About the Author: Andrea Pantaleo
