Il cambiamento nel settore dei servizi di pagamento è già avviato. La direttiva PSD2 porterà una nuova agguerrita concorrenza sul mercato e indurrà nelle banche un cambiamento radicale nella relazione con il cliente. Anche se i requisiti di apertura dei conti a terze parti e di maggiore sicurezza lascerebbero intendere che gli aspetti più importanti siano l’implementazione tecnologica e le misure di protezione dei dati, la vera sfida per gli istituti bancari è nel modello di business. In gioco c’è il futuro del settore bancario per come lo conosciamo oggi.

Nel corso della tavola rotonda sulla direttiva PSD2 tenuta al Security Summit di Milano il 16 marzo scorso, ho definito la futura attuazione della normativa come uno “tsunami” per il settore bancario. Si tratterà, infatti, di una vera e propria ondata di nuova competizione ed innovazione nel settore dei servizi di pagamento, con l’entrata nel mercato di numerose ed agguerrite entità non bancarie.

Un evento tale da costringere le banche a ripensare radicalmente la loro relazione con i clienti e il loro modello di business, un cambiamento epocale cui le banche saranno chiamate a rispondere con tempestività e lungimiranza.

Una sfida che si preannuncia insormontabile per un settore già così occupato e preoccupato per il rispetto dei parametri di adeguatezza del capitale, la conformità alle numerose leggi e regolamentazioni, i vari programmi di risarcimento per la vendita non conforme di prodotti e azioni, nonché le disperate iniziative di ripristino di fiducia nella clientela.

La Direttiva UE 2015/2366 del 25 novembre 2015 relativa ai servizi di pagamento nel mercato interno (PSD2) è il risultato di vari tentativi della Commissione Europea di promuovere innovazione nel settore dei servizi di pagamento e spingere il sistema bancario verso nuove forme di business. Forse perché le banche, storicamente, tendono a considerare i requisiti regolamentari come pure iniziative di compliance, limitandosi quindi ad attuare il minimo indispensabile per ottenere una sufficiente conformità. La PSD2 va nettamente contro questa cultura arcaica, pertanto l’approccio del minimo sindacale non potrà funzionare e, come spiegherò più avanti, per i malcapitati istituti che continueranno ad adottarlo potrebbe configurarsi l’estromissione di fatto dal mercato dei servizi di pagamento, con tutte le conseguenze nefaste che può comportare.

Lo scenario

Ho letto molti articoli sul tema che indicano il 2018 come l’anno del cambiamento per il sistema dei pagamenti europeo, in cui il controllo dei dati finanziari e dei fondi passa nelle mani dei clienti, che potranno decidere se e quando consentire l’accesso al proprio conto corrente a terze parti, secondo il nuovo modello di open banking (si tratta di circa 1 miliardo di conti correnti in UE). Sarà il cliente, infatti, a decidere in assoluta autonomia con quale piattaforma moderna, innovativa ed altamente user-friendly gestire i propri fondi ed erogare pagamenti.

Nel frattempo, mentre la maggior parte delle banche era alle prese con mille vicissitudini legali e regolamentari, una nutrita schiera di startup sono spuntate all’orizzonte. Sono le cosiddette FinTech, società snelle, veloci e terribilmente efficienti, fortemente focalizzate sull’innovazione tecnologica e completamente escluse dal mare di regolamenti in cui annaspano gli istituti di credito, e in grado di offrire servizi a valore aggiunto in numerosi ambiti, spesso di nicchia, come il crowdfunding, il peer-to-peer lending, l’asset management, il credit scoring e le crypto-valute.

A queste si aggiungono le BigTech, come Facebook, Google, Apple, Amazon, eBay e Alibaba, che stanno lanciando servizi altamente innovativi e commercialmente aggressivi, con tassi di crescita nettamente superiori a quelli del settore bancario. Questi colossi del Web sono già saldamente sul mercato e si guarderanno bene dal diventare istituti bancari, restando così nella loro zona di comfort fatta di volumi smisurati di utenti (e quindi di dati), agevolazioni fiscali e scarsa regolamentazione.

FinTech, BigTech e le terze parti aumenteranno considerevolmente il volume della concorrenza verso le banche, grazie alla possibilità di operare senza necessità di una licenza bancaria, senza requisiti di conformità e di capitale, senza dover stipulare contratti con le banche e con investimenti nettamente inferiori.

Quali conseguenze per il business delle banche?

Cosa comporterà, quindi, lo tsunami PSD2 per il settore bancario? Allo stato attuale, molti aspetti sono facilmente prevedibili. Uno dei principali cambiamenti che le banche dovranno considerare sarà la progressiva e difficilmente arrestabile perdita di controllo sui propri clienti a causa della crescente disintermediazione che FinTech, BigTech e terze parti innescheranno con i loro servizi innovativi ed accattivanti, generalmente molto più avanzati delle attuali soluzioni di e-banking e mobile banking che le banche possono offrire.

Questa perdita di controllo comporterà l’erosione della cappa protettiva di ciascun banca sulla propria clientela fino ad annientarla, minando quindi la capacità degli istituti di mantenere un’efficace relazione con i propri clienti e diminuendo sensibilmente le opportunità di cross-selling e up-selling (che rappresentano una parte molto importante della revenue). In pericolo anche la fedeltà al marchio, che per alcuni istituti bancari è già stata compromessa dalle recenti vicende.

Dal punto di vista del cliente, non ha attualmente paragoni la futura possibilità di accedere ad una piattaforma tecnologicamente innovativa – ad esempio una nuova app o un moderno sito web – che rappresenti dinamicamente e con un’interfaccia leggera ed accattivante lo stato dei conti correnti ubicati in più istituti bancari e i dati delle transazioni di pagamento in un’unica vista.

I concetti chiave sono l’unificazione dell’accesso e la personalizzazione dei servizi secondo le esigenze del cliente, uniti ad un’offerta tutta nuova di servizi differenziati, molto user-friendly e a prezzi competitivi.

Molti clienti sono già di fatto fidelizzati a servizi di pagamento innovativi come PayPal che offrono funzionalità personalizzabili ed automatizzabili in completa autonomia, secondo l’approccio dell’IFTTT (if this, then that) che offre opportunità infinite. Ad esempio, l’innesco automatico di trasferimenti di denaro a fronte di precisi eventi, grazie a geolocalizzazione e regole puntuali definite dal cliente, come la variazione delle condizioni commerciali o spostamenti in altri paesi.

La forte disintermediazione indotta dal nuovo mercato dei pagamenti (come già in atto per i circuiti delle carte di pagamento) potrebbe quindi relegare le banche al semplice ruolo di “casseforti” dei fondi di una clientela molto meno stabile, pur mantenendo intatti i rischi di conformità e adeguatezza che ciò comporta. Nel frattempo i cosiddetti TPP (third-party providers) si occuperanno di fornire alla clientela delle banche esattamente ciò di cui necessitano, al giusto prezzo e senza il carico legislativo e regolamentare tipico del settore bancario.

Altro elemento penalizzante per le banche sarà l’obbligo di apertura dell’accesso a terze parti verso i rapporti dei clienti in modo sicuro. Se inizialmente ci vorrà un po’ di coraggio da parte dei clienti stessi a concedere l’accesso ai propri rapporti a nuove forme di business con scarsa presenza di mercato e, quindi, di fiducia, la successiva adozione di massa delle nuove piattaforme FinTech e BigTech spazzerà via ogni timore anche nella clientela più restìa. Infine, non andrà trascurata la difficoltà, per le banche che adottano modelli IT tradizionali, di dover esporre in maniera sicura i conti dei clienti tramite API, integrando soluzioni tecnologiche innovative con sistemi legacy di antica concezione, tipicamente i mainframe. Serviranno importanti investimenti, progetti piuttosto complessi e il supporto di una forte spinta direzionale.

Focus sulla sicurezza

La sicurezza sarà un aspetto di primaria importanza nell’open banking, soprattutto a fronte dell’adozione di API per interfacciarsi con le terze parti e del fatto che la direttiva spinga decisamente in favore della facilitazione dell’accesso ai conti e del miglioramento della user experience. L’attuale assenza di un framework standard per l’allestimento e la pubblicazione delle API lascia il campo ad una certa eterogeneità delle soluzioni e, di conseguenza, aumenta il rischio inerente di essere soggetti ad attacchi informatici e, soprattutto, a nuove tipologie di frodi informatiche e finanziarie.

I principali rischi ipotizzabili consistono nello sfruttamento delle API come vettori di attacco e nella crescente aggregazione di dati della clientela presso terze parti non bancarie, oltre alla possibilità intrinseca di compromissione dei dispositivi dei clienti sui quali è difficile attuare forme di controllo e prevenzione.

Lo scenario di open banking aprirà certamente la strada a nuove tipologie di rischio, soprattutto in un contesto di crescita delle minacce cyber, che richiederanno l’adozione di nuovi presidi di sicurezza.

Mentre il settore bancario è il più strettamente e meticolosamente regolamentato e vigilato, altrettanto non si può dire degli altri. Quello delle FinTech, in particolare, non sarà soggetto al medesimo carico normativo, pertanto è quantomeno fisiologico che l’attenzione nell’esecuzione dei processi e dei controlli di sicurezza sia inferiore rispetto alle banche. Inoltre, molte FinTech sono generalmente startup (ben 115 solo nel 2016) relativamente recenti, fortemente focalizzate sull’erogazione dei servizi, senza competenza specifica sul settore finanziario e sui servizi di pagamento, e senza l’assillo di dover storicamente proteggere i rapporti della clientela.

Sono molti i dubbi in merito al livello di sicurezza che questo nuovo settore sarà in grado di garantire sia alla clientela che alle banche che concederanno l’accesso ai propri conti correnti. La forte spinta verso l’innovazione, l’usabilità e l’efficienza, unite alla necessità di ridurre al minimo il time-to-market per battere la concorrenza, costituiranno un ostacolo alla sicurezza, mentre la relativa giovinezza dei servizi offerti impedirà di disporre di statistiche storiche su frodi e minacce.

In considerazione del fatto che i nuovi competitor del mercato dei pagamenti si troveranno a gestire flussi di denaro molto appetibili per la cyber criminalità, aumenterà il rischio di attacchi mirati ai clienti e alle banche, in virtù della diffusione di nuove opportunità di accesso e di livelli di sicurezza fortemente eterogenei. Con l’avviamento della PSD2, più che in passato sarà indispensabile rafforzare le misure di autenticazione della clientela e delle transazioni di pagamento, nonché i sistemi di tracciamento delle transazioni in tempo reale e i relativi processi di intervento proattivo e reattivo.

Infine, l’inevitabile impatto della sicurezza sull’usabilità dovrà essere opportunamente mitigato da un’efficace opera di sensibilizzazione della clientela (security awareness) sul panorama di minacce, sugli scenari di frode e sull’importanza della sicurezza, nella speranza di far comprendere agli utenti che un’app all’ultimo grido non è da considerarsi per forza sicura e che le misure di restrizione adottate sono funzionali alla salvaguardia dei loro dati e dei loro conti correnti.

Conclusioni

Le banche, da tempo impegnate in situazioni critiche e complicate, hanno in molti casi difettato di lungimiranza, considerando l’innovazione come una pratica non prioritaria, difficile, costosa e rischiosa, mentre FinTech e BigTech sono già pronte ad approfittare di questo importantissimo vantaggio.

La direttiva PSD2 richiede un approccio completamente diverso, soprattutto a livello culturale, che dovrà contemplare l’abbattimento delle barriere tipicamente interne alle banche dovute alla preoccupazione continua di mantenere lo status quo, all’impegno richiesto per garantire sicurezza e conformità, e alla speranza (presumibilmente mal riposta) che l’attuazione della normativa venga in qualche modo procrastinata od ostacolata.

Essa può impietosamente esporre quanto siano lenti e costosi i processi di cambiamento degli istituti bancari, e quanto sia attualmente scadente l’esperienza d’uso degli utenti nel confronto improponibile con le più agili FinTech e le potentissime BigTech. Servirà anche una forte motivazione interna per accettare l’inevitabile perdita di controllo sulla clientela e sui servizi di pagamento.

C’è poco da scherzare: la PSD2 è nettamente differente rispetto alle precedenti regolamentazioni e ha il potenziale di generare vincitori e vinti nel mercato dei servizi di pagamento. Può addirittura far chiudere i giochi alle banche che resteranno ancorate al classico approccio del minimo sindacale per ottenere il sei politico in termini di conformità. Adeguarsi alla direttiva, infatti, significa andare contro la cultura storica del settore, destinando adeguati investimenti e impegnando da subito le diverse business unit.

Ciascuna banca si trova davanti ad una scelta: sfruttare la PSD2 per creare un nuovo modello di business e un modo innovativo di interagire con il cliente, oppure perdere l’occasione e, con essa, importanti quote di mercato e di entrate.

Sarà fondamentale muoversi il prima possibile: i primi istituti che lanceranno la propria piattaforma, magari con un marchio separato, avranno l’opportunità di agire da entità aggreganti, guadagnare la fedeltà della clientela e approfittare di una visione altamente dettagliata delle posizioni finanziarie degli utenti. L’aggregazione dei dati degli utenti in soluzioni di Big Data e l’applicazione di tecniche di business intelligence (come l’analisi a 360 gradi dei consumatori, l’analisi predittiva e l’individuazione tempestiva di nuove opportunità commerciali), saranno fattori fondamentali per poter comprendere al meglio la nuova base di utenza, adeguare l’offerta commerciale, ottimizzare la gestione del rischio, agevolare il decision making e generare valore.

Sostanzialmente, le strade per uscirne vincenti sono due: [1] posizionarsi sul mercato come TPP e fornire servizi innovativi creando la propria piattaforma, sfruttando il vantaggio di avere una vasta base di clientela dedicata e valorizzando al massimo le opportunità di cross-selling di prodotti e servizi. Oppure, [2] stringere accordi di collaborazione tecnologica e commerciale con le FinTech, facendo leva sui rispettivi punti di forza per trarre il meglio dal nuovo scenario di mercato.

La prossima “Generazione Z”, quella dei cosiddetti “nativi digitali”, sarà particolarmente attratta dall’innovazione e dalle funzionalità delle piattaforme applicative e mobili, perciò tenderà a cambiare banca con estrema facilità a seconda della convenienza, senza alcun attaccamento al marchio e spesso con un semplice click (o tap).

Il vero problema legato all’introduzione della PSD2 non è costituito dalla tecnologia, né dalla sicurezza, bensì dal futuro del settore bancario per come lo conosciamo oggi.

Il cambiamento di paradigma dei servizi di pagamento è già iniziato e sarà dura per le banche tradizionali accettare l’idea di aprire le proprie informazioni alle terze parti, ma sarà necessario ristrutturarsi in nuove forme organizzative che siano in grado di sopravvivere – magari anche prosperare – nel nuovo mercato. Le banche che si adatteranno prima delle concorrenti, avranno certamente maggiori probabilità di mitigare gli effetti dello tsunami PSD2 e contrastare l’agguerrita concorrenza dei nuovi operatori.

È indispensabile innescare il cambiamento da subito, domani sarà già troppo tardi.

Ettore Guarnaccia