Cittadinanza digitale Sicurezza Informatica Industry 4.0/Innovazione in azienda Intelligenza Artificiale Sanità digitale Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Guide alla scelta tech Libri Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

la guida

PSD3 e AI Agents: la gestione del consenso granulare nei pagamenti autonomi

Home Infrastrutture digitali
Partecipa al dibattito
Indirizzo copiato

La PSD3 si confronta con un contesto in cui gli agenti AI possono avviare pagamenti senza approvazione esplicita per ogni singola operazione. Il nodo centrale diventa il consenso granulare, con nuovi obblighi su autenticazione, tracciabilità, interoperabilità e responsabilità nei flussi autonomi

Pubblicato il 31 mar 2026
Riccardo Petricca

Esperto Industria 4.0 Innovation Manager

pagamenti digitali fornitori di servizi di pagamento; truffe sugli assegni; psd3
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Punti chiave

  • La PSD3 aggiorna il quadro della PSD2 per l’era dell’Agentic Commerce, imponendo standard API più rigidi, la dashboard del consenso e regole per gli agenti AI.
  • Introduce il consenso granulare e limiti temporali alle deleghe, con re‑autenticazione periodica, verifica del beneficiario (VoP) e allineamento al GDPR.
  • Aumenta responsabilità e antifrode: i PSP e le piattaforme sono corresponsabili, l’EBA può vietare prodotti rischiosi e serve tracciabilità e audit per rimborsi e conformità.
Riassunto generato con AI

Le modalità attraverso cui autorizziamo un pagamento stanno cambiando più rapidamente di quanto la normativa riesca ad anticipare. Con l’ascesa degli agenti intelligenti capaci di effettuare transazioni in maniera autonoma, il modello tradizionale fondato sul consenso esplicito dell’utente umano entra in crisi.

La PSD3 cioè la terza direttiva europea sui servizi di pagamento, proposta dalla Commissione nel giugno 2023 e in fase di approvazione definitiva, si trova a dover governare un ecosistema che nessuna delle direttive precedenti aveva immaginato. Quello in cui non è più una persona a premere il tasto “conferma”, ma un agente algoritmico.

Bitcoin e banche: l’adozione istituzionale cambia il mercato

Evoluzione normativa: dai pagamenti digitali all’agentic AI nel quadro della PSD3

La PSD3, insieme al complementare Payment Services Regulation (PSR), rappresenta l’evoluzione naturale di un percorso che ha visto la sua origine con la PSD2 nel 2018, dove era stato introdotto l’open banking e la Strong Customer Authentication. Il nuovo quadro normativo, il cui mandato negoziale è stato adottato dal Consiglio UE il 18 giugno 2025, punta a colmare le lacune emerse nell’applicazione della direttiva precedente, aggiornando le regole a un contesto dominato da wallet, app di pagamento, BNPL e intelligenza artificiale.

In questo nuovo scenario, gli agenti AI stanno assumendo un ruolo operativo concreto nella gestione delle transazioni finanziarie. Siamo ufficialmente entrati nell’era dell’Agentic Commerce. Questa nuova frontiera vede agenti intelligenti capaci di agire autonomamente per conto degli utenti, andando a gestire ricerche, decisioni e acquisti in modo proattivo e personalizzato. Il problema è che questi agenti operano su delega dell’utente, ma senza che ogni singola transazione passi per una sua approvazione esplicita. La delega operativa, finora concetto giuridico ben definito, diventa qualcosa di fluido e tecnicamente complesso da tracciare.

Perché la PSD3 supera il modello della PSD2

La PSD2, nel lontano 2018, aveva costruito il suo impianto sulla figura dell’utente umano come centro decisionale: la SCA richiedeva due fattori di autenticazione, il dynamic linking legava ogni transazione a importo e beneficiario specifici, e il consenso era per definizione un atto individuale e consapevole. Con sistemi autonomi che eseguono ordini ricorrenti, gestiscono abbonamenti, ottimizzano i flussi di cassa o reagiscono in tempo reale alle variazioni di mercato, questo impianto mostra i suoi limiti strutturali.

La PSD3, invece, affronta il problema introducendo standard più rigorosi sulle API, maggiore trasparenza sulle performance delle interfacce e, come elemento chiave, la cosiddetta dashboard del consenso, che permetterà ai consumatori di vedere e gestire i permessi concessi ai fornitori terzi direttamente dall’home banking. Una misura che allinea la PSD3 ai principi del GDPR e getta le basi per un controllo granulare anche sulle autorizzazioni delegate agli agenti AI.

Consenso granulare nei pagamenti autonomi e autenticazione

Il concetto di consenso granulare è uno dei nodi più delicati nell’integrazione tra PSD3 e sistemi agentici basati sull’intelligenza artificiale. Non si tratta più di un’autorizzazione unica e onnicomprensiva. Il nuovo framework, infatti, richiede che i permessi siano specifici per tipo di operazione o di servizio, limitati nel tempo e revocabili in qualsiasi momento. Le banche dovranno scambiare informazioni sul consenso in tempo reale e in modalità bidirezionale con i fornitori terzi, invece di limitarsi a rispondere alle richieste come avviene attualmente.

Sul piano tecnico, questo si traduce in requisiti precisi per le API, come la disponibilità minima garantita, la standardizzazione dei formati di scambio dati, e implementazione della verifica del beneficiario (VoP), obbligatoria per i PSP dell’area euro dal 9 ottobre 2025. Per i flussi gestiti da agenti AI, la sfida aggiuntiva è definire chi è il “beneficiario” quando la transazione è iniziata da un sistema automatizzato: la catena di responsabilità si allunga e richiede protocolli di tracciabilità più sofisticati.

Protezione dei dati e limitazione temporale dell’autorizzazione per gli agenti AI

Uno dei principi cardine che emerge dall’interazione tra PSD3 e GDPR è la proporzionalità temporale delle autorizzazioni. Un agente AI non può operare su un mandato indefinito. I permessi devono avere una scadenza esplicita e il rinnovo deve passare per una nuova manifestazione di consenso da parte dell’utente. Il blocco dei fondi su una carta, per esempio, potrà avvenire solo previo consenso e con tempi di verifica abbreviati, per evitare difficoltà al titolare.

Questo schema implica che le piattaforme che integrano agenti AI nei propri flussi di pagamento debbano progettare meccanismi di re-autenticazione periodica, notifiche trasparenti all’utente e log dettagliati di ogni operazione eseguita in autonomia. L’accesso ai dati finanziari, previo consenso dell’utente, potrà essere utilizzato per sviluppare servizi altamente personalizzati, ma ogni utilizzo deve essere documentato e giustificabile in sede di audit.

Sicurezza e fiducia nei pagamenti autonomi con agenti AI

Se la SCA è stata progettata per verificare l’identità di una persona fisica (qualcosa che conosce, che possiede, che la caratterizza) il problema si complica quando l’attore che avvia il pagamento non è umano. La validazione dell’identità digitale degli agenti AI richiede un nuovo layer di protocolli i quali includono certificati crittografici associati agli agenti, meccanismi di attestazione dell’origine del comando e sistemi di binding tra l’agente e il principal umano che lo ha autorizzato.

Nell’ecosistema dell’Agentic Commerce si stanno già definendo standard in questa direzione. Il protocollo AP2 di Google, adottato da oltre 60 aziende tra cui Mastercard, è progettato per facilitare l’interoperabilità tra agenti e sistemi commerciali garantendo sicurezza, fiducia e governance. La nuova PSD3, pur non citando esplicitamente questi protocolli, crea il quadro regolatorio entro cui tali standard dovranno operare, imponendo ai PSP di garantire autenticità e tracciabilità anche per le transazioni iniziate da sistemi non umani.

Prevenzione delle frodi e monitoraggio comportamentale in tempo reale

Il rischio frode in un ecosistema di pagamenti autonomi è strutturalmente diverso da quello tradizionale. Nel 2025, uno su cinque casi di frode di prima parte ha coinvolto identità sintetiche, con la falsificazione di documenti assistita da AI raddoppiata in un singolo anno. Nel 2026, flotte di agenti autonomi sono proiettate a saturare i processi di revisione manuale su larga scala: un’asimmetria strutturale, poiché gli attori criminali possono distribuire l’AI senza i vincoli normativi che affrontano le istituzioni finanziarie.

La risposta della PSD3 passa per il monitoraggio comportamentale in tempo reale e la condivisione delle informazioni antifrode tra PSP. I protocolli SCA di nuova generazione, basati su risk scoring dinamici, consentiranno di calibrare il livello di autenticazione richiesto in funzione del profilo di rischio della singola transazione. L’Autorità Bancaria Europea (EBA) manterrà il potere di vietare temporaneamente prodotti di pagamento ritenuti troppo rischiosi: un meccanismo di salvaguardia pensato anche per i sistemi autonomi che dovessero mostrare comportamenti anomali.

Impatto della PSD3 sulla governance dei dati finanziari aziendali

Uno degli obiettivi espliciti della PSD3 è quello di superare le tensioni di interoperabilità che hanno limitato l’open banking nella fase PSD2. Le banche tradizionali non potranno più negare l’accesso ai propri sistemi, e le API dovranno rispettare standard di qualità e disponibilità misurabili, pena sanzioni. Per le piattaforme AI che si integrano con l’infrastruttura bancaria, questo rappresenta un’opportunità concreta: accesso strutturato ai dati, formati standardizzati e SLA garantiti per contratto.

La convergenza tra Open Finance e intelligenza artificiale abilita scenari fino a poco tempo fa teorici. Questo nuovo paradigma vede pratiche di credito semplificate con compilazione automatica dei dati da più fonti, valutazioni creditizie arricchite in tempo reale, gestione finanziaria personale completamente automatizzata. Ma ogni integrazione porta con sé obblighi. Le piattaforme AI che accedono a dati bancari tramite API dovranno documentare ogni chiamata, giustificare l’utilizzo dei dati e garantire che le decisioni prodotte dal sistema siano spiegabili in sede di audit.

Responsabilità legale e tutele per le imprese nell’automazione dei pagamenti

La PSD3 sposta una quota significativa della responsabilità finanziaria in caso di frode dai consumatori alle banche e ai PSP. Le piattaforme online diventano corresponsabili per le truffe che transitano sui propri sistemi, e arriva la verifica IBAN obbligatoria per tutti i bonifici. Per le imprese che automatizzano i propri flussi di pagamento tramite agenti AI, questo significa che la catena di responsabilità si estende fino al sistema che ha iniziato la transazione e non è sufficiente dimostrare che l’utente aveva dato un mandato generico all’agente.

Il perimetro della PSD3 imporrà alle aziende di ridisegnare le proprie architetture decisionali non solo per efficienza operativa, ma per conformità legale. I fornitori di servizi di pagamento sono tenuti a rimborsare le transazioni fraudolente in caso di truffe di impersonificazione, e l’EBA può intervenire con poteri di vigilanza rafforzati. In questo scenario, la governance dell’automazione non è un’opzione strategica: è un requisito regolatorio. Costruire sistemi di pagamento autonomi senza un’architettura di controllo auditabile equivale a costruire su sabbia normativa.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Riccardo Petricca
Esperto Industria 4.0 Innovation Manager
È ingegnere delle Telecomunicazioni, giornalista e Innovation Manager certificato. Professore di Intelligenza Artificiale e Sostenibilità presso la Pontificia Università Antonianum. È impegnato in numerosi ambiti di ricerca tra i quali Integrazione digitale e Sostenibilità, Cybersecurity, Intelligenza Artificiale ed Etica, Pastorale digitale. Certificatore Crediti Ricerca e Sviluppo presso il MIMIT. È responsabile della Sicurezza dei dati – DPO – per numerosi enti pubblici e privati. Autore di numerosi articoli scientifici e dei volumi “Pastorale Digitale 3.0” (Roma, 2022) e Chiesa e Pastorale Digitale. In uscita verso una società 5.0 (Trapani, 2023).
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • robocall spoofing filtro chiamate apple spoofing telefonico chiamate commerciali in Spagna

  • Agcom

    Telemarketing, da agosto il super filtro dei numeri fasulli: ecco come

    30 Giu 2025

    di Eugenio Prosperetti

    Condividi
  • identità digitale e diritti digitali validità carta identità cartacea; Intesa CIE

  • fiducia digitale

    Identità semantica e SCA digitale: come l’AI trasforma il wallet

    09 Dic 2025

    di Simone Chiappino

    Condividi
  • parlamento UE sovranità digitale; tassa pacchi

  • intelligenza artificiale

    La nuova strategia AI dell'Europa: grandi ambizioni, poco impatto

    10 Ott 2025

    di Stefano da Empoli

    Condividi
0
Lascia un commento, la tua opinione conta.x