Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

la svolta

Psd3 e Psr cambiano le regole dei pagamenti digitali in Europa

Home Cultura e società digitali
Partecipa al dibattito
Indirizzo copiato

L’accordo tra Parlamento e Consiglio Ue su Psd3 e Psr ridisegna l’architettura dei pagamenti europei, rafforzando la lotta alle frodi, aumentando la trasparenza di costi e commissioni, tutelando il contante e dando nuovo slancio all’open banking, con impatti diretti su banche, fintech, piattaforme e consumatori

Pubblicato il 28 nov 2025
Sergio Boccadutri

Consulente antiriciclaggio e pagamenti elettronici

psd3 psr

L’Europa sta ridisegnando le regole del gioco per i pagamenti. Il 27 novembre il Parlamento europeo e il Consiglio hanno raggiunto un accordo politico su due nuovi testi che, insieme, riscrivono l’architettura del settore: il Payment Services Regulation (PSR) e la Third Payment Services Directive (PSD3).

Non è un semplice ritocco di PSD2, ma un aggiornamento strutturale che ha un obiettivo chiaro: proteggere meglio consumatori e imprese dalle frodi, rendere più trasparenti i costi, aprire di più il mercato alla concorrenza – soprattutto nel mondo dell’open banking – e garantire che il contante resti davvero un’alternativa praticabile, anche nei territori meno serviti.

PSD3 e PSR: il 2025 dei servizi di pagamento in Europa

PSD3 e PSR, più responsabilità contro le frodi digitali

Il nuovo impianto si regge su una divisione di ruoli precisa. Il PSR, essendo un regolamento, entrerà direttamente in vigore in tutti gli Stati membri e raccoglie le regole operative: diritti degli utenti, trasparenza delle commissioni, prevenzione delle frodi, requisiti per l’open banking, rapporti tra banche, istituti di pagamento, piattaforme e fornitori tecnologici. La PSD3, invece, è una direttiva e interviene soprattutto sul piano prudenziale e autorizzativo: disciplina come si diventa e come si rimane istituto di pagamento o di moneta elettronica, quali requisiti di capitale e di governance devono essere rispettati, quali margini di azione hanno le autorità di vigilanza nazionali. In pratica, PSD3 raccoglie e aggiorna gran parte di PSD2 e integra in modo più organico le regole sugli emittenti di e-money.

La logica di fondo è quella di un’evoluzione più che di una rivoluzione: la Commissione ha riconosciuto che PSD2 ha funzionato, ma che sono emerse lacune importanti, soprattutto su tre fronti: contrasto alle frodi sempre più sofisticate, attuazione concreta dell’open banking e omogeneità dei presidi di vigilanza tra i diversi Stati membri. PSR e PSD3 nascono per colmare questi vuoti, prendendo atto di come nel frattempo siano cambiate tecnologia, abitudini di pagamento e rischio operativo.

Frodi: più responsabilità per chi eroga servizi di pagamento e per le piattaforme digitali

Il primo grande blocco di novità riguarda la lotta alle frodi, ormai considerate un rischio sistemico per la fiducia nei pagamenti digitali. Il legislatore europeo ribalta in parte la prospettiva: non ci si limita più a chiedere agli utenti di essere “attenti”, ma si sposta in modo più deciso l’onere della prevenzione sugli operatori professionali – banche, istituti di pagamento, piattaforme online – che hanno mezzi, dati e strumenti per intervenire.

Controllo del nome associato all’IBAN

Un elemento chiave è l’estensione e la generalizzazione del cosiddetto controllo dell’associazione del nome ad un IBAN. Prima di eseguire un bonifico, il prestatore di servizi di pagamento dovrà verificare che il nome del beneficiario e il relativo IBAN corrispondano. In caso di disallineamento, l’operazione potrà (e in molti casi dovrà) essere rifiutata, informando il pagatore. Questa logica, già adottata in alcuni contesti per i pagamenti istantanei, viene ora estesa in maniera sistematica, con l’obiettivo di ridurre le frodi basate su IBAN non corrispondenti all’effettivo beneficiario.

Operazioni non autorizzate e rimborsi

Accanto a questo, viene rafforzata la disciplina delle operazioni non autorizzate. Se una transazione è disposta o modificata da un soggetto non legittimato, sarà considerata a tutti gli effetti non autorizzata, con il conseguente obbligo di rimborso integrale a carico del PSP, salvo che quest’ultimo dimostri una condotta fraudolenta o gravemente negligente da parte del cliente.

Non solo: il prestatore che riceve i fondi, davanti a una transazione sospetta (ad esempio irrituale per l’attività svolta dal beneficiario), dovrà essere in grado di bloccarla o congelarla per facilitare il recupero delle somme.

Frodi da social engineering e responsabilità degli operatori

La vera novità, però, è il trattamento delle frodi in quei casi in cui il truffatore si finge un operatore legittimo – la banca, l’istituto di pagamento, talvolta addirittura un’autorità – e convince il cliente a effettuare in prima persona un’operazione o a condividere dati sensibili, sfruttando messaggi, email o telefonate altamente credibili.

Finora queste situazioni erano spesso considerate “colpa” dell’utente, che tecnicamente aveva “autorizzato” il pagamento. Con il nuovo quadro, se il cliente denuncia la frode alla polizia e informa il proprio PSP, quest’ultimo potrebbe trovarsi a rimborsare l’intero importo anche quando l’operazione è stata in apparenza autorizzata dall’utente, ma basata su un inganno strutturato.

Piattaforme online e motori di ricerca

In parallelo, vengono introdotti obblighi specifici per le piattaforme online e i motori di ricerca. I grandi portali che ospitano annunci su servizi finanziari potranno farlo solo se chi offre quei servizi è effettivamente autorizzato o legittimato a operare nel Paese di destinazione.

E se una frode ha origine da contenuti chiaramente fraudolenti presenti sulla piattaforma, che non sono stati rimossi nonostante una segnalazione, la piattaforma potrà essere chiamata a indennizzare le banche e i PSP che hanno rimborsato i clienti. È un’estensione importante rispetto al Digital Services Act: il tema non è solo moderare contenuti illegali, ma assumere una responsabilità concreta quando la filiera del pagamento viene inquinata alla fonte.

Assistenza umana ed educazione finanziaria

La prevenzione, comunque, non è solo tecnologia e responsabilità. Il pacchetto insiste anche su aspetti più “umani”: gli utenti dovranno avere accesso a un servizio di assistenza con operatori reali, e non esclusivamente a chatbot o sistemi automatici, soprattutto nei casi di sospetta frode.

Inoltre, si invitano gli Stati membri a investire in educazione finanziaria e digitale, per aiutare le persone a riconoscere le truffe prima che sia troppo tardi.

Commissioni e tassi di cambio: come PSD3 e PSR cambiano la trasparenza

Il secondo pilastro del nuovo impianto è la trasparenza delle commissioni. L’idea è semplice: il cliente deve conoscere i costi prima che il pagamento venga eseguito, non scoprirli a posteriori sull’estratto conto.

I prestatori di servizi di pagamento dovranno fornire, in modo chiaro e comprensibile, tutte le informazioni su commissioni e tassi di cambio applicati. Questo riguarda in particolare i pagamenti che comportano una conversione valutaria e le operazioni ai bancomat (ATM). L’utente dovrà poter leggere, sullo schermo dell’ATM, l’esatto importo delle commissioni e l’eventuale tasso di cambio prima di confermare l’operazione, indipendentemente da chi gestisce la macchina.

Anche i soggetti che offrono ai merchant servizi di accettazione carte e pagamenti elettronici saranno tenuti a una maggiore chiarezza sulle commissioni applicate ai commercianti. In questo modo, imprese e professionisti avranno strumenti più solidi per confrontare le offerte dei vari acquirer e negoziare condizioni più competitive. Il risultato atteso è un mercato più trasparente, dove il prezzo non è nascosto dietro sigle e voci difficilmente intellegibili.

Nuovi servizi di prelievo e tutela dell’accesso al contante

Nonostante la forte spinta verso i pagamenti digitali, le istituzioni europee ribadiscono che il contante deve rimanere una vera alternativa. Il tema è particolarmente sensibile nelle zone rurali o periferiche, dove la chiusura di filiali e sportelli ATM ha reso più difficile accedere al denaro contante.

Il contante non scompare: prelievi in negozio e tutela delle aree rurali

Per rispondere a questo problema, il nuovo quadro consente ai negozi al dettaglio di offrire un servizio di prelievo di contante in cassa, senza obbligo di acquisto. Il cliente potrà quindi entrare in un punto vendita e prelevare contanti fino a un massimo di 150 euro, utilizzando la propria carta e il PIN, in modo simile a un normale pagamento ma con esito “cash out”. Il tutto sarà soggetto a requisiti tecnici di sicurezza, a partire dall’uso della tecnologia chip & PIN, per evitare scenari di abuso o riciclaggio.

Si tratta, di fatto, di una rete di “mini sportelli” diffusi sul territorio, che potrà alleviare la dipendenza dagli ATM tradizionali e garantire alle persone, soprattutto le più fragili o meno digitalizzate, un accesso dignitoso e comodo al contante.

Questa nuova misura probabilmente comporterà che l’Italia dovrà rivedere una modifica all’articolo 17 del decreto antiriciclaggio, introdotta con la legge di Bilancio 2024 (art. 1, co. 504), che prevede che gli obblighi in materia antiriciclaggio per le operazioni occasionali non si applicano ai prelievi fino a 250 euro al giorno presso soggetti che hanno comunque un rapporto commerciale con il prestatore di servizi di pagamento, ad esempio bar, tabacchi ed edicole.

Open banking 2.0: PSD3 e PSR rafforzano accesso ai dati e tutele

PSD2 ha introdotto il concetto di open banking, permettendo a soggetti terzi (fintech, aggregatori, app di gestione delle finanze personali) di accedere ai dati dei conti, previo consenso del cliente, e di avviare pagamenti per suo conto. Nella pratica, però, l’attuazione è stata molto eterogenea: API di qualità variabile, ostacoli tecnici, tempi di risposta lunghi, interruzioni di servizio, procedure di autenticazione spesso percepite come macchinose.

PSR e PSD3 cercano di correggere questi problemi. Da un lato, si punta a ridurre le barriere regolamentari e operative per chi offre servizi di informazione sui conti (AIS) e iniziativa di pagamento (PIS), chiarendo i requisiti e rendendo il quadro più prevedibile. Dall’altro, si introduce un divieto esplicito di comportamenti discriminatori da parte delle banche e degli altri PSP nei confronti degli operatori open banking autorizzati.

Vengono elencati, in modo abbastanza dettagliato, gli “ostacoli proibiti”: interfacce dedicate sistematicamente indisponibili, funzionalità bloccate o degradate rispetto agli home banking tradizionali, richieste di autenticazione non proporzionate, limitazioni arbitrarie nel numero o nella natura delle richieste.

Dashboard dei consensi e controllo dei dati

Un elemento significativo per gli utenti è l’introduzione di una dashboard dei consensi: ogni cliente dovrà poter vedere, in un’unica schermata, quali soggetti terzi hanno accesso ai suoi dati, per quali finalità e per quanto tempo. Da lì potrà revocare i consensi, limitarne l’ambito o rinnovarli. È un passo importante verso un modello in cui i dati non sono “lasciati in giro” senza controllo, ma gestiti in modo consapevole e revocabile.

C’è da dire che tale innovazione è figlia di una novità introdotta in Italia con il recepimento della PSD2, che prevedeva la possibilità di revocare il consenso al prestatore di servizi di informazione sui conti o a un prestatore di servizi di disposizione di ordine di pagamento attraverso il prestatore di servizi di pagamento di radicamento del conto (la banca o il PSP ai quali hanno accesso gli altri prestatori).

Accesso ai dispositivi e concorrenza nei wallet

L’open banking, inoltre, non è più visto solo come un dialogo tra banche e fintech, ma si allarga alla dimensione tecnologica dei dispositivi. I produttori di smartphone e i fornitori di sistemi operativi dovranno consentire a wallet, app e interfacce utente di terze parti di accedere, a condizioni eque e non discriminatorie, alle funzioni necessarie per eseguire pagamenti, come l’NFC o il secure element.

Questo riduce il rischio che un singolo attore possa dominare l’esperienza di pagamento sui telefoni, imponendo il proprio wallet e limitando gli altri.

Autorizzazione degli istituti di pagamento e rapporto con i crypto-asset

Oltre alla dimensione operativa del PSR, la PSD3 interviene in profondità sui profili autorizzativi e prudenziali degli istituti di pagamento e degli emittenti di moneta elettronica. L’obiettivo è duplice: da un lato, rendere le regole più coerenti e armonizzate tra gli Stati membri; dall’altro, garantire che il livello di capitale e di presidio dei rischi sia effettivamente allineato al modello di business.

Le nuove norme prevedono una revisione delle procedure di autorizzazione, con tempi più chiari e criteri più uniformi a livello europeo. Allo stesso tempo, definiscono in modo più puntuale i requisiti di capitale iniziale e le metodologie per il calcolo dei fondi propri, introducendo una logica di proporzionalità: chi svolge attività più rischiose o gestisce volumi più elevati dovrà disporre di margini patrimoniali adeguati, ma senza soffocare l’innovazione con oneri eccessivi per i player più piccoli e specializzati.

Una novità interessante è il collegamento con il regolamento MiCA sui crypto-asset. I soggetti già autorizzati come Crypto Asset Service Providers potranno accedere a una procedura semplificata per ottenere l’autorizzazione come istituti di pagamento, mantenendo però specifici presìdi di rischio e limitando i servizi offerti a quelli autorizzati. È un segnale di convergenza tra il mondo “tradizionale” dei pagamenti e l’ecosistema digitale dei crypto-asset regolamentati, che in futuro potrebbe portare a modelli ibridi sempre più diffusi.

Impatto di PSD3 e PSR su banche, PSP, fintech e consumatori. Chi guadagna e chi si deve muovere

Per le banche e gli altri ASPSP, il nuovo quadro comporta un impegno significativo. Serviranno maggiori investimenti in sistemi antifrode avanzati, in capacità di condivisione strutturata delle informazioni sulle frodi, in API più robuste e in interfacce di gestione dei consensi. A questo si aggiunge la necessità di rivedere i processi di assistenza al cliente, garantendo la disponibilità di supporto umano nei casi più delicati. D’altro canto, l’armonizzazione europea riduce la frammentazione normativa, apre la strada a soluzioni pan-europee e può dare più certezza agli investimenti tecnologici di lungo periodo.

Per gli istituti di pagamento e le fintech, PSD3 è insieme una sfida e un’opportunità. Da un lato, i requisiti prudenziali più strutturati possono comportare un aumento degli oneri regolamentari; dall’altro, la semplificazione delle procedure di autorizzazione e la tutela contro pratiche discriminatorie da parte delle banche rendono il mercato più accessibile e prevedibile. In particolare, i fornitori di servizi di informazione e di iniziativa di pagamento potranno contare su regole più chiare in materia di accesso ai dati, riducendo una delle principali incertezze dell’era PSD2.

Le piattaforme online, i motori di ricerca e i produttori di device dovranno adattare modelli di business e architetture tecniche. Da un lato, si troveranno ad assumere responsabilità più dirette sui contenuti finanziari pubblicati e sulla prevenzione delle frodi originate sulle loro piattaforme. Dall’altro, dovranno aprire in misura maggiore le interfacce e le funzionalità dei propri ecosistemi tecnici a soggetti terzi, su basi eque e non discriminatorie. Questo potrebbe modificare l’equilibrio competitivo nelle soluzioni di pagamento integrate negli smartphone e nei grandi marketplace.

Per i consumatori, infine, i benefici potenziali sono evidenti: maggiore possibilità di recuperare le somme perse a causa di frodi sofisticate, più trasparenza sui costi, strumenti più chiari per controllare chi accede ai loro dati, accesso al contante assicurato anche in contesti meno serviti e vie di ricorso extragiudiziali più rapide in caso di problemi.

Calendario di approvazione e prossime tappe operative

L’accordo raggiunto tra Parlamento e Consiglio è, al momento, politico e dovrà essere formalmente adottato dai due colegislatori. Solo dopo la pubblicazione nella Gazzetta Ufficiale dell’UE si potrà parlare di tempi certi per l’applicazione. In linea generale, ci si può attendere che il PSR inizi a dispiegare i suoi effetti dopo un periodo di transizione (tipicamente uno-due anni), mentre la PSD3 richiederà i consueti tempi di recepimento nazionale, con una piena operatività più avanti nel corso del decennio.

Per operatori finanziari, fintech, merchant e piattaforme digitali, questo è il momento per non limitarsi a “leggere il testo”, ma per tradurre le nuove regole in piani concreti: valutare gli impatti sui modelli di rischio, ridisegnare i processi antifrode, ripensare le interfacce di open banking, aggiornare la comunicazione verso i clienti. Il messaggio di fondo del pacchetto è chiaro: i pagamenti europei devono diventare più sicuri, più trasparenti, più aperti, e chi saprà muoversi in anticipo potrà trasformare un obbligo regolamentare in un vantaggio competitivo.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

B
Sergio Boccadutri
Consulente antiriciclaggio e pagamenti elettronici
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • pagamenti digitali Online payment, protection, security fornitori di servizi di pagamento Instant Payment Regulation

  • società digitale

    Pagamenti digitali: l'Italia svolta verso il futuro

    08 Apr 2025

    di Roberta Cocco

    Condividi
  • Come scegliere le carte di credito aziendali, caratteristiche e prezzi

  • LA GUIDA

    Carte di credito aziendali, le migliori (secondo noi) del 2026

    30 Ott 2025

    di Redazione Affiliation Network360

    Condividi
  • Scopri le migliori carte prepagate senza conto corrente

  • LA GUIDA

    Addio alle banche: queste sono le migliori carte prepagate gratis del 2025

    01 Set 2025

    di Redazione Affiliation Network360

    Condividi