Tra le principali novità introdotte dal Regolamento europeo 886/2024 sui bonifici istantanei (Instant Payments Regulation, IPR) si inserisce il nuovo servizio di verifica del beneficiario che i Prestatori di Servizi di Pagamento (PSP) dell’area euro dovranno offrire entro il 9 ottobre 2025[1].
In un contesto nazionale ed internazionale che vede la diffusione su ampia scala dei bonifici istantanei e la realizzazione di soluzioni di pagamento sempre più digitali e innovative, il servizio di verifica del beneficiario rappresenta, secondo le aspettative delle autorità europee, un presidio fondamentale per garantire ancora maggiore sicurezza e, dunque, maggiore fiducia da parte degli utenti.
Vediamo in cosa consiste questo nuovo servizio e fino a che punto questa misura potrà, di per sé, contrastare il fenomeno delle frodi nei pagamenti.
Indice degli argomenti
Cosa prevede il Regolamento europeo sulla verifica del beneficiario
Il nuovo articolo 5-quater del Regolamento (UE) 260/2012 (Regolamento SEPA), come modificato dall’IPR, definisce puntualmente le regole che caratterizzano il servizio di verifica e il processo che i PSP dell’ordinante e del beneficiario dovranno seguire.
In estrema sintesi, prima dell’autorizzazione dell’operazione di pagamento, l’ordinante di un bonifico (istantaneo e non istantaneo) dovrà essere informato delle eventuali discrepanze nei dati del beneficiario che ha inserito: nome, cognome e l’IBAN, che identifica il suo conto di pagamento. Se il destinatario del bonifico è una persona giuridica, la verifica potrà riguardare un codice identificativo alternativo al nome (es. codice fiscale, partita IVA, codice LEI – Legal Entity Identifier).
I PSP degli ordinanti dovranno offrire gratuitamente questo servizio a tutti i propri clienti, siano essi consumatori o imprese/microimprese, con possibilità per queste ultime di farvi rinuncia (cosiddetto “opt-out”) per operazioni di pagamento a pacchetto (“bulk”). Il servizio dovrà inoltre essere reso disponibile su tutti i canali in cui è possibile effettuare bonifici, con poche eccezioni previste espressamente dal Regolamento: è il caso dei bonifici cartacei se l’ordinante non è presente nel momento in cui il PSP riceve l’ordine di pagamento; delle transazioni inizializzate da un Prestatore di Servizi dispositivi (PISP) nei casi in cui i dati del beneficiario sono inseriti dal PISP che deve assicurarne la correttezza; più in generale, di tutti i casi in cui i dati del beneficiario non sono inseriti direttamente dall’ordinante, sempre nel presupposto che il PSP ne garantisca la correttezza.
Lo scenario europeo e la sfida dell’armonizzazione
Il servizio di verifica del beneficiario non è un’assoluta novità nel panorama del mercato dei pagamenti europei. Negli ultimi anni, infatti, sono state messe a punto diverse soluzioni di questo tipo, prevalentemente a livello locale, e nuovi servizi si stanno facendo strada sulla spinta dell’obbligo normativo previsto dal Regolamento (nella figura 1 alcune delle soluzioni disponibili in diversi paesi europei).
Facendo leva su queste soluzioni, come si può garantire il corretto svolgimento del servizio di verifica del beneficiario in un perimetro geografico molto ampio, che interessa tutti i paesi membri dell’Unione Europea e quelli dello Spazio Economico Europeo (SEE) e potenzialmente, su base volontaria, anche la platea più allargata degli ulteriori paesi extra-SEE che fanno parte della SEPA?
Figura 1 – Alcune soluzioni di verifica del beneficiario in Europa
Lo schema VOP e il ruolo dell’EPC directory service
Per rispondere a questa domanda, assume un ruolo chiave il nuovo schema di verifica del beneficiario (“Verification of Payee – VoP”) che il Consiglio Europeo dei Pagamenti (European Payments Council – EPC)[2] ha realizzato per supportare i PSP che aderiscono agli schemi di bonifico (SEPA Credit Transfer – SCT) e bonifico istantaneo (SEPA Instant Credit Transfer – SCT Inst) nell’offerta del nuovo servizio introdotto dall’IPR.
Lo schema VoP, pubblicato a ottobre 2024 e in vigore dal prossimo 5 ottobre in coerenza con la prima scadenza normativa prevista dal Regolamento per i PSP situati nell’area euro, definisce uno standard comune per il servizio di verifica del beneficiario nell’area SEPA. Insieme alle specifiche tecniche basate sull’Application Programming Interface (API) e alle linee guida per la definizione degli algoritmi di verifica, questo standard rappresenta il primo tassello con cui l’EPC intende promuovere l’armonizzazione, la piena raggiungibilità e l’interoperabilità. A questo si affianca la funzione cruciale che sarà ricoperta dall’EPC Directory Service – EDS, la tabella centralizzata realizzata in collaborazione con SWIFT che conterrà tutte le informazioni dei PSP che aderiscono allo schema VoP: i dati anagrafici del PSP, le modalità di partecipazione allo schema e gli indirizzi che dovranno essere utilizzati per il colloquio tra i partecipanti (“API endpoint”). Per assicurare piena raggiungibilità e interoperabilità, tutti i PSP che partecipano allo schema di bonifico e/o bonifico istantaneo (SCT/SCT Inst) dovranno obbligatoriamente aderire anche allo schema VoP ed essere registrati nell’EDS per un periodo minimo di tre anni, fatta salva la possibilità di opt-out in alcuni casi specifici che i PSP hanno potuto esercitare entro il 31 gennaio 2025.
Figura 2 – Il processo di verifica previsto dallo schema VoP
Funzionamento operativo della verifica del beneficiario
In piena coerenza con il processo previsto dal Regolamento, il PSP dell’ordinante invia una richiesta di verifica al PSP del beneficiario, il quale restituisce l’esito (Match; No Match; Close Match con indicazione del nome corretto del beneficiario, Verifica non possibile) entro il termine massimo di 5 secondi, ma con raccomandazione di svolgere la verifica nell’arco di un secondo (nelle figure 2 e 3 una rappresentazione grafica del processo di verifica e degli esiti che possono essere restituiti).
Il PSP dell’ordinante comunica immediatamente l’esito della verifica all’ordinante che, sulla base di questa informazione, può decidere se autorizzare o meno l’operazione di pagamento. Nei casi di discordanza anagrafica o in cui la verifica non è stata possibile, il PSP informa anche dei rischi in cui l’ordinante potrebbe incorrere scegliendo di autorizzare comunque la transazione. Questa comunicazione è fondamentale rispetto al quadro delle responsabilità previsto dalla Direttiva europea 2015/2366 (PSD2) e confermato dal Regolamento europeo 260/2012: i PSP eseguono un ordine di pagamento sulla base esclusiva dell’identificativo unico del conto di pagamento e non sono responsabili dell’eventuale esecuzione inesatta, nel presupposto però che abbiano svolto il servizio di verifica del beneficiario in modo corretto. In altri termini, se il cliente opportunamente informato sceglie comunque di eseguire l’operazione, si assume il rischio di un’eventuale esecuzione inesatta, mentre il PSP sarà tenuto al rimborso nel caso in cui non abbia notificato correttamente l’esito della verifica.
Come detto, il colloquio è possibile grazie alla funzione svolta dall’EDS, la cui copia locale deve essere scaricata quotidianamente tramite API o mediante apposita interfaccia grafica (Graphic User Interface – GUI).
Nell’ambito dello schema, i PSP possono operare direttamente o per il tramite di un soggetto facilitatore (“Routing and Verification Mechanism” – RVM), che si occupa dello scambio delle richieste/risposte VoP o addirittura applica l’algoritmo di verifica in nome e per conto del PSP, pur rimanendo quest’ultimo responsabile nei rapporti con gli altri partecipanti. In uno scenario che vedrà aderire allo schema VoP oltre 3.000 PSP entro ottobre 2025 e più di 5.000 a luglio 2027, diventa fondamentale il ruolo dei facilitatori come soggetti “accentratori”, per ridurre il numero di connessioni punto a punto e facilitare le attività di implementazione e test dei nuovi servizi, anche grazie alla sandbox API che sarà realizzata da EPC in collaborazione con StreamMind e che avrà un ruolo chiave nel processo di certificazione ai fini della partecipazione allo schema.
Tempi, fasi e criticità dell’adesione allo schema VOP
Il 24 marzo 2024 è stato avviato il processo di adesione allo schema di verifica del beneficiario, che si svilupperà in due fasi distinte: la prima, in cui i PSP dovranno inviare all’EPC la documentazione necessaria ai fini della partecipazione allo schema ed effettuare il pagamento delle quote di contribuzione previste (“fase documentale”), e la seconda, in cui i PSP dovranno completare la registrazione nell’EDS. Questo processo, come si è detto, coinvolgerà un numero davvero significativo di PSP in tempi molto stringenti. È quindi fondamentale muoversi per tempo, utilizzando i tempi indicati dall’EPC per garantire il completamento dell’iter di adesione entro il termine di ottobre 2025. In particolare, la fase documentale dovrà essere ultimata entro il 15 maggio 2025 per garantire la registrazione in EDS entro il 15 agosto 2025, mentre l’invio delle pratiche andrà concluso entro il 30 giugno 2025 per consentire di completare l’iter di adesione entro il 10 settembre 2025. Anche in questo ambito risulta cruciale il ruolo degli RVM che insieme ai soggetti che operano in qualità di National Adherence Support Organization – NASO (ABI per l’Italia) potranno supportare i PSP nel corretto e tempestivo svolgimento del processo di adesione.
La scadenza del 9 ottobre 2025 è ormai vicina e gli sforzi dell’EPC sono ora rivolti soprattutto al completamento dei rilasci per mettere i PSP nella condizione di offrire il servizio di verifica del beneficiario in linea con il dettato normativo. Parallelamente, le Associazioni nazionali ed europee del settore dei pagamenti continuano a supportare i Prestatori, sulle cui spalle ricade l’onere principale di implementazione del nuovo servizio in tempi molto stringenti, promuovendo il confronto sui diversi dubbi implementativi che permangono in merito alla VoP, anche in raccordo con le Autorità. Per quanto riguarda la clientela, chiamata a confrontarsi con novità di processo e con informazioni che verranno restituite in esito alla verifica e che andranno adeguatamente spiegate, è fondamentale avviare un percorso di preparazione a fronte di una partenza a “big-bang” del nuovo servizio.
Efficacia della verifica del beneficiario nella prevenzione delle frodi
Proprio rivolgendo l’attenzione alla clientela, è indubbio che la VoP introdurrà uno strumento nuovo e affidabile che consentirà di prevenire errori di digitazione dei dati del beneficiario che potrebbero comportare il trasferimento dei fondi a un destinatario sbagliato. Questo aspetto è tanto più rilevante nel caso dei bonifici istantanei, che per loro natura non possono essere revocati. Si deve tuttavia considerare che il servizio dovrà essere adeguatamente messo a punto affinché non ponga frizioni non volute nell’ambito dell’operazione di pagamento, contemperando l’esigenza di tutela e sicurezza con la necessità di agevolare l’esperienza d’uso dei clienti.
Figura 3 – Esiti del servizio di verifica del beneficiario
Se l’utilità della VoP come misura per ridurre gli errori trova parere unanime, guardando alla sua funzione di strumento antifrode occorre essere più cauti. Da un lato, l’esperienza maturata nel Regno Unito e in Olanda, paesi precursori nell’ambito dell’offerta di servizi di verifica del beneficiario, sembra confermare che l’adozione di questo strumento, oltre a portare a un calo del 67% dei pagamenti “disguidati”, ha ridotto dell’81% le transazioni fraudolente riferite a truffe per impersonificazione[3]. Dall’altro, EBA Clearing mostra statistiche secondo cui il 50% delle operazioni che si è scoperto essere fraudolente non sarebbero state intercettate con la VoP, evidenziando per altro verso il rischio che transazioni genuine possano incorrere in un esito “No Match”[4] anche a causa delle particolarità linguistiche, variazioni ortografiche o disponibilità di dati incompleti dei beneficiari, per cui si sottolinea la necessità di affinare la definizione di algoritmi sempre più sofisticati e rafforzare la comunicazione verso la clientela.
In linea generale, sembra potersi affermare che il servizio di verifica del beneficiario trovi efficacia nella maggior parte delle frodi in cui il pagatore è indotto con l’inganno a trasferire fondi verso un conto controllato dal frodatore (frodi tramite pagamento push autorizzato, cd. Authorized Push Payment – APP). Rientrano in questa fattispecie esempi di frodi note come “truffe del capo” o “truffe della fattura”, in cui un dirigente o un dipendente autorizzato di un’azienda è spinto da un truffatore a effettuare pagamenti in favore di un conto fraudolento. In questi casi, la disponibilità di un servizio VoP può aiutare a smascherare la truffa facendo emergere che le coordinate del conto (come indicate/modificate dal truffatore) non corrispondono al beneficiario dell’operazione di pagamento.
Di contro, il servizio di verifica del beneficiario non sembra possa essere d’ausilio nel contrastare altre tipologie di truffe in cui è il frodatore stesso a immettere il pagamento prendendo possesso del conto di pagamento dell’ordinante (cd. “account takeover”): si tratta di fenomeni molto diffusi che si realizzano tramite malware (attacchi informatici che prevedono l’installazione di programmi malevoli sui dispositivi delle vittime) o tecniche di social engineering (tecniche di manipolazione che inducono le vittime a comunicare al truffatore le proprie credenziali).
Quindi, il servizio di verifica del beneficiario non può essere considerato un “silver bullet” contro le frodi. Ad esso dovranno necessariamente accompagnarsi presidi ulteriori, tra cui il potenziamento di meccanismi di scambio delle informazioni relative alle operazioni fraudolente (“infosharing”) come la Malware Information Sharing Platform (MISP) realizzato dall’EPC, e l’applicazione di strumenti volti ad alimentare le procedure antifrode dei PSP con indicatori del rischio di frode (Fraud Risk Indicator). Più in generale, infatti, è fondamentale adottare un approccio olistico inserendo la VoP in un quadro più ampio di misure che si prefiggano l’obiettivo di spingere verso un mercato dei pagamenti sempre più innovativo e digitale, e al contempo sicuro; direzione che è stata intrapresa nell’ambito del processo di revisione della PSD2 che vedrà la luce con il nuovo Regolamento sui servizi di pagamento (PSR) e la terza direttiva sui servizi di pagamento (PSD3).
Note
[1] I PSP situati in paesi che non hanno adottato l’euro dovranno adeguarsi entro il 9 luglio 2027.
[2] L’EPC è un’associazione non-profit formata da 83 membri (PSP e associazioni di PSP) che, attraverso un costante dialogo con le autorità e tutti gli stakeholder a livello europeo, sostiene e promuove l’integrazione e lo sviluppo dei pagamenti europei. A questo proposito, assume il ruolo di gestore degli schemi di bonifico, bonifico istantaneo e addebito diretto disponibili nell’area SEPA nonché di altri schemi e iniziative correlate ai pagamenti.
[3] https://surepay.co.uk/surepay-joins-fis-strengthening-delivery-of-verification-and-confirmation-of-payee-across-the-eu-and-uk/
[4] https://bancaforte.it/notizie/instant-payments-bisogna-rafforzare-la-sicurezza-RB102576l
