Mancano poche settimane al primo anniversario della proposta regolamentare europea in materia di Financial Data Access, denominata FIDA. Il disegno di legge emanato, per l’appunto, lo scorso 28 giugno dalla Commissione Europea si colloca in maniera coerente all’interno di un progetto normativo comunitario di più ampia portata – del quale fa parte anche la direttiva PSD2 (Payment Services Directive), complementare di FIDA in materia di open banking e su cui quest’ultima si basa a livello strutturale – con l’obiettivo di contribuire significativamente al miglioramento della gestione e della condivisione dei dati a livello europeo, implementando i processi di digitalizzazione e sviluppando nuovi modelli di business e di servizi data driven, soprattutto in ambito finanziario.

A livello operativo la nuova iniziativa dovrebbe consentire a terze parti (data users) di accedere, previa autorizzazione dei clienti, ad un vasto set di dati finanziari e personali (esclusi quelli concernenti polizze vita, salute e malattia che non rientrano nella normativa in esame) detenuti da istituzioni (data holders) con le quali gli stessi intrattengono già un rapporto contrattuale.

L’esigenza di un Regolamento ad hoc nasce da una serie di problematiche afferenti alla carenza di regole – o alla loro scarsa trasparenza – e di strumenti adeguati alla gestione dei permessi e alla condivisione dei dati. Inoltre, sono da considerare da un lato la lecita preoccupazione dei clienti nei confronti del data sharing (pensiamo ai sempre più frequenti casi di data leak) e, dall’altro, la detenzione quasi monopolistica delle informazioni da parte dei data holders (essenzialmente banche).

Il complesso di obiettivi che il Regolamento FIDA si prefigura di raggiungere spazia da intenti di natura generale – in linea con la strategia UE – come la costituzione di un quadro normativo armonizzato che favorisca l’interoperabilità fra Stati Membri e semplifichi le procedure di data sharing, fino ad includere propositi principalmente focalizzati in un’ottica “cliente centrica”, che prevedono di incrementare la fiducia dei consumatori proponendo strumenti adeguati per un controllo più efficace e di fornire soluzioni su misura compatibili con i bisogni dei clienti, siano essi privati o imprese (in particolare SMEs – Small-Medium Enterprises).

Al fine di realizzare concretamente le proposte appena elencate FIDA prevede, anzitutto, che il controllo sulle autorizzazioni sia appannaggio esclusivo dei clienti: “The sharing of the customer data in the scope of this Regulation should be based on the permission of the customer”.

Se da un lato, dunque, si sottolinea il carattere facoltativo del processo – senza obblighi di alcun genere a carico dei consumatori – dall’altro viene introdotto uno strumento utile alla gestione delle autorizzazioni, i cosiddetti permission dashboards. I data holders operanti sul mercato, infatti, dovrebbero provvedere affinché i clienti abbiano accesso a dei “pannelli di autorizzazione” facilmente comprensibili – che, per questo motivo, dovrebbero essere caratterizzati da estrema chiarezza e accuratezza – dai quali gli stessi possano verificare lo stato delle autorizzazioni in corso (fornite tramite mandato di accesso per dati esclusivamente “in lettura”), gli scopi per i quali sono state richieste ed altro ancora, oltre ad avere la possibilità di revocarle in qualsiasi momento (salvo clausole di natura contrattuale).

I dubbi e le perplessità dei consumatori circa il data sharing, invece, verrebbero dissipati garantendo degli standard di sicurezza e trasparenza elevati, coerentemente con le disposizioni in materia di cybersecurity contenute nel DORA (Digital Operational Resilience Act) e di protezione dei dati proprie del General Data Protection Regulation, cui sia i data holders che i data users dovranno sottostare.

Questi ultimi dovrebbero essere tenuti a aderire ai FDSS (Financial Data Sharing Schemes), degli schemi di autoregolamentazione distinti in base alla tipologia di dati trattati e ideati per implementare i processi di data sharing ad un livello di sicurezza maggiore. Nei FDSS dovrebbero essere indicati, oltre alle caratteristiche delle interfacce utilizzate per coordinare i meccanismi di funzionamento dei permission dashboards, i punti costituenti i quadri regolamentari standardizzati che disciplinano tali organismi, inclusi i requisiti di trasparenza da rispettare, l’accesso a dataset sensibili, le regole che stabiliscono il compenso spettante ai data holders per la cessione dei dati, la responsabilità contrattuale di ciascun operatore e i sistemi di risoluzione delle controversie.

La standardizzazione dei processi e il controllo costante da parte delle Autorità competenti – ESA (European Supervisory Authorities), EBA (European Banking Authority) e le altre figure designate dai singoli Stati Membri per questioni di rilevanza nazionale – costituirebbero un’ulteriore garanzia e assicurerebbero un grado di maggior tutela ai consumatori, che sarebbero più propensi a condividere i propri dati anche in virtù dei vantaggi ottenibili, quali servizi innovativi altamente personalizzati e costi inferiori attribuibili ad un livello di competitività superiore fra operatori del mercato.

È evidente che per la proposta in questione – considerata la complessità della disciplina – sia stato compiuto un notevole sforzo normativo al fine di presentare delle disposizioni in materia quanto più accurate possibili, a riprova della concreta volontà da parte delle Istituzioni europee di apportare significativi miglioramenti al settore finanziario.

Dopo una seconda e più attenta lettura, tuttavia, si possono individuare alcuni punti ancora nebulosi, come l’entità non specificata delle procedure di standardizzazione o le modalità di costituzione latenti dei Financial Data Sharing Schemes (che entreranno in vigore 18 mesi dopo il Regolamento).

Qualche riserva rimane anche in merito ai requisiti – più volte sottolineati – di estrema chiarezza e trasparenza, attributi imprescindibili dei permission dashboards. Ad oggi il corpo della proposta non è ancora definitivo; perciò, è possibile che queste lacune siano colmate con ulteriori prescrizioni fugando ogni dubbio residuo.

Ciò che è certo è che FIDA avrà un impatto sull’ecosistema finanziario, nel modo in cui oggi lo conosciamo. La vera domanda è: quanto sarà rilevante la natura di questo impatto? In che modo condizionerà gli operatori già attivi sul mercato? L’iniziativa interesserà anche i consulenti finanziari?

La risposta al primo e al secondo quesito – per quanto possa apparire elusiva – è che bisognerà attendere l’entrata in vigore del Regolamento (tra circa un anno) e monitorare i suoi sviluppi nel tempo per comprendere l’effettiva portata del progetto.

Per quel che riguarda i consulenti finanziari, invece, si possono avanzare alcune ipotesi sul possibile rilievo che la disciplina in materia di open finance andrà ad assumere. È legittimo chiedersi, ad esempio, se anche ai consulenti – in quanto data users e data holders – sarà richiesta l’adesione ai Financial Data Sharing Schemes; o, ancora, se i vantaggi prospettati dal Regolamento saranno loro fruibili, comportando un risparmio di tempo nel processo di data analysis e nella ricerca di soluzioni personalizzate il più possibile compatibili con gli obiettivi di investimento e con il tenore di vita dei clienti.

È necessario, inoltre, ricordare che la proposta su FIDA prevede la nascita di nuove figure denominate “Financial Data Service Providers” (FISPs, su analogia degli Account Information Service Providers in materia di open banking), una categoria autorizzata di data users con standard di sicurezza elevati garantiti per l’utilizzo dei dati, dai quali i consumatori potrebbero ricavare diversi benefici.

Una delle ipotesi è che i FISPs possano presentare un potenziale concorrente entrante nel macroambiente competitivo in cui operano i consulenti, per via delle credenziali accreditate a livello europeo che permetterebbero l’accesso – sempre su autorizzazione – a dataset di vario genere, oltre che garantire loro la possibilità di operare in via indiretta anche in altri Stati Membri attraverso la nomina di un rappresentante legale nello Stato di interesse. Tuttavia, i requisiti che i FISPs saranno tenuti a rispettare per diventare tali – solidi business plan, cybersicurezza e tanto altro – fanno scemare l’imminenza di questa ipotetica minaccia esterna, almeno nel breve termine.

Ulteriori ipotesi attengono, al contrario, a nuove opportunità che potrebbero prospettarsi per i consulenti finanziari. Se si pensa che uno degli obiettivi di FIDA è quello di incrementare la fiducia dei consumatori nei confronti del data sharing, non si può non notare, in questi termini, uno scarto differenziale positivo a vantaggio dei consulenti, per via dei rapporti instaurati con i loro clienti. Si potrebbe, dunque, far leva su queste relazioni per favorire una maggior apertura dei consumatori alla possibilità di condividere i loro financial e personal data? Potrebbero i consulenti rendere più percepibili i vantaggi della normativa che, ipoteticamente, potrebbero non essere comprensibili nell’immediato ai loro clienti privati? Potrebbero gli stessi consulenti essere chiamati (tramite delega o permessi specifici) a gestire alcune autorizzazioni da parte dei clienti in caso di necessità?

In merito agli sviluppi e agli effetti della regolamentazione, sia in tema FIDA che in ottica più ampia in tema di RSI (Retail investment strategy) si veda il seguente post di Roberto Arosio:

Le possibilità sono numerose e anche in questo caso dovremo attendere l’entrata in vigore del Regolamento e le sue eventuali evoluzioni; ciò che i consulenti finanziari sanno è che sarà necessario – come in altre occasioni – tenersi pronti ad affrontare nuove sfide di mercato per stare sempre al passo con le innovazioni.