PSD2 e open banking 2021: opportunità per PMI italiane

Il contesto 2021: open banking esce dalla fase pilota

La PSD2 (Payment Services Directive 2) è in vigore in tutta l’Unione Europea dal 13 gennaio 2018. L’Italia l’ha recepita con il D.Lgs. 218/2017 e la Banca d’Italia ha emanato le disposizioni attuative. La parte più visibile della direttiva — la Strong Customer Authentication (SCA) e l’accesso al conto via API per soggetti terzi autorizzati — ha avuto un’applicazione meno lineare: l’EBA ha concesso una proroga fino al 31 dicembre 2020, che in Italia ha portato la piena applicazione operativa al 1° gennaio 2021 per commercio elettronico e home banking.

Nel 2021 l’ecosistema esce dalla fase pilota: i primi report di Banca d’Italia e dell’Osservatorio Fintech & Insurtech del Politecnico di Milano registrano oltre 120 TPP autorizzati in Italia, una crescita del 35% anno su anno dei consensi AISP attivi e un volume di pagamenti SEPA Instant oltre i 50 miliardi di euro a livello UE. La CBI ha consolidato la piattaforma CBI Globe come hub PSD2 per oltre 250 banche italiane.

Eppure la maggioranza delle PMI italiane vive ancora la PSD2 come «obbligo della banca». Questa guida ribalta la prospettiva e mostra come il direttore finanziario o l’imprenditore possa usare l’open banking per chiudere costi nascosti nei processi finance: estratto conto manuale, riconciliazione fatture lenta, decisioni di affidamento al buio. Spieghiamo i ruoli chiave (TPP vs ASPSP), i tool 2021 disponibili in Italia, costi e tempi reali di integrazione e una roadmap di adozione in 90 giorni.

Cos’è la PSD2: dalla direttiva alla pratica

La PSD2 è la seconda direttiva europea sui servizi di pagamento. Sostituisce la PSD1 del 2007 con due obiettivi: rafforzare la sicurezza dei pagamenti (la parte SCA) e aprire il mercato a operatori non bancari che possano offrire servizi sopra il conto corrente del cliente, previo consenso esplicito (la parte open banking).

Sul piano normativo italiano, oltre al D.Lgs. 218/2017, contano il Regolamento Delegato UE 2018/389 sui requisiti tecnici dell’SCA e delle API, le Linee Guida EBA sull’esenzione dall’SCA, il provvedimento di Banca d’Italia del 12 marzo 2019 sui prestatori di servizi di pagamento e le disposizioni del Garante Privacy sul consenso al trattamento dei dati transazionali ex GDPR.

Il punto chiave per il finance: la PSD2 non rende automatico nulla. Rende possibile qualcosa che prima era tecnicamente bloccato dalle banche. Per trasformare la possibilità in produttività serve un’integrazione tra il gestionale aziendale e il TPP giusto. La compliance ricade quasi tutta sulla banca e sul TPP; la PMI utilizzatrice firma il consenso e raccoglie i benefici.

I tre nuovi servizi PSD2: AISP, PISP, CBPII

Il vocabolario PSD2 ricorre in ogni contratto: vale la pena memorizzare le sigle.

AISP — Account Information Service Provider

L’AISP è autorizzato a leggere i dati del conto del cliente: saldo, movimenti, intestazione, IBAN. Non muove denaro: solo legge. Per la PMI è il pilastro di riconciliazione automatica, dashboard cash flow, scoring fornitori.

PISP — Payment Initiation Service Provider

Il PISP inizia un pagamento sul conto del cliente per conto suo: il caso tipico è il checkout e-commerce che addebita direttamente sul conto invece di passare per carta. Per la PMI è rilevante per incasso clienti via pulsante «Paga col tuo conto» (alternativa a carta + commissione acquirer) e pagamento fornitori automatizzato dal gestionale.

CBPII e ASPSP

Il CBPII (Card-Based Payment Instrument Issuer) verifica la presenza di fondi prima di autorizzare un pagamento con carta di terzi: poco usato dalle PMI, rilevante per emittenti di carte prepagate. L’ASPSP (Account Servicing Payment Service Provider) è la banca tradizionale che custodisce il conto: la PSD2 la obbliga a esporre API standard verso i TPP autorizzati, senza commissioni. È la novità più dirompente: la banca perde l’esclusiva sull’interfaccia di accesso al conto.

SCA: la Strong Customer Authentication in pratica

La SCA impone due fattori indipendenti tra qualcosa che sai (PIN), qualcosa che hai (smartphone, token), qualcosa che sei (biometria) per accesso conto e pagamenti elettronici. In Italia la piena applicazione al commercio elettronico è partita dal 1° gennaio 2021 dopo la proroga EBA. Il risultato visibile: push sull’app di home banking o OTP via SMS per ogni transazione sopra soglia.

Esistono esenzioni SCA codificate (transazioni sotto 30 euro, abbonamenti ricorrenti, beneficiari in whitelist): conoscerle è argomento di trattativa con l’acquirer perché ogni esenzione vale punti di conversione checkout. Lato integrazione, l’SCA ha reso impraticabile lo screen scraping dell’home banking che alcuni gestionali italiani usavano: chi non si è spostato su API PSD2 nel 2020 ha visto il flusso interrompersi. Sul confronto tra push e pull vedi webhook vs API polling 2021.

Gli standard API banking nel 2021

La PSD2 non impone un unico standard API a livello europeo: il regolamento delegato definisce cosa deve essere accessibile, non come. Nel 2021 il panorama si è consolidato su quattro famiglie principali.

Berlin Group NextGenPSD2

Il Berlin Group, consorzio di oltre 40 banche e provider europei, ha pubblicato lo standard NextGenPSD2, riferimento de facto nei paesi DACH, Nord Europa e gran parte dell’Italia. La versione 1.3.6 del 2021 supporta SEPA Credit Transfer, Instant Credit Transfer e flussi AISP con consensi fino a 90 giorni.

STET PSD2 API (Francia) e Open Banking UK

Lo standard STET è usato dalla maggioranza delle banche francesi. PMI italiane con conti in Francia (Crédit Agricole, BNP Paribas) si interfacciano qui. Lo standard UK sviluppato dalla CMA (CMA9: nove maggiori banche britanniche) resta rilevante post-Brexit per chi ha attività nel Regno Unito.

CBI Globe Italia

La piattaforma italiana è gestita dalla CBI e nel 2021 conta oltre 250 banche aderenti, incluse tutte le maggiori (Intesa Sanpaolo, UniCredit, BPER, Banco BPM, Monte dei Paschi, BNL, Mediolanum). CBI Globe espone API aderenti a NextGenPSD2 con personalizzazioni italiane. Per la PMI è lo strato più comodo per coprire un parco bancario eterogeneo con un unico contratto.

Use case concreti per la PMI italiana

Tradotti dalle sigle alla scrivania del CFO, gli use case PSD2 per la PMI sono cinque, in ordine di ROI tipico.

1. Estratto conto in tempo reale nel gestionale

Il TPP in modalità AISP aggrega i movimenti dei conti aziendali (anche multi-banca) e li scrive sul gestionale ogni 15-30 minuti. Niente download CSV manuale, niente copia-incolla in Excel. Il CFO vede saldo consolidato e movimenti aggiornati al quarto d’ora. Tempi tipici per Odoo, SAP B1, Zucchetti: 4-8 settimane.

2. Riconciliazione automatica fatture passive

Il salto di produttività più importante per il finance. Il sistema confronta IBAN beneficiario, importo e causale del movimento con le fatture passive in scadenza. Match esatto: fattura "pagata". Match parziale: alert per il contabile. Approfondimento nella nostra guida all’automazione della fatturazione passiva.

3. SEPA Instant per incassi e pagamenti urgenti

Il SEPA Instant Credit Transfer regola il pagamento in meno di 10 secondi 24/7/365, tetto 100.000 euro nel 2021. Iniziato via PISP dal gestionale, abilita incasso a fronte di consegna, anticipo fornitore al via libera ordine, rimborso reso e-commerce. Regolamento sull’Eurosystem TIPS.

4. Scoring fornitori e onboarding clienti

Con consenso del fornitore, il TPP in modalità AISP legge i flussi del suo conto e calcola uno scoring aggiornato delle visure annuali. Per la PMI che offre servizi finanziari (leasing, noleggio, abbonamenti), l’AISP sostituisce la richiesta di buste paga e F24: il tempo di pratica scende dai 7-10 giorni alle 4-24 ore.

TPP italiani autorizzati nel 2021

L’EBA tiene il registro pubblico dei TPP autorizzati. In Italia nel 2021 i nomi rilevanti per una PMI sono:

Banche, gruppi bancari e payment hub italiani

• Banca Sella: pioniere italiano dell’open banking, sia ASPSP che TPP (controlla Fabrick).
• Fabrick: piattaforma API-first del gruppo Sella, connette oltre 60 banche italiane in modalità AISP/PISP.
• Intesa Sanpaolo Inbiz: portale API PSD2 per sviluppatori e fintech.
• BNL, BPER Banca, Banca Mediolanum (servizio Mediolanum X): tutti aderenti a CBI Globe o NextGenPSD2.
• Nexi: oltre ai servizi acquirer espone XPay e API per PISP in checkout.
• SIA: provider tecnologico, gestisce l’infrastruttura CBI Globe.
• ID Pay: piattaforma pagamenti integrata con Pago PA e canali PSD2.

Connettori SaaS internazionali

Per chi non vuole gestire 20 contratti bancari diretti, i connettori SaaS aggregano API a livello europeo:

• Tink: aggregatore svedese, acquisito da Visa a giugno 2021 per 1,8 miliardi di euro. Copre 3.400+ banche UE.
• TrueLayer: aggregatore UK forte su UK/IE/ES/DE, PISP + AISP in unico SDK.
• Yapily: API-only, pricing developer-friendly.
• Salt Edge: provider canadese-rumeno con focus su banche regionali (45+ paesi).
• Nordigen: provider lettone con modello freemium per dati AISP base. Nel 2021 ancora indipendente.

Per SEPA Direct Debit ricorrenti vedi GoCardless; per emissione carte virtuali in ambiente PSD2, Stripe Issuing.

Riconciliazione automatica fatture: il caso d’uso che paga il progetto

La riconciliazione fatture passive è il caso che da solo ripaga in pochi mesi l’integrazione PSD2. Il TPP in modalità AISP recupera ogni 15-30 minuti i movimenti, li normalizza (data valuta, importo, IBAN + BIC beneficiario, causale, riferimento SEPA) e pusha al gestionale via API o webhook.

Il gestionale (Odoo, SAP B1, Zucchetti, Brenta ERP) cerca match su tre criteri pesati: IBAN fornitore con anagrafica, importo entro tolleranza 1-2 euro, riconoscimento numero fattura nella causale via regex. Score sopra 0,85 genera match automatico; tra 0,5 e 0,85 suggerimento al contabile; sotto resta manuale.

In una PMI 30-50 dipendenti con 600-1.200 fatture passive l’anno, la riconciliazione manuale costa 15-20 minuti per fattura: 150-400 ore annue di contabile junior. Con AISP, il match automatico copre il 70-85% dei casi. Il contabile gestisce solo le eccezioni: 15-30 minuti al giorno contro 2-3 ore del processo manuale. Approfondimento in automazione contabile per PMI 2021.

Connettori SaaS: come scegliere il TPP giusto

La scelta del TPP determina tempi e costi del progetto più di qualunque altra variabile. Cinque criteri per non sbagliare nel 2021:

• Copertura banche: mappa i conti da integrare e chiedi al provider la lista esatta delle banche italiane supportate. CBI Globe via Fabrick ha la copertura italiana più ampia; Tink e TrueLayer coprono bene multinazionali; Nordigen ha gap su alcune banche regionali italiane.
• Pricing: tre modelli prevalenti — per consenso attivo (2-15 euro/mese business multi-conto), per chiamata API (frazioni di centesimo), a canone fisso annuale (tipico delle banche italiane verso corporate). Calcola il TCO su volumi realistici.
• SDK e documentazione: SDK ufficiali in PHP, Python, Node, Java accorciano lo sviluppo di settimane. Documentazione aggiornata, sandbox sempre disponibile, esempi end-to-end. TrueLayer e Tink sono il benchmark 2021 di developer experience.
• SLA e supporto: SLA del provider sulla disponibilità (99,5-99,9%) e politiche chiare sui ritardi delle banche sottostanti. Per finance critico, supporto in italiano con response time sotto le 4 ore feriali.
• GDPR e residenza dati: data residency UE, certificazione ISO/IEC 27001, DPA firmato che ti renda titolare del trattamento e il TPP responsabile, modello di consenso conforme al Garante Privacy. Vedi anche la guida pratica al GDPR aziendale 2021.

Integrazione gestionale: pattern architetturali 2021

Scelto il TPP, l’integrazione col gestionale segue tre pattern principali.

Pattern 1: connettore nativo del gestionale

I gestionali più diffusi hanno moduli ufficiali per i TPP principali. Odoo ha l’Account Bank Statement Import + connettori Plaid, Salt Edge e community attiva su CBI Globe. SAP Business One ha SAP Banking integrato con NextGenPSD2. Zucchetti ha il modulo Bank Connect. Costo: 200-1.500 euro/anno di licenza + 8-15 giornate di implementazione.

Pattern 2: middleware iPaaS

Quando il gestionale è verticale o legacy, piattaforme come n8n, Zapier, Integromat orchestrano le chiamate al TPP e scrivono sul gestionale via API. Costo iPaaS: 30-300 euro/mese + 15-30 giornate di implementazione. Vedi il confronto Zapier vs Integromat vs n8n 2021.

Pattern 3: integrazione applicativa custom

Per use case complessi (multi-banca, logica di business custom, CRM/ERP proprietari) si scrive un microservizio dedicato che incapsula la complessità del TPP, espone API interne, gestisce token, consensi, retry, alerting. Costo: 30-60 giornate uomo prima release + 5-10 giornate/anno di evoluzione. Approfondimento in integrazione e-commerce-gestionale e in REST API design: 10 best practice 2021.

Costi e tempi reali: benchmark 2021

I numeri seguenti sono benchmark da progetti reali su PMI italiane 20-150 dipendenti, anno 2021.

Integrazione AISP base (estratto conto + riconciliazione)

Voce	Range tipico
Setup contratto TPP	0-1.500 €
Analisi + selezione TPP	2.000-4.000 €
Sviluppo connettore (3-8 banche)	5.000-15.000 €
Test + sandbox + go-live	1.000-3.000 €
Totale una tantum	8.000-25.000 €
Canone annuo TPP multi-banca	600-3.600 €/anno

Tempi: 8-14 settimane dalla firma al go-live.

Integrazione PISP completa (incassi + pagamenti)

Setup TPP + compliance: 2.000-5.000 euro; backend pagamenti: 15.000-40.000 euro; UX checkout + flussi SCA: 8.000-20.000 euro; test stress + certificazioni: 3.000-10.000 euro; audit sicurezza e penetration test: 2.000-5.000 euro. Totale una tantum 30.000-80.000 euro. Costo per transazione PISP: 0,15-0,80 euro/operazione. Tempi: 4-7 mesi dalla firma alla produzione.

Privacy e GDPR: consenso, retention, finalità

I dati transazionali sono dati personali ex GDPR. Il Garante Privacy ha ribadito che il consenso al trattamento per finalità PSD2 deve essere distinto, esplicito, granulare, revocabile. Quattro punti compliance:

• Finalità specifica: il consenso copre quella finalità (es. riconciliazione fatture), non un generico «analisi dei dati bancari».
• Granularità: il cliente sceglie quali conti condividere e per quanto tempo (consensi fino a 90 giorni, rinnovabili).
• Retention proporzionata: cancellazione dei dati grezzi entro 12-24 mesi, salvo obblighi normativi (antiriciclaggio).
• Trasparenza: informativa chiara sulla catena ASPSP → TPP → titolare finale, con ruoli mappati nel ROPA.

La PSD2 impone secure communication channel e identificazione di entrambe le parti via certificati eIDAS QSeal e QWAC. Approfondimenti in API security: 10 best practice 2021.

Open finance: oltre i pagamenti

La PSD2 ha aperto i conti correnti. Il passo successivo, chiamato open finance, estende lo stesso paradigma a investimenti, assicurazioni, mutui, fondi pensione. La Commissione UE ha avviato nel 2020-2021 consultazioni pubbliche su una possibile estensione normativa, con prime proposte attese nel corso del 2022. Anticipare ha senso per PMI in settori data-intensive (leasing, factoring, brokeraggio assicurativo): Fabrick e Tink hanno già sperimentato connettori «open finance ready» su conti deposito titoli. Area da osservare, non ancora da implementare in produzione.

Errori comuni nell’adozione PSD2

• Subire la PSD2 invece di sfruttarla: trattare la direttiva come fastidio («adesso serve la doppia conferma») invece di chiedersi cosa abilita. La banca attiva l’SCA, nessuno scrive una riga di codice per usare le API.
• Scegliere il TPP senza una API strategy: firmare il primo contratto proposto dalla banca primaria senza valutare alternative produce copertura limitata e lock-in tecnologico.
• Ignorare le banche regionali: BCC, banche popolari locali e alcune banche regionali sono ritardatarie sulle API PSD2 di qualità. Verifica banca per banca con sandbox prima della firma.
• Trascurare il consenso scaduto: i consensi AISP nella normativa 2021 scadono a 90 giorni. Senza UX di rinnovo proattivo (notifica + link + SCA), il flusso si interrompe e nessuno se ne accorge.
• Dimenticare il monitoring: le API bancarie hanno downtime. Dashboard su token, rate limit, errori 4xx/5xx e ritardi di sync sono requisito per il go-live, non opzionale.

Caso reale: PMI emiliana servizi B2B, 45 dipendenti

Cliente Brentasoft del primo semestre 2021: società di servizi B2B emiliana, 45 dipendenti, 6 milioni di ricavi, due conti su Intesa Sanpaolo e Banca Sella, ~900 fatture passive l’anno, ~250 fatture attive con incassi SEPA.

Situazione di partenza

Riconciliazione manuale fatture passive: 2 ore al giorno del contabile junior. Estratto conto importato in Excel ogni venerdì con copia-incolla. Cash flow forecast bisettimanale con errore tipico del 12-15%. Nessuna integrazione tra home banking e Odoo customizzato.

Soluzione e numeri progetto

Integrazione AISP via Fabrick (copertura Sella + Inbiz tramite CBI Globe) sul gestionale Odoo. Modulo riconciliazione automatica come app Odoo custom: importa movimenti ogni 30 minuti, match su IBAN, importo, causale. Dashboard cash flow live. Investimento iniziale 14.500 euro + canone annuo TPP 1.800 euro. Tempi: 10 settimane dalla kickoff al go-live.

Risultati a 6 mesi

• Riconciliazione automatica: 78% dei movimenti senza intervento umano.
• Tempo manuale: da 2 ore/giorno a 15 minuti/giorno.
• Risparmio: ~320 ore/anno di contabile.
• Cash flow forecast in tempo reale, errore tipico sceso al 4-6%.
• Payback: 11 mesi.

Roadmap di adozione PSD2 in 90 giorni

Settimane 1-2: audit parco bancario e use case prioritari

Mappa tutti i conti correnti aziendali (banca, paese, tipo conto). Per ogni conto verifica supporto API PSD2 con sandbox del TPP. Definisci 2-3 use case prioritari ordinati per ROI: estratto conto automatico, riconciliazione fatture passive, monitoraggio cash flow live. Output: matrice conti per use case + business case.

Settimane 3-5: selezione TPP e firma contratto

Richiedi proposte a 3 TPP che coprano il parco. Considera Fabrick via CBI Globe, TrueLayer, Tink, Salt Edge, Nordigen per use case base. Valuta pricing, SLA, qualità SDK, supporto in italiano, certificazione ISO/IEC 27001 e conformità GDPR. Negozia clausole di handover e penali SLA. Firma e ricevi credenziali sandbox.

Settimane 6-10: sviluppo connettore e test sandbox

Implementa il connettore tra TPP e gestionale secondo il pattern scelto. Sviluppa regole di riconciliazione, dashboard di monitoring, gestione token e consensi. Test in sandbox sui flussi nominali e di errore: token scaduto, banca offline, importi anomali, causali non parseabili, movimenti duplicati. Output: runbook operativo.

Settimane 11-13: go-live progressivo e ottimizzazione

Attiva il consenso AISP sulla banca primaria. Monitoraggio quotidiano per 2 settimane. Estendi alle altre banche entro fine settimana 12. Tuning delle regole sui primi 100-200 movimenti reali. Formazione al team finance. Setup alerting su scadenza consensi a 90 giorni ed errori API ricorrenti. Output: review post-go-live con KPI e roadmap di estensione (es. PISP per pagamenti fornitori).

Domande frequenti

La PSD2 si applica alla mia PMI anche se non vendo online?

Sì, in due sensi diversi. Come cliente dei servizi bancari, ogni accesso al conto e ogni pagamento elettronico richiede SCA ed espone API verso eventuali TPP che hai autorizzato. Come impresa puoi usare AISP e PISP per migliorare i tuoi processi finance interni (riconciliazione, cash flow, pagamenti fornitori). La PSD2 non distingue tra PMI digitali e tradizionali: si applica a tutti i conti correnti aziendali in UE.

Devo chiedere autorizzazione a Banca d’Italia per usare la PSD2 nella mia PMI?

No, l’autorizzazione EBA/Banca d’Italia serve a chi vuole operare come TPP (AISP, PISP, CBPII) offrendo servizi a terzi. La PMI che usa un TPP autorizzato come fornitore di servizi finanziari deve solo firmare il contratto, dare consenso e implementare l’integrazione. La compliance bancaria ricade sul TPP e sull’ASPSP.

Quanto costa veramente un’integrazione PSD2 base per una PMI?

Per una PMI italiana media (30-80 dipendenti, 2-4 conti correnti su banche presenti su CBI Globe) un’integrazione AISP base con estratto conto automatico e riconciliazione fatture passive costa nel 2021 tra 8.000 e 25.000 euro una tantum di consulenza e sviluppo, più un canone annuale TPP tra 600 e 3.600 euro. Il payback tipico arriva tra il sesto e il quindicesimo mese.

Posso usare lo stesso TPP per più banche del mio parco aziendale?

Sì, è uno dei vantaggi principali dei TPP aggregatori. Un singolo contratto con Fabrick, Tink o TrueLayer ti dà accesso a 50-3.000 banche con un’unica integrazione tecnica. Devi solo dare consenso SCA separatamente per ogni conto. Attenzione alla copertura reale del provider su banche regionali italiane: verifica prima banca per banca.

Cosa succede se il TPP fallisce o cessa il servizio?

I dati già scaricati restano nel tuo gestionale. I consensi AISP attivi decadono e devi rinegoziarli con un nuovo TPP. Per ridurre il rischio, nella scelta privilegia TPP di gruppi bancari solidi (Fabrick nel gruppo Banca Sella, Tink acquisito da Visa a giugno 2021) o con storia lunga sul mercato. Inserisci in contratto una clausola di handover dei dati storici e dei consensi.

Le API PSD2 funzionano anche per conti business multi-firmatari?

Sì, con qualche complicazione. La PSD2 è pensata per conti consumer ma le banche italiane hanno esteso il modello al business: il consenso AISP/PISP viene firmato dal legale rappresentante e per pagamenti sopra soglia può richiedere SCA multi-firmatario. Verifica col tuo TPP il supporto sul tuo schema di firme.

L’SCA si applica anche all’home banking aziendale quotidiano?

Sì. Dal 1° gennaio 2021 ogni accesso all’home banking e ogni pagamento elettronico richiede due fattori. Le esenzioni codificate (consultazione entro 5 minuti dalla precedente SCA, beneficiari in whitelist, importi sotto soglia) attenuano la frizione. Il vecchio login + password è fuori legge.