Uno degli obiettivi chiave della direttiva PSD2 è facilitare la condivisione delle informazioni tra diverse realtà. Bancarie, finanziarie o fintech. Tutte quelle che, in vario modo, gestiscono o intendono sviluppare servizi di pagamento elettronico. Meno diplomaticamente, PSD2 spinge le banche tradizionali a "sbloccare" le informazioni che detengono sui loro clienti. Soprattutto perché le condividano con nuove realtà. Quelle che i clienti stessi hanno scelto come loro fornitori di servizi più o meno innovativi. Tanto che la PSD2 è stata anche ribattezzata da alcuni come "direttiva open banking".

Ovviamente, questa condivisione di informazioni deve avvenire in maniera sicura e tra entità ben identificate. E riconosciute dalle varie Authority del mondo bancario. In sintesi, ciascuna banca deve predisporre API attraverso cui altre realtà possono eseguire tre operazioni chiave. Disporre ordini di pagamento online, ottenere informazioni aggregate sui conti gestiti, verificare la disponibilità dei fondi per un pagamento. Usando questi "mattoncini" diventa possibile creare servizi di digital banking anche molto articolati. In piena sicurezza, perché l'accesso a queste API deve essere assolutamente blindato.

La buona volontà della norma si è scontrata con diverse difficoltà tecniche. E, forse, con la poca propensione di molte banche ad affrontare la questione.
I problemi tecnici certamente esistono. In primo luogo perché in moltissime banche la PSD2 di fatto impone di "aprire" via API processi che sono gestiti da sistemi vecchio stampo. Per non dire legacy, che risultano troppo rigidi e chiusi. Anche quando predisporre le API non è un percorso ad ostacoli, è pur sempre un processo costoso e lungo. Tanto che la compliance a questa parte della PSD2 prevedeva diverse tappe e scadenze di avvicinamento.

Premesso tutto questo, la situazione non appare confortante. In teoria lo scorso settembre tutte le banche europee dovevano mettere a disposizione delle realtà esterne una sandbox in cui sperimentare in maniera sicura le proprie API. Ma la gran parte dei nuovi operatori fintech indica che questo non è accaduto. Non ci sono analisi assolutamente oggettive sulla presenza e sull'operatività delle nuove API. Colpisce però quella della svedese Tink, che ha realizzato una piattaforma aperta di open banking.

Tink ha analizzato le principali API PSD2 di 12 mercati e ha trovato che nessuna è davvero compliant con la normativa. Il 15% è operativo ma non compliant. Il 36% di fatto non funziona come dovrebbe. Il 26% esiste solo in teoria, ossia è stato pubblicato ma non è accessibile.

Molte altre fintech confermano che le integrazioni realizzate con le banche tradizionali hanno quasi sempre richiesto adattamenti manuali. Più o meno rilevanti. Il nodo principale è legato all'autenticazione all'API. A volte le autenticazioni non si completano pur in presenza di credenziali giuste. Oppure richiedono troppi passi e sono quindi complesse per gli utenti. Anche la stabilità delle API appare un problema. Molto serio in un settore, come quello dei pagamenti elettronici, in cui tutto deve funzionare praticamente alla perfezione per non scontentare i clienti.