La precedente PSD limitava il perimetro alle sole transazioni in Euro: la PSD2 estende le regole di trasparenza e corretta informativa applicandole anche alle transazioni cosiddette «one leg out», cioè anche quando solo uno dei due Prestatori di servizi di pagamento si trova nel territorio dell’Unione Europea. Le regole di trasparenza e corretta informativa si applicano a transazioni di pagamento effettuate in qualsiasi valuta.

Gli utilizzatori di un conto corrente online avranno l’opportunità di disporre pagamenti o ottenere informazioni sul proprio conto corrente anche attraverso l’impiego di applicazioni di c.d. “Terze parti” (Third Party Provider – TPP) che avranno il diritto di accedere in modalità “open” ai sistemi degli Istituti di radicamento del conto (Account servicing payment service provider - ASPSP). Gli ASPSP dovranno realizzare delle interfacce tecniche necessarie per il colloquio con le Terze parti e la gestione delle operazioni dispositive (cd. Payment initiation services - PIS) e informative (cd. Account information services - AIS) inizializzate dagli utenti per tramite di tali soggetti; una terza macro area è rappresentata dai servizi online di conferma fondi (c.d. Card initiated services – CIS).

Ripartizione della responsabilità tra i diversi soggetti coinvolti: per la PSD2 la prestazione di servizi di disposizione di ordini e quella di informazione sui conti possono non dipendere dall’esistenza di un rapporto contrattuale tra il PISP/AISP ed il prestatore di servizi di pagamento di radicamento del conto (ASPSP). In caso di operazione non autorizzata, l’ASPSP dovrà rimborsare il pagatore al massimo entro la fine della giornata operativa successiva, rifacendosi poi, se ne sussistono i presupposti, nei confronti del PISP. Si discute se l’assenza di un rapporto contrattuale tra ASPSP e PISP/AISP possa rendere meno agevole l’applicazione di tale norma.

Per quanto concerne il tema della sicurezza e dell’autenticazione la PSD2 stabilisce l’applicazione dell’Autenticazione forte del cliente - SCA disponendo che un prestatore di servizi di pagamento la applichi quando il pagatore:

• accede al suo conto di pagamento online;
• dispone un’operazione di pagamento elettronico: quando la disposizione avviene a distanza tramite TPP, i PSP devono applicare l’autenticazione forte del cliente, comprendendo elementi che colleghino in maniera dinamica l’operazione a uno specifico importo e a un beneficiario specifico;
• effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi.

Una TPP che voglia accedere ai conti, può fare ricorso alle procedure di autenticazione fornite dal prestatore di servizi di pagamento presso cui è radicato il conto dell’utente e non deve necessariamente avere una relazione contrattuale con quest’ultimo. Ciò significa che la banca o l’Istituto di Pagamento, presso cui l’utente ha aperto un rapporto di conto, trattano gli ordini di pagamento trasmessi mediante i servizi di Payment Initiation e le richieste di dati trasmesse mediante i servizi di c.d. «Account Information», senza discriminazioni, se non per motivi obiettivi.

Viene posto un cap alle interchange fees : per i pagamenti tramite carta di debito e prepagata la commissione interbancaria per ogni operazione di pagamento non può essere superiore allo 0,2% del valore della transazione; per le operazioni tramite carta di credito la commissione interbancaria per operazione non può essere superiore allo 0,3% della transazione. In caso di furto o frodi con carte o bancomat, il cliente fino ad oggi era tenuto a pagare 150 euro per operazioni che non riconosceva, con la PSD2 tale franchigia scende a 50 euro.

La PSD2 rimodula le esenzioni esistenti ("negative scope") per agenti commerciali, telecomunicazioni, reti a spendibilità limitata ("limited network") e ATM indipendenti.