Api e servizi finanziari interconnessi, l’open banking non è un nuovo “canale” digitale: è una grammatica economica, un modo diverso di coniugare prodotti, dati e fiducia
Se consideriamo la banca tradizionale una cattedrale con i suoi riti e confini, l’open banking è una piazza: aperta e interoperabile, fatta di regole chiare, Api (Application programming interface) ben documentate e scambi di valore che avvengono dove nasce il bisogno, nell’app del commerciante, nel gestionale della PMI, nel wallet del consumatore, nell’assistente virtuale o nell’auto connessa. In questa piazza vince chi progetta la migliore esperienza: la banca che orchestra un ecosistema, più che presidiare uno sportello, diventa il nuovo baricentro della fiducia.
DALL’OPEN BANKING ALL’OPEN FINANCE
La prima stagione dell’open banking prende forma Regno Unito e poi viene codificata in Europa con la PSD2 (c’è chi sostiene che sia avvenuto il contrario), aprendo i conti ai TPP (Third Party Providers) e abilitando AIS (Account Information Service) e PIS (Payment Initiation Service). La seconda stagione è l’open finance: non solo conti, ma anche assicurazioni, investimenti, mutui, pensioni, dati di credito e perfino bollette e abitudini di spesa per generare nuovi servizi ad alto valore. In Europa la FiDA (Financial Data Access Regulation) estende l’accesso a categorie più ampie di dati, mentre la PSD3/PSR (Payment Services Directive/Regulation) aggiorna licenze, antifrode e diritti degli utenti. Il Regno Unito, pioniere del modello, supera la roadmap iniziale, puntado su casi d’uso come i VRP (Variable Recurring Payments) e Api premium. Nel Golfo, la CBUAE (Central Bank of the UAE) rende operativo un open finance framework con Apo hub e trust framework comuni: l’apertura diventa infrastruttura nazionale. Risultato: l’open banking smette di essere “un progetto IT” e diventa politica industriale per un’economia dei dati sicura e contendibile.
DALLA TEORIA AI CASI D’USO
Il valore emerge quando i servizi finanziari si innestano nei contesti d’uso reali: nei checkout e-commerce, nelle bollette, nelle subscription. La combinazione di AIS, PIS e VRP abilita pagamenti “pull” più sicuri, con meno chargeback e costi inferiori; le Api premium aprono scenari B2B2C e di cash management avanzato. L’aggregazione di conti, carte, investimenti e prestiti fa evolvere i PFM (Personal Financial Management) in un coaching proattivo: budget dinamici, simulazioni “what-if”, alert contestuali e consigli che si estendono a protezione, investimento e credito, sempre su consenso. Per PMI e underbanked, i dati di cassa e i segnali comportamentali riducono le asimmetrie, abilitando pre-approvazioni dentro app terze (marketplace, ERP) e pratiche quasi a costo zero. Anche assicurazioni e wealth si trasformano: polizze “event-driven” pay-per-use, con risarcimenti istantanei; portafogli unificati, tax-loss harvesting multi-intermediario; e reporting ESG, verificabili grazie apipeline dati standardizzate.
ANATOMIA DI UN ECOSISTEMA APERTO
Un ecosistema aperto funziona quando le sue architetture dialogano tra loro. Le Apo devono essere non solo sicure ma usabili: specifiche chiare, esempi pronti, sandbox self-service, SLA espliciti e versioning trasparente migliorano la Developer experience (DX) e accorciano il time-to-first-call. Identità e consenso richiedono artefatti portabili, firme forti e deleghe granulari con audit e revoche in tempo reale, coerenti con eIDAS (Electronic identification, authentication and trust services) in UE, con le linee JROC (Joint Regulatory Oversight Committee) nel Regno Unito e con i trust framework nazionali nel Golfo. Sul dato prevale il principio “meno ma meglio”: schemi condivisi, profili qualità (completezza, freschezza, coerenza), cataloghi leggibili dalle macchine e policy di minimizzazione per scopo; FiDA spinge verso diritti d’accesso interoperabili.
La sicurezza abbraccia l’approccio Zero Trust: l’architettura di sicurezza si basa su standard consolidati come OAuth2/OIDC (OpenID Connect), con implementazioni specifiche che variano per giurisdizione. Nel Regno Unito e in Brasile prevale FAPI 1.0 Advanced con mTLS (mutual TLS) per il binding dei token, mentre le implementazioni europee tendono verso protocolli più eterogenei. FAPI 2.0, approvato come specifica finale nel febbraio 2025, introduce DPoP (Demonstration of Proof-of-Possession) come alternativa al mTLS per vincolare i token al mittente (sender-constraining), offrendo maggiore flessibilità per le applicazioni mobili native. Standard complementari come JARM (JWT Secured Authorization Response Mode) e PAR (Pushed Authorization Requests) sono implementati principalmente in contesti ad alta sicurezza finanziaria, con FAPI che ne richiede l’adozione per proteggere Api con rischio elevato. Il monitoraggio comportamentale delle chiamate Apo e la detection delle anomalie rappresentano layer aggiuntivi essenziali per contenere le frodi, specialmente in ecosistemi dove la superficie di attacco si è ampliata significativamente con la proliferazione delle interfacce aperte. Per quanto riguarda l’architettura economica, l’open banking si regge su modelli di monetizzazione chiari (Api premium, tier di throughput, revenue share, pricing dei VRP), gestione chiara delle responsabilità e risoluzione rapida delle dispute. Il Regno Unito resta laboratorio per VRP e Api premium; l’UE, con PSD3/PSR, definisce i confini competitivi; gli hub del Golfo standardizzano processi di onboarding e meccanismi di fiducia.
RISCHI REALI (E COME MITIGARLI)
I rischi sono concreti ma gestibili. Il lock-in si evita con multi-homing e connettori astratti. La sicurezza passa da consensi informati, specifici e revocabili, senza dark pattern, con tracciabilità (audit trail) robusta. Le asimmetrie verso i partner si riducono con contratti che garantiscano reciprocità nello scambio di valore e dati (“dati in, insight out”). La compliance deve essere continua e automatizzata su privacy, antitrust, tutela consumatori e pagamenti, non una semplice lista di controllo. Infine, la reputazione va protetta perché, in un’economia dei dati, ogni incidente – fuga di informazioni o downtime – colpisce a catena clienti e partner.
TRAIETTORIE GLOBALI
L’open finance corre su binari diversi ma convergenti: nel GCC (Gulf Cooperation Council) è un programma strategico di sviluppo nazionale, con hub nazionali che spingono inclusione, PMI ed embedded finance (UAE in testa, seguita da Arabia Saudita e Bahrain). In Europa, Italia compresa, la spinta all’open finance è sia normativa che competitiva (PSD3/PSR, FiDA) e punta a far emergere campioni verticali attraverso alleanze strategiche tra imprese, banche e fintech. Il Regno Unito estende casi d’uso come i VRP. A differenza dei modelli europei o britannici, negli Stati Uniti l’autorità dei consumatori lavora su portabilità sicura dei dati mantenendo un approccio frammentato senza framework federale unificato per l’open banking. In Brasile, l’open finance si integra con Pix, il sistema di pagamenti istantanei. India Stack, insieme a UPI e agli Account Aggregator, evidenzia l’impatto delle infrastrutture pubbliche sulla condivisione dei dati finanziari. In Australia, il Consumer Data Right abilita la condivisione intersettoriale delle informazioni, mentre a Singapore SGFinDex collega conti e patrimoni sulla base del consenso degli utenti. In questo scenario, l’open banking non smonta la banca: la ricolloca al centro, come piattaforma di fiducia. La sfida non è più “se” aprirsi, ma come farlo meglio: Api eleganti, identità e consensi granulari, modelli economici sostenibili e cultura da piattaforma. Vincere significa rendere invisibile la complessità e tangibile il valore per il cliente: pagare senza frizioni, risparmiare con intelligenza, proteggersi senza burocrazia. Qui si gioca la nuova concorrenza.
Dr. Devid Jegerson
Architetto dell’evoluzione dei Pagamenti Digitali e del Banking, Devid è da oltre 25 anni in prima linea nell’innovazione FinTech, trasformando idee visionarie in realtà di mercato di successo nell’E-commerce e nel Banking.
Dal lancio della prima carta prepagata ricaricabile in Italia (2002) e del primo conto di moneta elettronica (2006), alla creazione di gateway di pagamento con licenza acquiring (2008) e all’introduzione dei pagamenti istantanei P2P (Jiffy, 2014) e delle prime piattaforme di pagamento cloud in Medio Oriente (noon.com, 2016), il suo focus è sempre stato sul costruire ‘il nuovo’.
Il suo percorso include ruoli di leadership e contributi fondamentali in noon.com, PayPal, Fastweb, IWBank, e UBI Banca, dove ha guidato l’innovazione nei pagamenti mobile e ha contribuito alla gestione della normativa PSD2.
Oggi, applica questa combinazione di visione strategica ed eccellenza nell’esecuzione come Membro del CdA di diverse società, guidando la Trasformazione Digitale nel FinTech. La sua passione è supportata da un PhD, un EMBA, una laurea magistrale in strategia e una laurea in economia, dalla pubblicazione del libro (“Pagamenti elettronici. Dal baratto ai portafogli digitali” 2016, goWare).
Appassionato nel costruire il futuro della finanza, Devid rappresenta un punto di riferimento nel settore.
