Iban virtuali, dai grandi vantaggi alle grandi responsabilità

Iban virtuali, dai grandi vantaggi alle grandi responsabilità

15 luglio 2024

di Andrea DI CORRADO

A maggio l’Eba ha pubblicato un report(1) sugli IBAN virtuali a seguito di uno studio e analisi di casi effettuato sia con i regolatori nazionali che con rappresentanti delle istituzioni finanziarie, dell’industria ed i consumatori.

Il risultato di questo lavoro, oltre a definire i vantaggi ed i diversi casi d’uso, è stato quello di identificare alcuni rischi chiave connessi a questo nuovo strumento e fornire alcune indicazioni sulla gestione e mitigazione dei medesimi rischi.

Prima di analizzare il testo è opportuno dare una definizione e comprendere i motivi alla base della diffusione di questo nuovo strumento finanziario.

Cosa è un virtual IBAN?

Occorre chiarire che non esiste al momento una definizione legale univoca e condivisa a livello UE su cosa sia un IBAN virtuale.

Nonostante questa lacuna normativa, la prassi e le analisi del mercato UE hanno permesso di tracciare alcuni caratteri distintivi di questo strumento. Se l’IBAN è un numero/codice che identifica in maniera internazionale un conto di pagamento(2), l’IBAN virtuale secondo le evidenze dell’EBA può essere definito come un numero/codice con il medesimo formato e funzionalità di un IBAN “regolare” che è collegato ad un conto principale (c.d. “master account”) che è identificato mediante un altro IBAN.

Il conto principale può sia essere aperto a nome dell’utente finale del Virtual IBAN o per conto di un’altra entità (persona fisica o giuridica) ad esempio un Istituto di pagamento o un IMEL che distribuisce i vIBANs ai suoi clienti.

Nella prassi alcuni vIBAN permettono solo la ricezione di pagamenti che sono automaticamente accreditati sul master account o sono utilizzati in addebito (quindi per effettuare pagamenti a terze parti) andando ad utilizzare le disponibilità del conto principale.

La particolarità è che nel caso siano coinvolte terze parti l’Iban virtuale non è in alcun modo distinguibile da un Iban regolare e chi riceve pagamenti da un vIBAN non è in grado di sapere su quale master account e di quale paese le somme sono addebitate. Questo elemento, come vedremo in seguito, può rappresentare una problematica lato normativa AML/CFT.

Vantaggi e applicazioni degli IBAN virtuali

A questo punto, visti i punti in comune tra IBAN virtuale e “regolare”, appare rilevante capire perché molti intermediari stiano commercializzando questo strumento (prevalentemente per la clientela business) mediante applicazioni API e c.d. strumenti innovativi di “Open Banking”.

La prima e più diffusa applicazione è rappresentata dalla riconciliazione, le imprese possono creare ed assegnare vIBAN individuali tramite il proprio PSP a specifici clienti, progetti o business line in modo da semplificare il tracciamento delle operazioni di pagamento in accredito e ridurre i costi ed i tempi connessi alle riconciliazioni.

Alcuni consumatori o aziende potrebbero ricorrere ai vIBAN per ottenere il codice paese di uno specifico stato membro in modo da superare i problemi derivanti dalla c.d. IBAN discrimination(3), ossia l’impossibilità o reticenza a fornire servizi di pagamento o ricezione di accrediti/stipendi su iban non nazionali.

Sebbene tale pratica sia illegale da circa dieci anni la Commissione Europea ha avviato un’indagine per monitorare lo stato di questa discriminazione che avviene per lo più a danno delle Fintech.

Un altro importante vantaggio è rappresentato dalla riduzione della complessità e dei costi associati all’apertura e gestione di molteplici conti “tradizionali” e soprattutto alla riduzione dei tassi di conversione in caso di pagamenti/accrediti effettuati in valute diverse.

I possibili rischi mappati dall’EBA 

Pur considerando il fenomeno tutt’ora emergente, l’European Banking Authority ha mappato alcuni rischi connessi a tali strumenti innovativi e individuato, nello specifico:

  • Arbitraggi regolamentari basati sulle diverse interpretazioni e definizioni di Virtual Iban tra le autorità regolatorie degli Stati Membri;
  • Rischi connessi alla scarsa visibilità dei regolatori nazionali sulla scala ed entità dei vIban offerti nel proprio paese;
  • Rischi collegati all’adeguatezza dei presidi AML/CFT e più in generale dei sistemi di controllo dei prestatori di servizi di pagamento (PSP);
  • Possibili arbitraggi ed interpretazioni in caso di pagamenti cross border effettuati mediante vIban e mancanza di chiarezza nelle segnalazioni di operazioni sospette inoltrate alla FIU territorialmente competente (la segnalazione andrebbe indirizzata alla FIU dello stato membro del vIBAN o alla FIU del Master Account?);
  • Problemi connessi all’applicazione del Regolamento sugli instant payment(4) e sulle verifiche richieste dal pagatore quando quest’ultimo utilizza un vIban e non risulti essere l’intestatario del “Master Account”;
  • Rischio che i vIBAN vengano utilizzati da istituzioni finanziarie non UE o da PSP non UE per fornire servizi di pagamento verso clientela/stati membri senza le dovute autorizzazioni.

Sfide e mitigazione dei rischi

L’autorità per ogni rischio ha quindi suggerito alcuni interventi o spunti di riflessione al fine di mitigare quanto più possibile che la diffusione di tali strumenti possa creare problemi al sistema finanziario nel suo complesso.

È necessario quindi chiarire a livello SEPA se un IBAN deve sempre avere un rapporto 1:1 con un conto di pagamento (come previsto in alcuni stati membri) o se lo stesso conto di pagamento possa essere identificato da più vIBANs.

L’EBA ha inoltre invitato le autorità regolatorie nazionali ad un maggiore supervisione sulla diffusione di tali strumenti nei propri Stati anche mediante incontri con i rappresentanti dell’Industria e mediante una proficua e continua collaborazione tra le diverse autorità coinvolte, es. regolatore del paese del cliente finale e regolatore cui è collegato il titolare del “master Account”.

Per mitigare invece i rischi connessi ad un PSP non EU che abbia un accordo con un PSP europeo e fornisca quindi vIBAN anche a clienti a livello globale, l’EBA propone di ricorrere alla previsione dell’articolo 22 del nuovo regolamento AML che prevede che le istituzioni finanziarie/creditizie che effettuano operazioni con un “master account” debbano assicurare di poter ottenere senza ritardo ed al massimo entro cinque giorni, informazioni sui clienti finali (i detentori dei vIBANs) anche se tali clienti sono serviti da altra istituzione o PSP(5).

Al fine invece di contrastare la mancanza di trasparenza sull’effettivo beneficiario o “originator” di un pagamento, l’EBA ha puntualizzato che la ISO 20022(6) (Universal financial industry message scheme) già prevede la possibilità di inserire come informazioni aggiuntive nel messaggio interbancario anche i dati del “primo ordinante” o “ultimo beneficiario” di una disposizione di pagamento.

Sempre per ridurre arbitraggi regolamentari l’EBA ha incontrato diversi PSP che operano in diversi Stati membri e questi ultimi hanno confermato che nelle policy e procedure di gruppo sono stati sempre implementati gli standard più restrittivi per tutti gli Stati Membri in cui operano, questo tipo di approccio, se esteso, naturalmente ridurrebbe i rischi connessi ad arbitraggi normativi tra PSP, istituzioni finanziarie e detentori di vIBANs residenti in diversi Paesi.

Conclusioni

Senza dubbio la diffusione di tale strumento e le varie casistiche che si prospetteranno porteranno sicuramente vantaggi per i consumatori sia essi persone fisiche o aziende ma d’altro canto sarà sempre necessario contrastare ogni forma di sfruttamento, a livello criminale, di eventuali arbitraggi normativi o lacune nell’erogazione di questo nuovo servizio.

Il mondo degli Istituti di Pagamento, infatti, è stato già interessato da un risk assessment del settore da parte dell’EBA(7) che ha delineato alcune aree sensibili(8) e già nel 2023 aveva previsto tra i tre rischi emergenti del settore proprio la diffusione dello strumento dei Virtual IBAN.

La stessa Europol recentemente è intervenuta sul tema(9) riportando come diversi nuovi schemi fraudolenti si siano avvalsi proprio di tale strumento e dei relativi arbitraggi per rendere la detection ed il contrasto alle frodi meno efficace o rallentandone le tempistiche.

Nel documento “Illicit Financial Flows from Cyber-Enabled Fraud” del FATF viene riportato di come l’autorità di vigilanza del Lussemburgo abbia segnalato l’utilizzo di Virtual iban per le frodi tramite whattsup c.d. “Hi Mom”, frodi effettuate tramite canali social utilizzando utenze telefoniche con numero lussemburghese e per le quali venivano richiesti pagamenti a favore di Iban apparentemente del medesimo stato. Le analisi hanno poi evidenziato che si trattava di virtual iban collegati a carte prepagate emesse in altri Stati e solo la cooperazione tra la FIU e le società distributrici dei vIBANs ha permesso di recuperare parte delle somme frodate(10).

L’ingegnerizzazione finanziaria naturalmente non può essere arrestata dai Regolatori ma è necessario sempre garantire che il trade-off tra efficienza e sicurezza sia sempre salvaguardato e che per ogni rischio reale o potenziale ci sia sempre un adeguato sistema di misurazione e mitigazione.

Le opinioni espresse e le conclusioni sono attribuibili esclusivamente all’Autore e non impegnano in alcun modo la responsabilità di ICCREA BANCA.

Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1) EBA | Report on virtual IBANs, May 2024

(2) Articolo 2 (15) del Regolamento UE n. 260/2012, c.d. Regolamento SEPA

(3) Si parla di “discriminazione IBAN” quando una persona non è in grado di effettuare o ricevere un bonifico SEPA o di effettuare un pagamento mediante addebito diretto SEPA dal proprio conto bancario situato in un altro Stato membro. –
ECB | IBAN discrimination, February 2022

(4) A. Di Corrado, (2023), Nuovo Regolamento sui bonifici istantanei, dai vantaggi ai nuovi adempimenti, – Risk & Compliance Platform Europe, www.riskcompliance.it

(5) L’ente creditizio o l’ente finanziario che gestisce il conto bancario o di pagamento sul quale un IBAN virtuale, emesso da un altro ente creditizio o ente finanziario, ridireziona i pagamenti, garantisce di poter ottenere dall’ente emittente dell’IBAN virtuale, senza indugio e in ogni caso entro cinque giorni lavorativi dalla richiesta di tali informazioni, le informazioni che identificano e verificano l’identità della persona fisica che utilizza tale IBAN virtuale. –
Parlamento UE e Consiglio | Nuovo Regolamento AML, Maggio 2024

(6) L’ISO 20022 è lo standard internazionale per lo scambio di messaggi elettronici tra istituzioni finanziarie, essenziale per unificare, semplificare ed arricchire l’infrastruttura dei pagamenti su scala mondiale.

(7) EBA | Report on ML/TF risks associated with the Payment Institutions, June 2023

(8) KPMG | ML/TF Risks Identified in the European Payment Institution Sector, September 2023

(9) Europol | The Other Side of the Coin: An Analysis of Financial and Economic Crime, 2023

(10) FATF – Interpol – Egmont Group | Illicit Financial Flows from Cyber-Enabled Fraud, November 2023

Related Items

FIDA-open-FinanceFIDA e l’avvento dell’Open Finance
Continua a leggere
egolamento-sui-bonifici-istantaneiNuovo regolamento sui bonifici istantanei, dai vantaggi ai nuovi adempimenti
Continua a leggere
Pagamenti-digitale-frodeLe frodi nei pagamenti, il commento al recente parere EBA su "Frodi e Pagamenti"
Continua a leggere

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *