L'open banking pci dss è uno dei temi più fraintesi nel panorama dei pagamenti digitali europei. Molte aziende assumono che adottare pagamenti account-to-account li escluda automaticamente dagli obblighi PCI DSS, ma la realtà è più articolata. La PSD2 e il PCI DSS operano su piani normativi diversi, con sovrapposizioni concrete che ogni merchant e PSP deve conoscere prima di progettare la propria architettura di pagamento.
Open banking e PCI DSS: quando si applicano le due normative
Il PCI DSS si applica a qualsiasi entità che memorizzi, processi o trasmetta dati di carte di pagamento, ovvero PAN, CVV, PIN e dati equivalenti. L'open banking, invece, opera su pagamenti che partono direttamente dal conto corrente tramite API regolate dalla PSD2: in questo caso non transita nessun dato carta, quindi il PCI DSS non si applica al flusso A2A in senso stretto.
Tuttavia, la distinzione non è mai così netta nella pratica. Le aziende che offrono open banking come metodo di pagamento aggiuntivo continuano quasi sempre ad accettare anche carte. E qui scatta il problema: mantenere due canali paralleli significa che il CDE (Cardholder Data Environment) esiste comunque, con tutti gli obblighi PCI associati. La logica "ho l'open banking, non mi serve il PCI DSS" è corretta solo se l'azienda ha definitivamente smesso di accettare carte, scenario estremamente raro.
Pagamenti A2A e account-to-account: scope PCI ridotto ma non zero
I pagamenti account-to-account (A2A) eliminano il PAN dal flusso transazionale. Questo riduce concretamente lo scope PCI: se un merchant elabora esclusivamente pagamenti via bonifico istantaneo o tramite PISP (Payment Initiation Service Provider), non ha tecnicamente un CDE attivo per quel canale. Il livello di compliance richiesto scende, e in alcuni casi si può compilare un SAQ A per la porzione di business residua.
Rimangono però obblighi operativi non trascurabili. I dati IBAN e le informazioni di conto corrente non rientrano nel perimetro PCI DSS, ma ricadono sotto il GDPR e le norme sulla sicurezza delle API previste dalla PSD2. Un data breach su dati bancari A2A può comportare sanzioni GDPR fino al 4% del fatturato globale, indipendentemente dal PCI DSS. La riduzione dello scope PCI non equivale a una riduzione del rischio complessivo.
Hybrid stack: quando usi sia carte che open banking
Lo scenario più comune per merchant e PSP europei nel 2025 è uno stack ibrido: carte di credito e debito per la maggior parte delle transazioni retail, open banking per pagamenti B2B o per merchant che vogliono abbattere le commissioni interbancarie. In questo caso il CDE esiste comunque, e la compliance PCI DSS riguarda l'intera infrastruttura che gestisce i dati carta, incluse le componenti condivise come i firewall, i log e i sistemi di autenticazione.
La soluzione ottimale per uno stack ibrido è centralizzare la gestione dei dati carta su un unico vault certificato PCI DSS Level 1 esterno, come quello di PCI Proxy EU, e mantenere i pagamenti open banking su un percorso tecnico separato. In questo modo il perimetro PCI rimane contenuto, la complessità di audit si riduce e i due canali possono evolvere in modo indipendente senza che le modifiche all'uno impattino sulla compliance dell'altro.
Domande frequenti
Un'azienda che usa solo open banking deve essere PCI compliant?
Se l'azienda non tocca dati di carte di pagamento in nessun flusso, il PCI DSS non si applica. Questo vale solo se tutti i metodi di pagamento accettati sono A2A o tramite PISP PSD2-regolato. In pratica, quasi nessun merchant europeo si trova in questa situazione: la grande maggioranza accetta ancora carte, il che mantiene attivo l'obbligo PCI DSS.
La PSD2 elimina gli obblighi PCI DSS per le banche?
No. La PSD2 regola l'accesso ai conti e i servizi di pagamento, mentre il PCI DSS è uno standard di sicurezza dei dati carta gestito da PCI SSC. Le banche sono soggette a entrambi: la PSD2 per le API di open banking, il PCI DSS per tutti i servizi che trattano dati di carte. Le due normative si integrano, non si sostituiscono.
PCI Proxy EU supporta i pagamenti open banking?
PCI Proxy EU si focalizza sulla tokenizzazione e sulla gestione sicura dei dati carta. Per gli stack ibridi carta e open banking, la soluzione è integrare PCI Proxy EU per il canale carta e mantenere un percorso separato per i pagamenti A2A. Questo riduce al minimo il perimetro PCI senza compromettere la flessibilità dei metodi di pagamento offerti.
Gestisci uno stack ibrido carta e open banking e vuoi capire esattamente cosa ricade nel tuo perimetro PCI? Scopri PCI Proxy EU.