L'utilizzo fraudolento degli strumenti di pagamento

Per effettuare qualsiasi tipo di acquisto si fa ormai quotidianamente uso di carte di debito e di credito, o metodi di pagamento telematici; lo scorso anno uno studio ha stimato che entro il 2020 le persone in tutto il mondo realizzeranno circa 726 miliardi di operazioni di pagamenti digitali[1].

Lo sviluppo tecnologico ha, infatti, comportato una significativa smaterializzazione dei trasferimenti di denaro, a cui il legislatore (europeo in primis) si è adattato, definendo un quadro giuridico unitario per tutti i servizi di pagamento elettronici: con la direttiva CE/2007/64 (c.d. PSD I), recepita nel nostro ordinamento con il D.lgs. 11/2010, sono stati  individuati precisi diritti ed obblighi, per banche e clienti, nella prestazione e nell'utilizzo di tali servizi di pagamento. Il quadro normativo di riferimento è in parte mutato a seguito del recepimento, con il decreto 218/2017, della direttiva UE/2015/2366 sui servizi di pagamento nel mercato interno: l’impianto dei diritti  e doveri gravanti su prestatori ed utilizzatori dei servizi di pagamento è tuttavia rimasto il medesimo.

Innanzitutto, si prevede per i prestatori di servizi di pagamento (quindi, principalmente, gli istituti di credito) l’obbligo di adottare tecnologie che garantiscano all’utente finale sicurezza sia per le operazioni di accesso al proprio account personale, sia per le transazioni tramite un canale remoto.

In particolare il cliente, se vorrà effettuare un’operazione di pagamento, dovrà disporre di particolari  strumenti di autenticazione classificati come: “knowledge” (qualcosa che solo l’utente conosce: ad esempio un PIN); “possession” (qualcosa che solo l’utente possiede: ad esempio un “token”, od un codice OTP inviato sull’utenza del cliente prima del compimento di operazioni online); od “inherence” (qualcosa che solo l’utente è, ad esempio l’impronta digitale).

La nuova normativa accresce la protezione dei consumatori utilizzatori dei servizi di pagamento online e rafforza i requisiti di sicurezza degli strumenti di pagamento elettronici, prevedendo che debbano obbligatoriamente avere due dei tre requisiti di “autenticazione c.d. forte” sopra descritti.

È, inoltre, prevista l’adozione di strumenti per tutelare la riservatezza e l'integrità delle credenziali degli utenti, limitando il rischio di phishing e di altre attività fraudolente. Tra i principali rischi vi è, infatti, la creazione e la modifica delle credenziali di accesso, involontariamente cedute dall’utente (ad esempio a seguito della ricezione di una email di pishing o di accesso a un falso sito web che riproduca quello della propria banca), ovvero inviate tramite canali di comunicazione alternativi (la linea telefonica, ad esempio): ad oggi sono disponibili sistemi di codifica (ad esempio le one-time password) e soluzioni che prevedono la creazione di un collegamento dinamico (“dynamic link”), onde evitare che credenziali di autenticazione inserite dai clienti su siti web possano essere utilizzate da malfattori per finalità diverse.

L’intermediario che manchi di predisporre tali garanzie nella fornitura di servizi di pagamento sarà tenuto  a rimborsare il cliente delle somme eventualmente sottrattegli a seguito di un utilizzo non autorizzato dello strumento di pagamento; il cliente non potrà subire una perdita superiore a 150 euro (ulteriormente diminuita a 50 euro dalla nuova direttiva comunitaria) nel caso di operazioni non autorizzate effettuate prima della comunicazione all’intermediario relativa al furto, od all’uso indebito dello strumento di pagamento.

Un tale principio di responsabilità  rientra nel rischio professionale che un prestatore di servizi di pagamento è tenuto a sopportare: rischio senza dubbio prevedibile ed evitabile con appropriate misure tecniche, quali quelle sopra descritte.

Dall’altro lato le fonti normative di riferimento individuano precisi doveri anche in capo al cliente utilizzatore del servizio di pagamento: dovrà infatti adottare tutte le misure necessarie a garantire la sicurezza dei dispositivi personalizzati necessari per l’utilizzo degli strumenti di pagamento.

Il decreto legislativo esclude infatti la responsabilità dell’intermediario soltanto nel caso in cui dimostri il dolo o la colpa grave del cliente: la banca non risponderà dunque del danno patito dal cliente solo qualora dimostri che il fatto sia attribuibile al dolo del titolare, od a comportamenti talmente incauti da non poter essere fronteggiati in anticipo.