Di chi è la colpa se a un utente rubano soldi dal conto o dalla carta di credito? Dell’utente o del prestatore del servizio? La risposta a queste domanda è soggetta a forti mutamenti in questo periodo, grazie a un nuovo corso della normativa.
In un sistema economico ormai globalizzato, fare prevenzione contro il furto di dati e di identità digitale sta diventando sempre più cruciale per gli intermediari bancari e per i consumatori che si trovano ad operare in un mercato fortemente interconnesso, dove la sicurezza delle informazioni è un tema che sta acquisendo sempre maggior importanza anche a livello normativo.
Il Regolamento generale relativo alla protezione delle persone fisiche con riguardo ai dati personali n. 2016/679, noto come GDPR e la Direttiva relativa ai servizi di pagamento nel mercato interno n. 2015/2366, nota come la PSD2, sono certamente la prova che il legislatore si è insinuato tra l’utilizzo esteso della tecnologia da parte degli intermediari e il bisogno di accedere, sempre più velocemente e sempre più facilmente, ai servizi digitali da parte dei consumatori per trarne benefici e garanzie.
In questo binomio di servizi e necessità, tra l’intermediario e il consumatore si colloca inoltre la vigilanza prudenziale di Banca d’Italia con l’ormai conosciuta Circolare n. 285/2013, che esalta il sistema informativo bancario (inclusivo delle risorse tecnologiche – hardware, software, dati, documenti elettronici, reti telematiche – e delle risorse umane dedicate alla loro amministrazione) come uno strumento di primaria importanza per il conseguimento degli obiettivi strategici e operativi degli intermediari, in considerazione della criticità dei processi aziendali che dipendono da esso.
In buona sostanza, negli ultimi anni, il legislatore ha inteso rendere l’ambiente informatico-finanziario improntato a criteri di maggior sicurezza e affidabilità e ciò in ragione, vuoi del crescente impiego dello strumento di pagamento elettronico da parte del pubblico degli utilizzatori, vuoi del parallelo (e prevedibile) espandersi degli attacchi sferrati dalla nuova criminalità in questo stesso, sempre più affollato ambiente di operatività finanziaria.
L’obiettivo è stato conseguito, da un lato, imponendo agli intermediari, nella loro qualità di prestatori di servizi di pagamento, specifici obblighi di precauzione, primo fra tutti l’obbligo di garantire l’inaccessibilità dei dispositivi di pagamento a soggetti non autorizzati (ossia diversi dal loro legittimo titolare: art. 8, comma 1° lett. a) del D. Lgs. 11/2010), e, dall’altro lato, istituendo un regime di speciale protezione e di altrettanto speciale favor probatorio a beneficio degli utilizzatori.
L’evidente squilibrio che le disposizioni normative determinano nel rapporto fra prestatore e utilizzatore di un servizio di pagamento trovano una loro giustificazione, per così dire, social-commerciale nitidamente ricostruita in una pronuncia dall’Arbitro Bancario Finanziario del Collegio di Roma (Collegio Roma, dec. n. 1111/2010), ad avviso del quale “la disciplina è evidentemente ispirata al principio del rischio d’impresa e cioè all’idea secondo la quale è razionale far gravare i rischi statisticamente prevedibili legati ad attività oggettivamente pericolose, che interessano un’ampia moltitudine di consumatori o utenti, sull’impresa, in quanto quest’ultima è in grado, attraverso la determinazione dei prezzi di vendita dei beni o di fornitura del servizio, di ribaltare sulla massa dei consumatori e degli utenti il costo dell’assicurazione di detti rischi”.
Da altro canto, l’utilizzatore del servizio deve adottare tutte le misure di precauzione per garantire la custodia e la segretezza dei servizi messi a sua disposizione. A parere di chi scrive, questo scenario così protezionistico del consumatore determina una responsabilità sociale dello stesso, che consiste nel non abusare della sua posizione “dominante” nel rapporto con l’istituto bancario.
Tuttavia, stante la ferrea regolamentazione giuridica, tecnologica ed organizzativa riservata agli intermediari, appare doveroso ipotizzare che, forse, non esiste, neppure nel mondo sistemi informativi, un concetto di sicurezza “in assoluto”. Ciò in quanto, qualsiasi sistema è potenzialmente vulnerabile e metterlo in sicurezza, vuol dire, piuttosto, architettare un sistema costruito da un insieme di procedure e strumenti che consentono di ridurre i rischi nella misura possibile o a livelli di accettabilità.
Principali tipi di virus e frodi informatiche
Fino a qualche anno fa, la minaccia più grande per gli intermediari bancari era rappresentata dalla clonazione delle carte di credito attraverso sistemi di riproduzione facile della banda magnetica, o dalla clonazione delle carte bancomat attraverso la riproduzione difficile del codice chip presente all’interno della carta bancomat.
Tuttavia sul tema della clonazione, la giurisprudenza ha sviluppato degli orientamenti rivoluzionari dell’onere probatorio in capo agli intermediari per le clonazioni delle carte bancomat, in quanto, l’Arbitro Bancario Finanziario rifacendosi a numerose pronunce collegiali, deduceva che, è vero che l’intermediario non può dimostrare che le operazioni disconosciute siano state autenticate, regolarmente registrate e contabilizzate attraverso il semplice utilizzo della carta bancomat (II comma art. 10 PSD), ma è altrettanto vero che, considerata la difficoltà – ribadita da esperti tecnici e condivisa dagli organi collegiali – di clonare una carta bancomat con microchip, la semplice deduzione dell’avvenuta clonazione fatta da un cliente NON può essere sufficiente per avvalorare quanto sostenuto. Ciò rischierebbe, a mio parere, di diventare anche una pratica ricorrente dei clienti degli intermediari bancari dannosa e fraudolenta ai danni del patrimonio in generale.
In altre parole, sarà pertanto l’utilizzatore che dichiara di essere rimasto in possesso della carta bancomat (perché non smarrita e non sottratta e, quindi anche di impossibile clonazione perché si richiede la materiale disponibilità della tessera) a dover avvalorare, con elementi inequivocabili, quanto sostiene sulla clonazione. Sul punto si è espresso il Collegio di Milano, con decisione 4280/2015 il quale afferma che “Ebbene, la prova della clonazione – negata dall’intermediario – non è stata offerta da chi ha fondato su tale circostanza il diritto vantato né può altrimenti essere desunta dalla documentazione in atti e/o da altre circostanze (emergendo, al contrario, presunzioni di senso opposto), con la conclusione che la relativa domanda non può essere accolta” (allo stesso modo si segnala la pronuncia n. 4640/2015).
Con i nuovi attacchi informatici, si pensi ai malware, al man in the middle, al man in the browser, al phishing, al key logger, i giudicanti saranno chiamati a valutare se e in che limiti possa ritenersi applicabile l’onere probatorio ex art. 10 PSD (confermato nell’art. 72 PSD2) in combinata con l’obbligo sulla strong customer authentication (SCA).
Allo stato attuale dell’arte tecnologica, l’autenticazione a due fattori con metodo OTP risulterebbe la più sicura possibile, sicché diviene giocoforza concludere che, ove tale sistema risulti adottato, l’intrusione non sia resa possibile se non attraverso la cooperazione, pur involontaria, del cliente, traducentesi nella mancata custodia dei codici e dei dispositivi di autenticazione ovvero nell’ingenua trasmissione degli stessi a terzi.
L’oggetto dell’analisi di alcuni attacchi informatici (phishing, malware) verte sull’aggiramento dei presidi di sicurezza e la circonvenzione del cliente attraverso metodi ormai noti (e-mail civetta, false comunicazioni di scadenza, invito all’aggiornamento di database e così via) ove il cliente, dispiegando un minimo di diligenza, è oggettivamente in grado di schivare (anche e non secondariamente per l’accresciuta campagna di informazione che i media e gli stessi intermediari hanno da tempo ormai attuato); viceversa, nei casi di attacco man in the middle o man in the browser la captatio avrebbe luogo attraverso un meccanismo decisamente più subdolo, noto da tempo alla scienza informatica, ma non altrettanto al pubblico dell’utenza online, capace di sorprendere la buona fede anche di un pur normalmente attento fruitore del servizio.
La responsabilità dell’intermediario ai sensi della PSD2
La prova di autenticazione e di esecuzione delle operazioni in capo all’intermediario prevista dalla PSD2 dovrà pertanto affrontare i meccanismi propri dei nuovi attacchi informatici, come detto tra questi anche gli attacchi man in the middle o man in the browser.
Gli intermediari dovranno implementare un sistema di procedure ben strutturate che permetta di riscontrare le richieste dei clienti nei termini e nelle modalità indicate dalla nuova normativa. Infatti, il considerando 71 e l’art. 73 della PDS stabiliscono ed introducono un principio importante e di impatto rilevante nell’ambito delle responsabilità degli intermediari, ovvero nel caso di un’operazione di pagamento non autorizzata, il prestatore di servizi di pagamento dovrebbe rimborsare immediatamente l’importo dell’operazione al pagatore.
Tuttavia, se sussiste il forte sospetto di un’operazione non autorizzata derivante da un comportamento fraudolento dell’utente dei servizi di pagamento e se il sospetto si fonda su ragioni obiettive comunicate all’autorità nazionale pertinente, il prestatore di servizi di pagamento dovrebbe essere in grado di svolgere un’indagine in tempi ragionevoli prima di rimborsare il pagatore. Al fine di tutelare il pagatore da eventuali svantaggi, la data valuta dell’accredito del rimborso non dovrebbe essere successiva alla data di addebito dell’importo.
Inoltre è stata ridotta la franchigia a carico del cliente a seguito di operazioni di pagamento non autorizzate ed è stabilito che l’utente debba rispondere solo per un importo molto limitato, a meno che non abbia agito in modo fraudolento o con grave negligenza. In tale contesto, un importo di 50 euro appare adeguato al fine di garantire una protezione armonizzata e di livello elevato degli utenti nell’Unione.
Ad ogni modo, per valutare l’eventuale negligenza o grave negligenza da parte dell’utente di servizi di pagamento, dovranno essere prese in considerazione tutte le circostanze note all’intermediario.
