Con una recente pronuncia (nella causa C-287/19) la Corte di Giustizia europea si è espressa per la prima volta sull’interpretazione di alcune norme della direttiva sui servizi di pagamento nel mercato interno (la cosiddetta PSD2, ossia la direttiva (UE) 2015/2366), statuendo che i prestatori dei servizi di pagamento devono considerarsi responsabili delle misure di sicurezza degli strumenti che essi rilasciano agli utenti. Una sentenza che ha impatto sul diritto degli utenti al rimborso in caso di frodi con le carte.
La vicenda è particolarmente interessante in quanto coinvolge la gran parte di tutti noi. Essa riguarda, infatti, l’utilizzo delle carte di pagamento contacless, ossia quelle dotate di tecnologia NFC (near-field communication) che consente a colui che è in possesso della carta di effettuare un pagamento semplicemente avvinando la stessa agli appositi lettori, senza pin fino a 25 euro ora e 50 euro dall’anno prossimo.
Senza scendere nel dettaglio in fatto della sentenza, ai nostri fini è sufficiente chiarire che essa prende le mosse da un ricorso presentato da un’associazione di consumatori austriaca contro alcune clausole contrattuali previste nei moduli di una banca, con cui quest’ultima escludeva qualsiasi propria responsabilità in caso di utilizzo della carta per il pagamento di importi ridotti (quindi senza inserimento del numero di identificazione personale “PIN”) semplicemente dichiarando, ma senza dimostrazione alcuna, che per tali usi sarebbe impossibile procedere a un blocco o prevenirne il verificarsi.
Per comprendere pienamente la questione dobbiamo procedere però ad una ricostruzione della disciplina di tali dispositivi e al regime di responsabilità stabilito nella PSD2, per poi precisare come essi si pongono nell’ambito delle carte contactless.
Strumenti di pagamento e direttiva PSD2
La direttiva (UE) n. 2015/2366, che ha sostituito la precedente PSD1, ha introdotto molte innovazioni nel sistema dei pagamenti europeo sia introducendo nuove tipologie di operatori (prestatori di servizi di pagamento, aggregatori di informazioni ed emittenti di carte di pagamento) sia consentendo una più ampia utilizzazione degli strumenti, nonché innalzando i requisiti di sicurezza e definendo le responsabilità dei vari attori.
La disciplina prevede alcune deroghe al proprio interno, per facilitare l’effettuazione dei micropagamenti – non superiori a 30 euro per singola operazione o che hanno limiti di spesa complessivi di 150 euro – disponendo delle semplificazioni in termini di oneri informativi verso l’utente da parte del prestatore di servizi nonché in riferimento agli obblighi di notifica dello smarrimento dello strumento, con conseguente blocco della carta, da parte dell’utente e, in particolare, agli oneri della prova che ricadono sul prestatore dei servizi qualora – in caso di contestazioni da parte del titolare – intenda comunque addebitare gli importi delle transazioni della carta.
In via ordinaria, infatti, la direttiva PSD2 prevede che nel caso in cui un utente neghi di aver autorizzato un pagamento sarà onere del prestatore di servizi, che voglia addebitare all’utente medesimo le transazioni, provare che l’operazione è stata autenticata, correttamente registrata e contabilizzata, precisando che ai fini di tale prova non è sufficiente dimostrare l’utilizzo di uno strumento registrato (e quindi non basta di per sé l’aver usato la carta), ma è necessario che il prestatore dimostri in concreto la frode o negligenza da parte dell’utente (su cui, come anticipato, gravano degli obblighi di notifica dello smarrimento, furto, appropriazione indebita o utilizzo non autorizzato della carta stessa).
Inoltre, in caso di notifica o presa d’atto dell’operazione illegittima il prestatore deve provvedere a rimborsare immediatamente l’utente, comunque non oltre la fine della giornata operativa successiva.
La direttiva prevede altresì la possibilità di convenire contrattualmente un obbligo da parte dell’utente di sopportare comunque le perdite, fino al massimale di 50 euro, derivanti da operazioni non autorizzate effettuate con strumenti smarriti o rubati, purché tali vicende non potevano essere notate dall’utente medesimo prima del pagamento o qualora siano conseguenza da atti o omissioni di soggetti appartenenti alla struttura del prestatore di servizi (o suoi outsourcer).
La PSD2 è stata poi seguita dal Regolamento (UE) n. 2018/389, il cosiddetto Regolamento SCA (Strong Customer Authentication), che ha dettato le regole di sicurezza a cui i prestatori devono adeguarsi per l’autenticazione degli utenti che utilizzano strumenti di pagamento. Secondo l’art. 11 vi è un esonero ad applicare sistemi di autenticazione forte in caso di “operazione di pagamento elettronico senza contatto” purché
- l’importo della singola operazione non sia superiore a 50 euro;
- non siano state attuate, dalla data dell’ultima autenticazione forte (quindi, in caso di carte contactless, dalla data dell’ultimo inserimento del PIN) operazioni senza contatto superiori per un importo totale superiore a 150 euro;
- in ogni caso non siano state effettuate più di cinque operazioni contactless dalla data dell’ultima autenticazione forte.
L’inquadramento delle carte contactless nell’ambito della PSD2
Al fine di applicare le deroghe stabilite dalla PSD2 in tema di micropagamenti alla Corte di Giustizia europea sono state poste due questioni preliminari, relative all’inquadramento delle carte con funzioni NFC.
La prima era relativa alla loro riconduzione o meno nell’ambito della definizione degli strumenti di pagamento, di cui all’art. 4, primo comma, n. 14, nell’ambito della quale sono compresi i dispositivi personalizzati e/o l’insieme di procedure concordate tra l’utente di servizi ed il prestatore utilizzate per disporre un ordine di pagamento.
Richiamando un precedente giurisprudenziale della stessa Corte (la sentenza 9 aprile 2014 del caso C-616/11) nel provvedimento in esame viene precisato che l’utilizzo della funzione NFC di una carta multifunzione collegata ad un conto bancario individuale non può essere ricondotta all’utilizzo di un dispositivo personalizzato, in quanto non consente alla banca di verificare che l’ordine di pagamento venga disposto dal soggetto abilitato a tale scopo (a differenza di quando è utilizzato un PIN per autorizzare la transazione).
Se la funzione NFC esclude che possa parlarsi di dispositivi personalizzati, la stessa, però, rientra comunque nella definizione degli strumenti di pagamento sopra richiamata, in quanto comunque consente di disporre un ordine di pagamento tramite una procedura non personalizzata che viene concordata tra prestatore e utente.
In sostanza, la Corte scinde le funzionalità della carta: nel caso di pagamenti previa autenticazione forte (quindi con uso del PIN) si applica la prima parte della definizione di strumento di pagamento, considerando la carta come un dispositivo personalizzato; nel caso di utilizzo della funzione NFC, che invece non richiede l’inserimento di un elemento di autenticazione, essendo ricollegato il pagamento al mero possesso della carta, si tratta di procedure (non personalizzate) per disporre comunque degli ordini di pagamento, che vengono concordate tra prestatore ed utilizzare in merito ad importi e modalità.
La seconda questione, assai rilevante per definire la disciplina applicabile, era relativa alla possibilità di inquadrare l’uso di una carta conctactless nell’ambito dell’utilizzo anonimo degli strumenti di pagamento. Dalla risoluzione di tale questione, infatti, discende l’applicabilità o meno, in favore del prestatore di servizi di pagamento, delle deroghe previste dalla direttiva PSD2, ed in particolare della possibilità di escludere convenzionalmente l’obbligo della banca di dimostrare l’autenticazione ed esecuzione delle operazioni di pagamento, quella di prevedere un esonero di responsabilità per operazioni non autorizzate ed, infine, di stabilire che l’utilizzatore comunque sopporti le perdite, fino all’importo di 50 euro, derivanti dal furto, appropriazione indebita o perdita dello strumento di pagamento.
Sul punto, tenuto conto delle concrete modalità con cui avvengono i pagamenti contactless, ossia senza autenticazione mediante l’uso di credenziali di sicurezza personali, ma con il mero possesso della carta che viene accostata ai dispositivi la Corte ne desume che chiunque ha accesso a detta carta può effettuare pagamenti con tali modalità, ciò anche senza il consenso del titolare del conto, in caso di smarrimento, furto o appropriazione indebita della carta. Tale possesso, però, non è idoneo ad essere inquadrato come un “consenso” all’utilizzo della carta, ragione per cui deve ritenersi che le ipotesi di pagamento tramite la funzionalità NFC costituiscano un “utilizzo anonimo” dello strumento di pagamento, con conseguente possibilità di applicare, mediante lo strumento contrattuale, le deroghe sopra citate.
EPC_Infographic_PSD2_March-2017_Updated June 2017
SCA payments
Misure di sicurezza delle carte contactless: oneri e responsabilità della banca e dei prestatori di servizi
Il punto più rilevante della pronuncia della Corte, e che, onestamente, contraddice in parte le risultanze dell’analisi sui precedenti punti, riguarda il regime di responsabilità applicabile al pagamento contactless.
Se, infatti, la ratio della direttiva di riconoscere l’applicabilità delle deroghe che abbiamo sopra esaminato in caso di strumenti di pagamento anonimi – e tenuto conto dei ridotti importi di spesa che essi consentono – risiede nella necessità di favorire l’utilizzo di strumenti rapidi ed immediati, nonché di evitare al prestatore di fornire una prova alquanto difficile, in assenza di strumenti di autenticazione circa l’effettiva imputabilità del pagamento al titolare della carta, non si può non evidenziare come la statuizione dei giudici europei circa l’applicabilità delle deroghe nel caso concreto sia in una direzione opposta a tali finalità.
L’art. 63, par. 1, lett. a) della PSD2 prevede, infatti, che il prestatore possa beneficiare delle deroghe alle disposizioni della direttiva quando “non è consentito il blocco dello strumento di pagamento o non ne può essere impedito l’utilizzo ulteriore”. Ciò vale, in particolar modo, alla deroga relativa alla prova che il prestatore deve fornire circa il concreto utilizzo del dispositivo, considerando anche l’assenza del regime di notifica previsto in caso di micropagamenti.
Nel caso di specie la banca aveva inteso avvalersi di tale deroga, specificando nel contratto che, una volta attivate le funzionalità NFC, non sarebbe stato possibile bloccare tale funzionalità o impedirne il successivo utilizzo. La Corte, interpretando restrittivamente la possibilità di deroga, ha considerato non sufficiente una semplice dichiarazione contrattuale in tal senso, ritenendo che l’impossibilità di procedere, per ragioni tecniche, al blocco della funzionalità contactless deve invece essere oggetto di prova in concreto da parte del prestatore dei servizi di pagamento.
Ciò in quanto sulla banca grava la responsabilità dell’adozione delle misure di sicurezza, le quali dovrebbero essere proporzionate ai rischi connessi ai servizi di pagamento. In tale ottica, una semplice dichiarazione di impossibilità non potrebbe essere sufficiente a determinare un’inversione dell’onere della prova, ma il prestatore che vuole avvalersi della deroga deve fornire argomentazioni tecniche e la dimostrazione che, alla luce dello stato oggettivo della tecnologia, siffatta impossibilità è concreta.
Conclusioni
In conclusione – anche in considerazione dell’assenza ad oggi delle norme tecniche che avrebbero dovuto definire le esenzioni dall’applicazione dei requisiti di sicurezza (ai sensi dell’art. 98 della PSD2) e nonostante i temperamenti contenuti nella direttiva per l’utilizzo degli strumenti in caso di micropagamenti – alle banche e ai prestatori di servizi di pagamento non sarà possibile sottrarsi al rimborso per operazioni svolte tramite carte contactless semplicemente inserendo deroghe contrattuali basate sull’impossibilità di procedere al blocco delle funzionalità NFC delle stesse, o dei pagamenti successivi, ma dovranno fornire, qualora intendano avvalersi di tale deroga, prova concreta dell’impossibilità, allo stato attuale della tecnica, di procedere in tal senso.
