Negli ultimi anni, abbiamo assistito ad una importante e continua crescita nell’utilizzo dei canali digitali: un numero sempre maggiore di imprese e famiglie italiane li hanno scelti, preferendoli a quelli più tradizionali, per fare i propri pagamenti e operazioni in mobilità, apprezzandone comodità, facilità d’uso e sicurezza.
Pagamenti digitali e sicurezza informatica
Di pari passo con l’utilizzo dei nuovi strumenti è cresciuto anche l’impegno del settore bancario e finanziario per la sicurezza informatica, per la prevenzione e il contrasto degli attacchi e per la protezione dei clienti dalle frodi online. Grazie agli ingenti investimenti delle banche in ICT, alla continua ricerca e allo sviluppo di tecnologie e servizi sempre più innovativi ed evoluti, allo sforzo del settore per aumentare la consapevolezza dei clienti e sensibilizzarli ad un uso sicuro degli strumenti e dei canali digitali.
D’altra parte, sul fronte della sicurezza informatica è fondamentale che tutti – clienti, banche e operatori – siano formati/informati e dunque in grado di dare il proprio contributo per ridurre il rischio di attacchi e di frodi, seguendo poche semplici regole che consentono di districarsi tra le possibili insidie della rete. In questa direzione, vale la pena passare in rassegna gli obblighi previsti dalle norme europee, tanto per chi utilizza quanto per chi mette a disposizione gli strumenti di pagamento, per comprendere meglio qual è il confine fissato tra la responsabilità dell’utente e quella della banca.
Gli obblighi e le responsabilità della banca e dell’utente
Per quanto riguarda gli strumenti e le operazioni di pagamento, gli obblighi e le responsabilità della banca e dell’utente sono stati definiti in modo armonizzato a livello europeo dalla prima direttiva sui servizi di pagamento, la cosiddetta PSD (Payment Services Directive). Recepita nell’ordinamento nazionale nel 2010, la direttiva ha definito un quadro giuridico comunitario moderno e coerente per tutti i servizi di pagamento elettronici.
Successivamente, la direttiva PSD2 ha confermato il medesimo impianto, rafforzando i presidi di sicurezza. Per accedere al conto online, o disporre un pagamento con bonifico o carta, è stata introdotta l’autenticazione forte dell’utente (strong customer authentication – SCA), e per le operazioni online fatte via internet e mobile, è stato aggiunto un ulteriore codice unico che ad ogni operazione collega importo e beneficiario. Queste ulteriori misure di sicurezza hanno consentito una sostanziale riduzione delle frodi, come si evince anche dall’ultimo rapporto BCE-EBA pubblicato all’inizio di agosto, che ha confermato l’impatto positivo dei requisiti di “autenticazione forte” del cliente introdotti nell’ambito della revisione della PSD2 e degli standard tecnici di supporto emanati dall’EBA nel 2018.
Livelli assoluti e relativi di frode per tipologia di strumento di pagamento (grafico Bce)
Diritto al rimborso nei casi di frode, cosa dicono le direttive europee
Venendo al tema delle responsabilità e del conseguente diritto al rimborso nei casi di frode, le direttive europee stabiliscono gli obblighi sia per l’utente che per i prestatori di servizi di pagamento (i cosiddetti PSP). In particolare, l’utente deve custodire con cura le credenziali e gli strumenti di pagamento, e usarli in conformità con le indicazioni dategli dalla banca. Inoltre, deve notificare – non appena ne viene a conoscenza e nelle modalità indicate nel contratto – lo smarrimento, il furto, l’appropriazione indebita o l’uso non autorizzato del proprio strumento di pagamento o dell’home banking.
Per quanto riguarda invece le banche e in generale tutti i PSP, questi hanno l’obbligo di assicurare che le credenziali di sicurezza personalizzate non siano accessibili a soggetti diversi dall’utente e che questi abbia a disposizione dei canali per notificare un eventuale furto o smarrimento. Inoltre, devono impedire qualsiasi utilizzo dello strumento di pagamento successivo alla notifica di furto o smarrimento.
Di norma, i PSP devono rimborsare i pagamenti disconosciuti dai clienti e non autorizzati con l’autenticazione forte. Quando quest’ultima è stata invece eseguita correttamente, la banca ha facoltà di non rimborsare l’utente se ha accertato che l’operazione disconosciuta è stata causata dal mancato rispetto degli obblighi – per esempio di custodia – posti a carico dell’utente stesso, in ragione di suoi comportamenti caratterizzati da dolo o colpa grave. La banca ha comunque sempre il diritto di non rimborsare ove presuma che la richiesta di disconoscimento del cliente derivi da un suo tentativo di frode ai propri danni.
Per contro, è onere del prestatore di servizi di pagamento dimostrare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata, che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.
L’impegno del settore bancario sul fronte della sicurezza informatica
Le banche sono costantemente impegnate a tutelare i clienti e i propri sistemi rispetto ai tentativi di frode, con strumenti di monitoraggio e presidi di sicurezza sempre più evoluti e sofisticati. Anche a fronte di nuovi stratagemmi e di nuovi schemi frodatori che, per cercare di aggirare i sistemi di sicurezza basati sull’autenticazione forte, fanno leva su fattori che si trovano al di fuori del perimetro presidiato direttamente dalla banca. Cosa significa concretamente? Per esempio, che il frodatore si sostituisce al cliente, legittimo titolare dello strumento di pagamento, tramite meccanismi di furto di identità oppure lo contatta spacciandosi per una persona degna di fiducia – un impiegato della banca, un agente delle forze dell’ordine o un amico che segnala una presunta situazione di pericolo per una persona cara – e induce il cliente stesso a fare un’operazione che in realtà andrà a beneficio del frodatore.
Questi nuovi schemi frodatori rendono necessario un aggiornamento del quadro normativo per meglio tutelare i clienti e tutto il mercato dei pagamenti. In questo senso, sarebbe importante che la revisione della PSD2, che prevede tra l’altro il passaggio ad un nuovo regolamento sui servizi di pagamento (PSR) attualmente in discussione a livello europeo, garantisse una maggiore collaborazione tra i soggetti a vario titolo coinvolti nella catena del pagamento e una migliore ripartizione delle responsabilità tra di essi, ricomprendendo appunto anche quegli operatori che, pur non essendo bancari, giocano un ruolo nella catena dei pagamenti digitali, come gli operatori di telefonia, i gestori delle piattaforme online e i gestori dei cosiddetti wallet.
Altrettanto importante sarà che la nuova normativa possa chiarire nel dettaglio le possibilità di condividere, tra PSP, le informazioni relative alle transazioni e ai conti oggetto di tentativi di frode, per poterli prevenire più efficacemente sempre nel rispetto i principi di tutela della riservatezza dei dati definiti dal Regolamento sulla Protezione dei Dati Personali (GDPR).
Sia la maggiore collaborazione tra i soggetti coinvolti nella catena del pagamento, sia la sempre più efficace condivisione delle informazioni in funzione antifrode sono oggetto di alcune delle raccomandazioni contenute nel Rapporto del gruppo di lavoro ERPB (Euro Retail Payments Board) sulle frodi legate ai pagamenti al dettaglio[1], recentemente pubblicato e che si auspica sia tenuto in ampia considerazione nel negoziato sul PSR.
Su un altro fronte, dal momento che i nuovi schemi frodatori si basano spesso sul raggiro dell’utente che diventa il punto più debole della catena, è fondamentale un’azione incisiva di educazione e informazione del cliente. Con questo obiettivo, l’intero settore bancario collabora da tempo con le Istituzioni e le Forze dell’ordine ed ha realizzato campagne informativo/formative sulla sicurezza informatica come quelle de “I Navigati”, rivolte sia ai clienti che alle imprese. Queste campagne, promosse dal CERTFin, insieme alle banche e ad ABI, AbiLab, Banca d’Italia, Ivass, Polizia di Stato, mirano a sensibilizzare i clienti ad un uso “informato e sicuro” dei canali e degli strumenti digitali.
Con lo stesso obiettivo, l’ABI in collaborazione con CERTFin, Ossif, la Polizia di Stato e le Associazioni dei Consumatori, ha messo a punto un vademecum contro il furto d’identità.
Qualche consiglio utile per gli utenti
La sempre maggiore digitalizzazione della vita quotidiana, e non solo dei pagamenti, richiede un uso attento e consapevole degli strumenti digitali a disposizione. Basta tuttavia fare attenzione a pochi semplici comportamenti per poter operare in sicurezza. I consigli fondamentali, da avere a mente, sono gli stessi che le banche ripetono di frequente ai loro clienti.
- Bisogna proteggere con cura le credenziali di accesso ai conti online e i codici delle carte di pagamento e non diffondere informazioni bancarie o finanziarie con facilità, per esempio su piattaforme social.
- Occorre fare attenzione a distinguere i messaggi autentici da quelli fraudolenti, ricordando che le banche non chiedono mai le credenziali di accesso al conto né i codici delle carte dei clienti, né inviano mai e-mail contenenti link se non nell’ambito di un processo avviato dall’utente.
- Qualora si ricevano richieste di questo tipo, bisogna avvisare subito la propria banca ed evitare di dare alcun riscontro alla richiesta ricevuta o di cliccare sui link.
- Si deve diffidare di presunti operatori bancari che al telefono chiedono informazioni personali o che segnalano la necessità di spostare fondi, offrendosi di farlo direttamente.
- Bisogna diffidare di persone che si presentano come “amici” e segnalano situazioni di pericolo di familiari o conoscenti. In questi casi è importante verificare sempre personalmente la situazione senza dar corso a richieste di invio di denaro.
- Qualora il proprio cellulare non sia più in grado di effettuare/ricevere chiamate, bisogna verificarne i motivi contattando il proprio operatore telefonico.
