Romanelli (Studio Carbonetti): “Le norme antifrode per i PSP aumentano la fiducia nei pagamenti digitali”

Il valore totale dei bonifici, degli addebiti diretti, dei pagamenti con carta, dei prelievi di contante e delle transazioni con moneta elettronica, effettuati con metodi fraudolenti all'interno del SEE, è stato pari a 4,3 miliardi di euro nel 2022 e a 2 miliardi di euro nella prima metà del 2023. Numeri importanti, che confermano come - parallelamente al progredire delle tecnologie e dei servizi di pagamento digitali - sia fondamentale rafforzare i sistemi di sicurezza informatica e anti-frode, anche in considerazione delle responsabilità che, a livello normativo, gravano sui prestatori di servizi di pagamento.

In occasione del Salone dei Pagamenti 2024, abbiamo approfondito questa tematica con l’avv. Marco Romanelli, esperto di regolamentazione delle banche e degli intermediari finanziari con una profonda competenza nel diritto delle nuove tecnologie, con particolare focus su fintech e soluzioni digitali innovative per il settore finanziario.

 

Come testimoniato dai dati pubblici sulle frodi subite dagli utenti dei servizi di pagamento, il crescente ricorso agli strumenti digitali di pagamento nonché il rapidissimo sviluppo delle forme di instant payment hanno aumentato drammaticamente il rischio frode. L’incremento delle frodi, talvolta anche particolarmente sofisticate (ad esempio, la tecnica del cosiddetto man in the browser) ha portato il legislatore europeo a rivedere, innalzandolo, il grado di tutela degli utenti dei servizi di pagamento. Da un lato, in data 13 marzo 2024 è stato emanato il Reg. UE 2024/886 sugli Instant Payments, che ha introdotto un nuovo servizio di verifica della corrispondenza tra IBAN e titolare del rapporto di conto corrente, inizialmente pensato solo per i bonifici istantanei e poi esteso a qualsiasi tipo di bonifico. Si tratta di una un’importante novità rispetto alle norme della PSD2, poiché garantisce una maggior tutela dell’utente per tutte le frodi in cui il truffatore induce l’utente ad effettuare un pagamento appropriandosi dell’identità di un altro soggetto. Sul punto, peraltro, lo European Payments Council (EPC) ha pubblicato il 10 ottobre di questo anno la prima versione del Rulebook relativo a tale servizio di verifica con l’obiettivo di definire un set di regole comuni in area SEPA e favorire la collaborazione tra i prestatori dei servizi di pagamento, sempre nell’ottica di garantire una maggior tutela degli utenti dalle frodi. Dall’altro lato, lo schema della nuova direttiva PSD 3 e del regolamento PSR in corso di approvazione contempla una significativa estensione della tutela degli utenti, in termini di diritto al rimborso di operazione disconosciute, anche ai casi di “operazioni fraudolentemente autorizzate”, ad oggi privi di tutela (ad es., i fenomeni di social hacking). A fronte della continua e rapida evoluzione tanto dei servizi di pagamento elettronici quanto delle tecniche di frodi digitali, il legislatore mira a innalzare il regime di tutela degli utenti dei servizi di pagamento, con l’obiettivo di accrescere il livello di fiducia dei cittadini e delle imprese nel sistema dei pagamenti digitali. In tale senso si è anche espressa la Banca d’Italia con la comunicazione al mercato del 17 giugno 2024, a mezzo della quale i PSP sono stati inviati a svolgere un’autovalutazione sulla coerenza degli assetti, delle procedure e delle prassi in uso con le previsioni normative, onde garantire alla clientela il diritto di disconoscere le operazioni non autorizzate e di ottenere i dovuti rimborsi. Se l’obiettivo è senz’altro condivisibile, occorrerà anche prestare attenzione a che nella prassi gli intermediari, talvolta vittime delle frodi più insidiose al pari dei clienti, non siano  esposti a rischi operativi e legali eccessivi e non governabili.

 

Nell’attuale contesto normativo, improntato a un chiaro favor per l’utente, i prestatori dei servizi di pagamento hanno il dovere e l’interesse di dotarsi di molteplici strumenti che consentano di limitare la loro responsabilità nell’ipotesi in cui i clienti, con le loro condotte, abbiano favorito il realizzarsi di operazioni fraudolente. Infatti, sebbene vi sia l’obbligo di rimborsare l’importo dell’operazione non autorizzata e disconosciuta entro la giornata successiva al disconoscimento, le norme consentono al PSP di riaddebitare il cliente laddove provi che lo stesso abbia favorito, quantomeno con colpa grave, il realizzarsi dell’operazione. Le norme inoltre consentono al PSP di non effettuare alcun rimborso in ipotesi di motivato sospetto di frode. Il PSP, dunque, oltre a verificare che l’operazione sia stata correttamente autenticata e che non vi siano stati malfunzionamenti delle procedure tecniche, potrebbe utilmente rivalutare il processo di disconoscimento delle operazioni di pagamento, richiedendo all’utente che lamenti di aver subito una frode quante più informazioni possibili per istruire correttamente la disputa, adottando presidi che consentano agli utenti di verificare tempestivamente l’esecuzione di un’operazione fraudolenta (e.g., sms alert o notifiche push), nonché sensibilizzando i medesimi tramite apposite campagne informative sulle principali tipologie di frode.