L’imminente applicazione della PSD2 sugli strumenti di pagamento: open banking e sicurezza – avv. Fabio Di Resta ed avv. Silvano Sacchi

L’Open Banking rappresenta una delle principali novità introdotte con la complessa riforma normativa in corso da alcuni anni nel settore degli strumenti di pagamento e volta a creare un mercato europeo di pagamento digitale. Attraverso le API aperte (terze parti, c.d. TPP, Third Party Providers), si prevede la trasmissione di informazioni complete a terze parti che possono così entrare nel mercato finanziario eliminando barriere quali la burocrazia e i costi dell’infrastruttura tipica degli istituti di credito tradizionali. Con riguardo agli acquisti online i principali cambiamenti riguardano per esempio lo shopping online che subirà una notevole riduzione di costi.
Uno dei vantaggi principali dell’Open Banking è soprattutto la trasmissione diretta dei dati (p.e. saldo, movimenti e rendicontazione) a terzi, che renderà possibile pagare direttamente dal proprio conto in modo più veloce, senza commissioni e senza intermediari. Mentre, al momento, infatti, l’acquirente deve ricorrere necessariamente alle carte di credito per effettuare il pagamento online, con questo sistema potrà autorizzare direttamente il pagamento tramite il proprio conto, ovvero anche utilizzando conti correnti diversi, come nel caso di servizi di pagamento basati su carta (Card Initiation Service Provider -CISP) i quali consentono di far scegliere all’utente il conto corrente di addebito.
Si prevede inoltre anche l’utilizzo all’interno dei sistemi di pagamento degli account Facebook o Google per pagare le bollette o monitorare le spese. Questi scenari prossimi per quanto auspicabili portano con sé esigenze di sicurezza che necessitano uno specifico approfondimento.
In tale contesto, si prevedono in generali ingressi nel mercato del pagamento digitale di nuovi operatori terze parti non riferibili al settore bancario, si pensi ad esempio ai prestatori di servizi dispositivi, operatori che effettuano pagamenti per conto dell’utente (Payment Initiation Service Providers – PISP), oppure fornitori di servizi con accesso alle informazioni (Account Information Service Providers – AIPS).
Per quanto attiene al quadro normativo applicabile, è dunque emersa l’esigenza di alzare il livello di sicurezza in ambito bancario e non, tenendo in conto certamente le stringenti normative in tema di protezione dei dati personali (Reg. UE 2016/679 e Codice della Privacy novellato). Di qui, sono state approvate la direttiva UE 2015/2366 (c.d. PSD2), nonché gli atti interni di recepimento di detti provvedimenti, ossia i d. lgs. nn. 11/2010 e 218/2017, introdotti – stando allo scopo, dichiarato nella relazione illustrativa di quest’ultimo provvedimento- “di garantire una sempre maggior efficienza, possibilità di scelta e trasparenza nell’offerta dei servizi di pagamento, rafforzando, al tempo stesso, la fiducia dei consumatori in un mercato dei pagamenti armonizzato”.
In particolare, la normativa di attuazione della c.d. PSD2 che diventerà applicabile il 14 settembre 2019 ha comportato la novella delle norme di cui al T.U.B.(Testo Unico Bancario) – anche in ambito di antiriciclaggio – e dei d. lgs. nn. 10/20111 e 135/2015, introducendo, a carico dei prestatori di servizi di pagamento, l’obbligo di adottare requisiti tecnici e commerciali uniformi, anche allo scopo di garantire una maggior sicurezza, efficienza e competitività dei pagamenti elettronici, a vantaggio di esercenti e consumatori.
Quanto alle modifiche apportate al D. L.gs 11/2010, si è previsto:
– la modifica del comma II dell’art. 10, che oggi dispone espressamente: “è onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo e della colpa grave dell’utente.”
– l’inserimento dell’art. 10 bis che introduce specifici obblighi in capo agli intermediari finalizzati a garantire la sicurezza degli utenti, imponendo loro: l’adozione di misure tecniche di autenticazione forte del cliente per l’accesso al conto di pagamento on-line, per la disposizione di un’operazione di pagamento elettronico e per l’effettuazione di qualsiasi azione tramite un canale a distanza che può comportare un rischio di frode nei pagamenti o altri abusi, nonché per le operazioni di pagamento elettronico a distanza, l’adozione di misure che colleghino in maniera dinamica l’operazione a uno specifico importo e a un beneficiario specifico e l’adozione di misura di sicurezza atte a garantire, conformemente all’articolo 98 della direttiva (UE) 2015/2366 e alle relative norme tecniche di regolamentazione adottate dall’Unione Europea, la riservatezza e l’integrità delle credenziali di sicurezza personalizzate degli utenti dei servizi di pagamento.
Contestualmente, si è sviluppato un percorso giurisprudenziale nell’ambito del contenzioso promosso dai clienti nei confronti degli istituto di credito per il ristoro dei danni subiti in caso di frode per accesso illegittimo al sistema di home banking.
Il più recente -e allo stato maggioritario- orientamento della giurisprudenza di merito è stato ribadito nelle sentenze della Cassazione n. 10638/2016 e 9158/2018. Con quest’ultima, in particolare, si è ha affermato che: “in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema, è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore di servizi di pagamento, prevedibile ed evitabile, appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che […] la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire la prova della riconducibilità dell’operazione al cliente”.
Il tema delle frodi bancarie per violazione del sistema home banking è stato affrontato anche dall’Arbitrato Bancario Finanziario (ABF) che, a differenza delle corti di merito e di legittimità di cui si è detto, nel deliberare in merito alla responsabilità degli intermediari, ha incentrato le proprie decisioni sull’approfondimento tecnico finalizzato a verificare, le effettive responsabilità dell’accesso illegittimo, riconoscendo, se del caso, anche un concorso di colpa dell’utente che avesse colpevolmente omesso la custodia dei codici segreti, con conseguentemente ridimensionamento del danno risarcibile.
In tale contesto, l’ideazione di forme di condotta fraudolente a danno degli utenti è in continua evoluzione e comprende, accanto al fenomeno del phishing, diverse fattispecie, come lo smishing, che consente di ottenere le password tramite gli sms e il vishing, che consente di ottenere tramite sistemi voip, come per esempio l’applicativo skype, le credenziali di accesso al sistema di home banking del correntista; vi sono poi anche le tecniche del man in the browser e del man in the middle, solo per citare le più diffuse.
Le frodi, peraltro, come riconosciuto anche dal legislatore comunitario, sono diventate negli anni sempre più complesse ed ingegnose e, tra di esse, per originalità e complessità merita particolare menzione la c.d. Sim Swap Fraud. La pratica consiste nel disattivare la Sim Card contenuta nel cellulare del correntista associato all’utilizzo del conto corrente e nell’attivare una nuova Sim Card a nome dell’utente che viene poi associata alla stessa utenza telefonica utilizzata per le operazioni dispositive sul conto.
In questo modo, la criminalità sfrutta le debolezze dei sistemi di sicurezza bancaria che forniscono al correntista la password tramite sms.
La Sim Swap Fraud, pertanto, mette particolarmente in luce le criticità dei sistemi informatici che, benché non insicuri di per sé, necessitano di protocolli e azioni preventive volti a mitigare le debolezze che non presentano invece i sistemi informatici che utilizzano gli OTP token (i dispositivi dedicati in possesso del correntista che forniscono le password dinamiche al fine di autorizzare le singole azioni dispositive).
Anche nei casi di c.d. Sim Swap Fraud, come, in generale, per le altre tipologie di frodi, in passato era molto difficile ottenere dei risarcimenti da parte degli istituti di credito; infatti, questi tra gli altri argomenti di difesa, esponevano l’esistenza di una corresponsabilità o del correntista stesso o delle società telefoniche, che come noto adottano protocolli meno sicuri rispetto agli standard imposti agli operatori bancari dalla disciplina dettata in tema di antiriciclaggio per il riconoscimento personale del cliente.
Tuttavia, con la sentenza n. 16221 del 31 agosto 2016 del Tribunale di Roma , un correntista, assistito dallo studio Di Resta Lawyers, ha visto riconosciuto il diritto al risarcimento nei confronti della banca sulla base del principio, sia presente nella normativa privacy, sia nella normativa sui servizi di pagamento nel mercato interno e ad oggi non smentito, secondo il quale sussiste un’inversione dell’onere della prova a carico dell’istituto di credito, una volta che il correntista abbia provato il danno e disconosciute le operazioni illecite sul conto.
Tali principi, alla luce delle recenti riforme normative, risultano rafforzati e, in considerazione delle scelte che stanno maturando gli istituti di credito e della crescente diffusione delle condotte fraudolente, si prestano ancora ad offrire tutela ai consumatori vittime di frodi, in quanto parte debole del rapporto contrattuale con l’istituto di credito.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *