Direttiva UE sui servizi di pagamento: focus su security e privacy degli utenti
Il consumatore elettronico potrà collegarsi a una piattaforma unica e avere sotto controllo le sue disponibilità da spendere usando servizi di pagamento virtuale più sicuri, protetti da sistemi di autenticazione forte. Il consumatore ha anche la possibilità di non rimetterci quattrini, in caso di bachi del sistema, sempreché abbia conservato con ordine e diligenza dispositivi e credenziali (pin, password, token ecc.). È il mondo della Psd2, cioè la direttiva europea sui servizi di pagamento n. 2, recepita dal governo con decreto legislativo, in vigore dal 13 gennaio 2018.
Il decreto legislativo in esame non solo recepisce la direttiva europea n. 2015/2366 (nota, appunto, come Psd2), ma detta anche le disposizioni di dettaglio e coordinamento relative al regolamento (Ue) n. 751/2015, noto con la sigla Ifr, Interchange fees regulation. Siamo anche nella rete dell'e-commerce, che va sostenuto accompagnando le innovazioni tecnologiche con rassicurazioni al mercato e nuovi servizi. Primo tra questo il servizio di informazioni sui conti, che trova la sua regolamentazione normativa. A pari merito, poi, il servizio di pagamento, con le connesse necessità di trovare il bandolo della matassa della responsabilità in caso di operazioni non autorizzate. Nella rete virtuale i furti di identità e le attività truffaldine devono essere messe in conto a qualcuno.
Vediamo, dunque, i passaggi salienti del decreto legislativo.
Servizi informativi - Il primo terreno di codificazione è quello dei servizi informativi sui conti. Si tratta di servizi che consentono a un utente di un servizio di pagamento di avere una panoramica della propria situazione finanziaria in qualsiasi momento, permettendo agli utenti di gestire meglio le proprie finanze personali. Un click e su una sola videata compaiono i propri conti a colpo d'occhio.
Evidenti le ragioni di sicurezza di una fonte di dati di questo tipo. Altrettanto comprensibili le norme che pretendono sistemi di autenticazione forte per arrivare a questi caveau di notizie.
Per garantire il quadro di certezza e tranquillità si prevedono una serie di obblighi a carico del prestatore di servizi di informazione sui conti. Innanzitutto il prestatore di servizi deve operare unicamente sulla base del consenso esplicito dell'utente e deve, poi, curare le credenziali di sicurezza personalizzate dell'utente non siano accessibili ad altri fuorché all'utente stesso che esse siano trasmesse attraverso canali sicuri ed efficienti, Inoltre il prestatore deve accedere soltanto alle informazioni sui conti di pagamento designati e sulle operazioni di pagamento effettuate a valere su tali conti, non richiedendo dati sensibili relativi ai pagamenti.
A tutela della privacy del cliente, il prestatore di servizi di informazione non potrà usare, né conservare dati, né accedervi per fini diversi dalla prestazione del servizio di informazione sui conti.
Servizi di pagamento - La direttiva Psd2 e, quindi, il decreto legislativo si occupano di servizi di disposizione di ordine di pagamento. Sono servizi che consentono ai consumatori di pagare utilizzando il proprio conto corrente per acquisti online, fornendo al tempo stesso ai commercianti la garanzia che il pagamento è stato ordinato, in modo che le merci possano essere consegnate e i servizi possano essere forniti senza ritardi.
Diritti degli utenti - La Psd2 amplia i diritti degli utenti dei servizi di pagamento, che beneficeranno di un regime di responsabilità ridotta in caso di pagamenti non autorizzati. La franchigia a carico degli utenti passa da 150 a 50 euro.
Allo scopo di promuovere l'utilizzo di strumenti di pagamento elettronici, viene inoltre generalizzato il divieto di applicare un sovrapprezzo (cd. surcharge) in relazione all'uso di strumenti di pagamento.
Autenticazione forte - Prima di tutto la tranquillità che i dati personali non siano alla mercé di terzi, specie se malintenzionati,
La direttiva e, quindi, il decreto legislativo in commento pretende l'applicazione di sistemi di autenticazione forte. Non una semplice parola chiave, non un semplice Pin, ma magari due credenziali abbinate.
Le norme esigono l'autenticazione forte del cliente quando l'utente accede al suo conto di pagamento online; ma anche quando l'utente dispone un'operazione di pagamento elettronico; e, infine, quando l'interessato effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi.
Tutele pecuniarie - Il decreto prevede una serie di tutele pecuniarie se nell'operazione di pagamento qualcosa va storto.
Stavolta passiamo dal prestatore di servizi di informazione al prestatore di servizi di pagamento (Psp). Il Psp, stando alle novità, deve rimborsare al pagatore l'importo dell'operazione immediatamente e in ogni caso al più tardi entro la fine della giornata operativa successiva a quella in cui prende atto dell'operazione sbagliata o riceve una comunicazione in merito. Il rimborso avviene solo dopo l'effettivo addebito del conto. È prevista la possibilità, per il Psp, di sospendere il rimborso in caso di motivato sospetto di frode, ma è necessario che ne dia comunicazione immediata alla Banca d'Italia e non più all'utente, come era previsto nella versione originaria del dlgs n. 11/2010.
Franchigia - Il decreto stabilisce una franchigia più bassa a carico dell'utente in caso di operazioni di pagamento non corrette. Si tratta di un regime più favorevole per ciò che concerne la responsabilità del pagatore in caso di utilizzo non autorizzato di strumenti o servizi di pagamento. In particolare, viene previsto che il pagatore possa essere obbligato a sopportare, a concorrenza massima di 50 euro, e non più 150, la perdita relativa a operazioni di pagamento non autorizzate derivante dall'uso di uno strumento di pagamento smarrito o rubato o dall'appropriazione indebita di uno strumento di pagamento. Tuttavia, questa norma non si applica nel caso in cui l'utente abbia agito in modo fraudolento o non abbia adempiuto ai suoi obblighi con dolo o colpa grave (qui la banca o chi per essa recupera tutto). Inoltre, salvo il caso in cui abbia agito in modo fraudolento, il pagatore non sopporta alcuna perdita se il Psp non esige un'autenticazione forte del cliente. Se il beneficiario o il Psp del beneficiario non prevedono l'autenticazione forte del cliente, costoro saranno tenuti a rimborsare il danno finanziario causato al Psp del pagatore.
Detto altrimenti se l'operatore finanziario non prevede una griglia di sicurezza, a farne le spese non può essere il pagatore.
Il pagatore, inoltre, non sopporta alcuna perdita se lo smarrimento, la sottrazione o l'appropriazione indebita dello strumento di pagamento non potevano essere notati dallo stesso prima di un pagamento, salvo il caso in cui abbia agito in modo fraudolento, o se la perdita è stata causata da atti o omissioni di dipendenti, agenti o succursali del prestatore di servizi di pagamento o dell'ente cui sono state esternalizzate le attività.
Obblighi del pagatore - L'utente ha un obbligo di diligenza nel conservare i dispositivi e le credenziali. Per quanto riguarda gli obblighi a carico dell'utente dei servizi di pagamento, viene modifica dell'art. 7 del dlgs n. 11/2010 e si prevede che l'utente adotti, non appena riceve uno strumento di pagamento, tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate. Quest'ultime sono definite dalla nuova lettera q-ter), dell'art. 1, comma 1, del dlgs n. 11/2010 come «le funzionalità personalizzate fornite a un utente di servizi di pagamento dal prestatore di servizi di pagamento a fini di autenticazione».
Nella versione attuale si parla di «dispositivi personalizzati». La riforma estende l'obbligo di diligenza a tutte le «funzioni». L'obbligo di diligenza è dirimente ai fini della individuazione del soggetto che deve tenersi sul groppone la perdita per operazioni non autorizzate.
Tutela della privacy - L'articolo 29 del dlgs n. 11/2010 crea il presupposto normativo che consente il trattamento di dati personali per finalità di contrasto alle frodi. Il decreto legislativo ha precisato la base legale del trattamento, specificando che i prestatori di servizi di pagamento e i gestori di sistemi di pagamento possono trattare dati personali se ciò sia necessario a prevenire, individuare e indagare casi di frode nei pagamenti. La fornitura di informazioni a persone fisiche in merito al trattamento dei dati personali e ad altro trattamento ai fini del presente decreto avviene in conformità al codice della privacy (dlgs 196/2003).
Ricordiamo che i prestatori di servizi di pagamento possano avere accesso e trattare e conservare i dati personali necessari alla prestazione dei propri servizi solo previo consenso esplicito dell'utente dei servizi di pagamento.
Danni - Altra tutela è quella da prevedere a favore del pagatore in caso di mancata, inesatta o tardiva esecuzione dell'operazione di pagamento.
In queste ipotesi è previsto il rimborso al pagatore dell'importo dell'operazione di pagamento non eseguita o non correttamente eseguita.
Carta bloccata - Il decreto prevede l'obbligo di preavvisare in caso di blocco della carta di pagamento.
Il decreto legislativo di recepimento della direttiva Psd2 prevede l'integrazione della legge 386/1990, aggiungendo l'obbligo di comunicazione del preavviso della revoca dell'autorizzazione all'utilizzo di carte di pagamento (di debito e di credito).
Prima della revoca, gli emittenti devono comunicare al titolare della carta la data a partire dalla quale sarà revocata l'autorizzazione all'utilizzo della carta, con conseguente iscrizione del suo nominativo nella Centrale d'allarme interbancaria (Cai).
Nel dettaglio nella comunicazione si dovrà segnalare che:
a) a partire dalla data indicata nella comunicazione sarà revocata l'autorizzazione all'utilizzo della carta, con conseguente iscrizione del suo nominativo nell'archivio della centrale d'allarmi interbancaria (Cai);
b) l'iscrizione può essere evitata provvedendo, entro la predetta data, al pagamento di tutte le ragioni di debito nei confronti dell'emittente;
c) qualora il pagamento di tutte le ragioni di debito nei confronti dell'emittente venga effettuato successivamente all'iscrizione nel menzionato archivio, tale circostanza sarà annotata dall'emittente nell'archivio stesso (salvo il termine di durata della segnalazione e cioè 24 mesi).
La comunicazione sarà effettuata all'indirizzo indicato dal titolare della carta, secondo quanto concordato tra le parti, con mezzi di cui sia certa la data di spedizione e quella di ricevimento, e potrà essere resa in via autonoma o unitamente all'invio di altre comunicazioni.
Fonte: Italia Oggi del 4 aprile 2018 - Articolo a cura di Antonio Ciccia Messina