Pagamenti online e sicurezza: Ue, nuove regole e proposte
Secondo uno studio dell’Osservatorio Mobile Payment & Commerce del Politecnico di Milano del 2015, in Italia risulta in costante aumento il ricorso a forme di pagamento online: nel 2014 le transazioni online hanno superato le 200.000 e nel 2015 sono salite del 5,6% per un valore di 164 miliardi di euro. Le modalità più evolute e utilizzate sono mobilePos, contactless payment, e-commerce, e-payment e mobile payment. Superata, quindi, la diffidenza che fino a pochi anni fa caratterizzava ancora questo “universo”, restano però molto sentite l’esigenza della sicurezza, per l’uso di password o dispositivi univoci di identificazione, di una adeguata protezione da intrusioni illecite e dall’uso illegittimo delle informazioni sensibili, soggette ai rischi di furto di identità e dei dati personali. La normativa che regolamenta questo delicato settore non può essere mai definitiva, visto come la continua evoluzione tecnologica ne renda necessario un adeguamento alle innovazioni applicate ai sistemi elettronici e digitali: sono infatti diverse le Direttive comunitarie che già dal 2008 hanno provveduto a regolare la responsabilità e i diritti dei soggetti che offrono e fruiscono di sicurezza e privacy nel trattamento e nella conservazione dei dati sensibili e personali, dati che nel corso di ogni operazione online sono esposti a numerosi rischi connessi alla loro perdita o duplicazione. In tale contesto, ad esempio, agli istituti di credito ed emittenti carte di pagamento è stata imposta l’adozione del Protocollo di Sicurezza (SSL) per tutte le transazioni online con carta di credito e tutte le operazioni bancarie eseguite con modalità home banking o mobile banking.
Nel 2013 la Commissione europea allestiva una nuova proposta di direttiva (“PSD II”), in vigore dal 25 novembre del medesimo anno, con la quale aggiornava e migliorava i contenuti di sicurezza ed efficienza dei servizi offerti ai consumatori, modificando parzialmente le disposizioni esistenti.
Il provvedimento del Garante della privacy del 22/5/2014 prescrive una serie di misure per i pagamenti con dispositivo mobile, computer, credito telefonico e gli acquisti di servizi inferiori ai 15 euro o fruiti direttamente mediante dispositivo. Il provvedimento, tra l’altro, prescrive misure di sicurezza per garantire la riservatezza e impedire l’integrazione dei diversi tipi di dati a disposizione degli operatori telefonici – dal consumo telefonico ai dati sul consumo di beni digitali – per fini di profilazione dell’utenza, a meno di uno specifico consenso informato espresso dall’utente. Le misure richiedono, oltre alle dovute gestioni dell’informativa e del consenso: a) apposite codifiche e forme di mascheramento per i beni o servizi digitali acquistati; b) tecniche di autenticazione per gli incaricati al trattamento basate su apposite autenticazioni; c) limiti alla possibilità di incrociare i dati; d) conservazione dei dati relativi agli acquisiti per un tempo non superiore a 6 mesi dalla data dell’acquisto del contenuto digitale; e) applicazione della disciplina in materia di violazione dei dati personali (art. 32-bis, D.Lgs, 196/2003).
A fine 2014, inoltre, l’Autorità Bancaria Europea (Eba, European Banking Authority), con un documento rivolto ai Paesi membri, forniva un approfondito quadro di riferimento in materia di security e protezione dati, che riguardava: 1) i pagamenti con carta su Internet, compresi i pagamenti con carte virtuali; 2) l’esecuzione dei bonifici su Internet; 3) l’emissione e la modifica dei mandati elettronici di addebito diretto; 4) i trasferimenti di moneta elettronica (e-money) tra due conti di moneta elettronica via Internet. Nello stesso documento venivano di fatto anticipati alcuni concetti confluiti nella PSD II, tra i quali: la previsione di un controllo generale dell’ambiente di sicurezza; l’adozione di misure ad hoc di controllo e sicurezza per i pagamenti online; la sensibilizzazione, educazione e comunicazione con il cliente.
La nuova Direttiva Ue
Con la promulgazione della nuova Direttiva 2366/2015 sui servizi di pagamento, che dovrà essere recepita dagli Stati membri mediante legge nazionale entro il 2018, i Prestatori dei Servizi di Pagamento (Psp – banche, istituti di pagamento e soggetti indicati dall’art. 1, par. 1, e dall’art. 26, Direttiva 2007/64/CE) dovranno conformare definitivamente i loro sistemi digitali alle nuove prescrizioni, soprattutto per limitare e superare i rischi connessi all’uso illegittimo di informazioni sensibili del cliente. Tra le novità contenute, l’ampliamento dello spazio competitivo (cosiddetto “level playing field”): la PSD II, infatti, permette la creazione di nuovi strumenti di pagamento e l’attività di nuovi soggetti in grado di offrire servizi di pagamento digitale, con l’auspicio che l’aumento della concorrenza possa produrre un beneficio per il mercato in termini di offerte competitive e indirizzate a una migliore protezione dei dati. La nuova normativa, inoltre, rafforza le tutele per gli utilizzatori dei pagamenti elettronici e digitali, sia per quanto concerne la sicurezza, la protezione dei dati e le modalità di accesso e autenticazione, sia per ciò che riguarda le nuove responsabilità a carico degli utilizzatori stessi.
La Direttiva 2366/2015 introduce nuovi diritti e nuovi oneri, trai quali:
→ l’uso in misura minima e indispensabile dei dati trattati nell’ambito del servizio di pagamento;
→ il rispetto del principio di “non eccedenza” della raccolta delle informazioni relative al pagamento rispetto ai fini di utilizzo;
→ predisposizione di adeguate informative per i clienti;
→ onere di monitorare le operazioni per prevenire, rilevare e bloccare il traffico dei pagamenti fraudolenti;
→ l’obbligo di notifica immediata alle autorità competenti – tra queste, l’Autorità per la protezione dei dati personali – in caso di gravi incidenti di sicurezza;
→ l’onere di tracciare le operazioni, registrando dettagliatamente i dati delle operazioni e dei mandati elettronici (numero sequenziale dell’operazione, marcatura temporale per i dati delle operazioni, accesso ai dati delle operazioni e dei mandati elettronici, ecc.);
→ predisposizione di un sistema di raccolta dei consensi informati prima dell’uso e dell’accesso al servizio;
→ predisposizione di un sistema di inoltro dei pagamenti e di accesso ai dati sensibili relativi mediante un ambiente digitale protetto da un’autenticazione forte (strong authentication);
→ limitazione pre-impostata del numero dei tentativi di accesso o di autenticazione in caso di errore nell’inserimento delle credenziali;
→ riduzione da 150 a 50 euro della franchigia che un utente potrà essere obbligato a pagare in caso di operazione non autorizzata collegata a strumenti di pagamento smarriti o rubati, se il pagatore non ha agito con dolo o negligenza grave;
→ divieto di imposizione di commissioni aggiuntive in caso di utilizzo di carte di credito;
→ implementazione del meccanismo chiamato “instant payment”, secondo il quale, nel caso in cui sia stata disposta un’operazione non autorizzata mediante un fornitore di servizi di pagamento, questi sarà chiamato a rimborsare immediatamente – comunque entro la fine della giornata operativa successiva – il cliente dell’importo corrispondente all’operazione di pagamento non autorizzata.
La proposta di nuove norme di sicurezza
I dati relativi ai furti di identità e carte di pagamento dicono che nel 2013 in Europa le truffe hanno fruttato quasi 1,5 miliardi di euro, + 8% rispetto all’anno precedente. In tale contesto si inserisce la proposta dell’Autorità Bancaria Europea, attualmente in attesa delle decisioni definitive dell’Autorità e dell’eventuale accoglimento di richieste e controproposte da parte delle associazioni dei consumatori. Nella proposta l’Eba prospetta regole più sicure per tutti i pagamenti elettronici effettuati nell’Unione europea, con nuovi livelli di sicurezza per pagamenti online di importo superiore ai 30 euro, introducendo dati ulteriori oltre a nome e cognome, numero di carta e codice dell’intestatario, sufficienti oggi per ottenere l’autorizzazione bancaria al pagamento elettronico. Viene inoltre stabilita la possibilità per la banca di applicare le nuove regole di sicurezza ai pagamenti di importo compreso fra 30 e 500 euro in base a un tasso di frode fissato dalla banca stessa – che secondo alcuni potrebbe generare un problema di trasparenza e di verifica del rispetto delle regole da parte delle banche – senza applicare lo stesso livello di sicurezza a tutti i pagamenti. La proposta di applicazione di nuove norme di sicurezza ha riscosso unanime consenso tra gli operatori, mentre suscita invece perplessità quella di applicare le nuove misure solo oltre i 30 euro, poiché resterebbero esclude troppe operazioni.