A cura di Bonaventura Minutolo
La questione che si pone è se l’esigenza di adozione di nuove misure (PSD3) in ambito Europeo (PSR) per il rafforzamento della sicurezza dei pagamenti sia indice dell’affinamento del sistema di truffe.
E’ noto che in ambito Europeo (direttiva 2015/2366 – recepita dal legislatore italiano (d.l 15-12-2017 n. 218) è stata introdotta la cd autenticazione forte con i seguenti elementi: 1) password: individuazione dell’utente, e solo da lui conosciuta; 2) PIN: password identification number; 3) Tan: transaction authentication number.
La disciplina europea prevede – dunque – anche l’ipotesi in cui sia necessario il Tan (authentication number).
L’art. 97 della direttiva prevede che il prestatore del servizio di pagamento è tenuto ad utilizzare il Tan per: A) l’accesso del cliente al suo conto di pagamento on line; B) disposizione di un’operazione di pagamento elettronico. C) effettuazione di qualsiasi azione con l’utilizzo di un canale a distanza che può comportare un rischio di frode nei pagamenti o altri abusi genericamente indicati.
Ovviamente l’omesso rispetto di tali provvidenze si ripercuotono sulla prestazione di servizio, in modo che l’utilizzatore del servizio (pagatore) non sopporti alcuna conseguenza finanziaria dall’operazione del pagamento non autorizzato.
La proposta di riforma del predetto sistema si articola a) in una modifica di regolamento (PSR); B) in una proposta di direttiva (PSD 3).
Ferma l’autenticazione forte, la nuova direttiva (PSD3) introdurrebbe la figura del Provider o, soggetti che, utilizzando un sistema criptato, fungano da tramite per consentire le operazioni di pagamento.
Il pacchetto si affiderà solo alla sottocategoria dei cd “Staget Wallet” (meglio conosciuto come “paypal e satispay”, che svolgono una vera e propria custodia dei fondi, mentre i c.d. portafogli pass through (come Apple pay o Google pay) rimarranno ancora esclusi dal pacchetto.
Solo alcune norme potranno essere applicate anche a questi ultimi, tra cui rientrerà certamente lo strong customer authentication.
In caso di mancato utilizzo del sistema di autenticazione forte da parte di questi portafogli le banche potranno essere ritenute responsabili con questi soggetti.
Ovviamente spetterà alle banche predisporre gli strumenti di controllo di questi portafogli. Ancora in riguardo alla strong customer authentication si segnalano altre importanti novità.
In altri termini, dato atto del progressivo utilizzo da parte dei truffatori del citato sistema, la nuova direttiva si prefigge di accrescere la sicurezza dei pagamenti e – allo stesso tempo – non incidere sui tempi delle disposizioni.
Al riguardo si prospetta:
- un obbligo di rivedere i processi di SCA onde permettere l’accesso con mezzi diversi dallo smartphone; un obbligo di verifica della corrispondenza tra il nome del beneficiario e l’IBAN associato prima di confermare la transazione (oggi la si richiede solo per i bonifici istantanei e verrebbe estesa anche a quelli ordinari);
- un ampliamento della certificazione dell’inerenza del sistema di accesso tramite uno strumento che identifica le caratteristiche biometriche dell’utente giudicato più sicuro. Tale elemento dovrà essere accresciuto con l’inclusione di caratteristiche ambientali e comportamentali dell’utente (es.: coordinate sulla sua ubicazione, sul momento in cui viene effettuato l’operazione su dispositivo utilizzato).
Infine i prestatori dei servizi di pagamento saranno ritenuti pienamente responsabili in caso di frodi con furto di identità, che si realizzano quando l’utente viene manipolato da un terzo che si finge affiliato alla banca e ne utilizza i dati di contatto per indurre il correntista in inganno. In questi casi il solo limite della responsabilità delle banche sarà l’azione fraudolenta o gravemente negligente del cliente.
Si può dunque ritenere che lo sviluppo tecnologico renda il sistema di controllo dei pagamenti come il viandante che, notoriamente, non ha una meta, ma vaga continuamente alla ricerca di soluzioni antitruffa.
