In tema di pagamenti non autorizzati, esaminando pronunce dell’Arbitro Bancario Finanziario e della giurisprudenza di merito, si analizzano le difficoltà tecniche ed economiche di un controllo continuo delle operazioni da parte degli istituti bancari e si evidenzia il rischio di eccessive interferenze nelle transazioni legittime.
Discusso appare l’inserimento tra gli obblighi imposti al PSP di un generale obbligo di protezione del cliente, nel senso di imporgli il costante e continuativo monitoraggio delle transazioni economiche effettuate attraverso lo strumento di pagamento dei clienti, quale declinazione del generale dovere di comportarsi secondo buona fede.
Finanziamo agevolati
Contributi per le imprese
Obblighi di monitoraggio preventivo in capo alla banca o prestatore dei servizi di pagamento e sistemi di warning
In particolare, in alcune decisioni dell’Arbitro Bancario Finanziario si ravvisa per la banca un obbligo costante di monitoraggio sull’home banking del cliente, alla ricerca di eventuali indicatori di anomalia nelle movimentazioni del conto.
L’intermediario avrebbe il dovere di bloccare cautelativamente quelle operazioni economiche che configurano un rischio di frode tipizzato che presentino profili di anomalia per frequenza, entità e modalità attuativa. Al verificarsi di una di quelle ipotesi espressamente contemplate, l’inerzia del Prestatore nel porre in essere le misure idonee a tutelare il proprio cliente lo rendono punibile per le perdite economiche subite dall’utente.
Si tratta di una tutela dell’utente “ulteriore” rispetto agli obblighi di sicurezza della Strong Authentication e “diversa” rispetto al servizio di alert, che attiene alla fase successiva all’inoltro dell’ordine di pagamento.
Su questa linea si attestano altresì pronunce di legittimità e di merito, con la configurazione di una responsabilità “semioggettiva” della banca. Secondo queste, in particolare, l’intermediario poteva in realtà avvedersi dell’anomalia della transazione contestata, sia per l’entità della somma del bonifico, sia per il fatto che il relativo ordine proveniva da un’utenza informatica non corrispondente a quella del computer del cliente.
Le difficoltà tecniche ed economiche del controllo continuo
Anche se tale profilo ha ottenuto vari riscontri negli ultimi tempi, la pretesa di garantire un controllo capillare delle operazioni compiute dagli utenti con i loro strumenti di pagamento ha destato diverse critiche per le palesi difficoltà tecniche (oltre che dell’importante impegno economico necessario) in relazione alla moltitudine di flussi informatici che pervengono giornalmente sui database delle banche.
Finanziamo agevolati
Contributi per le imprese
Ove pure esistessero software tecnologici in grado di garantire, anche da remoto, un controllo ininterrotto (magari basato sulla profilatura del comportamento abituale dell’utente), la loro efficacia ed affidabilità resterebbe ugualmente un’incognita, arrivando anche a creare un pregiudizio, bloccando operazioni erroneamente valutate come anomale (come quella, ad esempio, posta in essere per la prima volta da un nuovo cliente).
Inoltre, gli adempimenti di cui si discute ben potrebbero riguardare transazioni svolte in orari di chiusura delle banche, comunque al di fuori del controllo dell’operatore fisico: in altre parole, per poter venire incontro a tali incombenti, il sistema bancario dovrebbe dotarsi di strumenti atti a individuare segnali di incongruenze (e innescare le conseguenti azioni) 24 ore su 24, con un immediato vaglio della singola disposizione rispetto al profilo di ogni cliente.
Ammesso che tali sistemi siano presenti e che non impongano costi esorbitanti agli intermediari, si porrebbe comunque il problema relativo alla loro affidabilità ed efficacia. È infatti ragionevole ipotizzare che anche l’adozione di tali strumenti possa dare luogo a situazioni indesiderate quali, ad esempio, un’operazione fraudolenta non riconosciuta come tale, ovvero, all’opposto, il blocco di una transazione autentica, ma considerata, per errore, anomala dall’algoritmo di controllo.
L’orientamento giurisprudenziale: il monitoraggio non è obbligatorio
In questa direzione, è particolarmente significativa una recente decisione del Tribunale di Milano, secondo cui un obbligo di monitoraggio, preordinato a prevenire operazioni anomale, non è contemplato né all’art. 8 d.lgs. 11/2010, né all’art. 70 dir. 2366/2015/UE.
Ai PSP, già onerati da una responsabilità aggravata, anche per fattori sconosciuti, è consentito di fornire la prova liberatoria della colpa grave dei propri utenti pagatori, per le condotte gravemente negligenti inerenti alla relativa sfera di influenza con violazione di obblighi di custodia espressamente incombenti sui medesimi.
Ma se un obbligo di monitoraggio è previsto, non è tuttavia mai correlato a un dovere di intervento preventivo. L’intento, evidente, è di evitare prevedibili, frequenti e potenzialmente pregiudizievoli intoppi del mercato dei servizi di pagamento.
Non sarebbe d’aiuto nemmeno la previsione del Ministero dell’Economia e delle Finanze, che chiarisce, ai soli fini di una comunicazione a posteriori, cosa si intende per “rischio di frode” nei pagamenti con carte di pagamento. Anche in questo caso, è introdotto un obbligo di monitoraggio a fini diversi da quelli di esecuzione del contratto, e non è previsto alcun obbligo di intervento, ma solo la collaborazione a un’attività amministrativa a posteriori, circoscritta peraltro alle sole carte di pagamento.
In aggiunta, la tesi che riconduce l’obbligo di sospensione del pagamento all’interno del più generale obbligo di garantire la sicurezza delle credenziali è ulteriormente smentita dall’art. 6 della direttiva, che rimette questo potere all’autonomia delle parti (configurando quindi un’opzione meramente eventuale).
Opportunità uniche acquisto in asta
ribassi fino al 70%
Che il sistema dei servizi di pagamento sia improntato sulle rispettive sfere di influenza, con il limite di sicuri meccanismi di autenticazione e della colpa grave dell’utente, si evince indirettamente anche dall’art. 24 D.lgs. 11/2010 che disciplina il caso di divergenza tra il consenso dell’utente pagatore e l’identificativo univoco dallo stesso fornito con l’ordine di pagamento, per quanto riguarda l’identità del destinatario.
Le tecnologie antifrode già in uso
In ogni caso, gli operatori bancari già da tempo adottano sofisticate tecnologie di rilevazione antifrode; analizzando i pagamenti (siano essi card-based oppure account-based) con algoritmi di machine learning, esse permettono di individuare tempestivamente eventuali indici di anomalia, sia rispetto agli schemi di spesa e ai modelli comportamentali standard dello specifico cliente, sia con riferimento ai pattern tipici dei comportamenti di frode per tipo di operazione.
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
