Internet, nuove tecnologie  -  Redazione P&D  -  07/06/2022

I pagamenti elettronici e l'evoluzione della disciplina in termini di normativa, sicurezza e responsabilità nei vari servizi - Silvia Vitrò

INDICE

I PAGAMENTI ELETTRONICI

COME SI PAGA ONLINE? 

GLI ISTITUTI DI PAGAMENTO

I SERVIZI DI PAGAMENTO

La PSD2 e l’impatto sui servizi di pagamento 

I vari Servizi di Pagamento

L’OBBLIGO POS

OBBLIGHI E TUTELE 

Obblighi informativi degli intermediari 

Obblighi di sicurezza degli intermediari 

Obblighi degli intermediari in materia di privacy 

Obblighi di diligenza e di comunicazione del cliente

Rimborsi e responsabilità 

GIURISPRUDENZA

Frodi informatiche

Le responsabilità

La più recente decisione della Cassazione

Il Tribunale di Torino

Tribunale Torino 8/3/2022

Tribunale Torino 30/11/2020

In Italia il settore dei servizi di pagamento online, anche connesso all’uso della carta di credito via Internet e mediante terminali mobili, è in crescita costante.

La realtà è fatta di pagamenti sempre più “smart” e “rapidi”, nella quale per il consumatore contano la garanzia di essere “coperto” in caso di frodi, la facilità di compiere con pochi “click” un’operazione di pagamento anche complessa e il non incontrare ostacoli o rallentamenti ingiustificati durante l’operazione di spostamento dei fondi.

L’ambiente di pagamento, tuttavia, oltre ad essere rapido e soddisfacente, deve poter essere anche un sicuro e adeguatamente protetto da intrusioni o dall’uso illegittimo delle informazioni personali.

Sotto il profilo normativo, la security & safety del cyberspazio e dei payment services è stata oggetto di molti provvedimenti legislativi comunitari che, sin dal 2007, hanno in vario modo regolato la responsabilità e i diritti dei soggetti che offrono e fruiscono di servizi di transazione elettronica.

COME SI PAGA ONLINE? 

Il cliente ricerca sul sito web di commercio elettronico o sull’applicazione telefonica i servizi o gli articoli di proprio interesse. 

Terminata la fase di selezione, accede alla sezione del sito o dell’applicazione dedicata alla finalizzazione dell’acquisto: qui il cliente seleziona una delle opzioni di pagamento disponibili e avvia il pagamento. Le modalità disponibili sono, di solito, le seguenti: 

- carta di pagamento 

Le carte di pagamento sono lo strumento più utilizzato per pagare sui siti di commercio elettronico. 

Il loro funzionamento si basa sull’utilizzo di un dispositivo (point of sale) POS virtuale del tutto simile a quello fisico presente nei negozi ed è prevista immediata conferma dell’avvenuto pagamento. 

Esistono tre tipologie di carte di pagamento che, pur utilizzando il medesimo POS virtuale, hanno un diverso schema di funzionamento: 

  .carta di credito: l’acquisto del bene viene pagato grazie all’utilizzo della linea di credito connessa alla carta; 

  .carta prepagata: per poter effettuare i pagamenti occorre “caricare” sulla carta la provvista, costituta da moneta elettronica, prima dell’utilizzo; 

  .carta di debito: consente di utilizzare i fondi disponibili sul proprio conto di pagamento. 

- bonifico/PISP 

Il bonifico è un’operazione di pagamento che realizza un trasferimento di fondi da un conto di pagamento a un altro; esso è poco diffuso per i pagamenti online in quanto non consente di concludere l’acquisto nello stesso momento in cui si esegue il pagamento, se non nei casi in cui vi è un rapporto diretto fra il commerciante e l’intermediario presso cui il cliente detiene il conto ovvero vi sono accordi specifici tra banche. 

La PSD2 ha però introdotto il servizio di disposizione di ordini di pagamento (payment initiation service – PIS) che consente a un intermediario autorizzato (payment initiation service provider - PISP) di interporsi fra il commerciante online e l’intermediario e far sì che il cliente possa disporre un trasferimento di fondi dal proprio conto a quello del commerciante online, selezionando la modalità di pagamento direttamente dal sito di e-commerce. 

- portafoglio elettronico o wallet 

Si va diffondendo in rete la possibilità di pagare tramite portafoglio elettronico o wallet; esistono due tipologie di wallet, con caratteristiche diverse tra loro: 

  .pass through wallet: si tratta di un contenitore nel quale il cliente registra i propri strumenti di pagamento, che vengono utilizzati quando si effettua una transazione (tale modalità di pagamento è quella tipicamente adottata da Google Pay, Amazon Pay, Apple Pay e Samsung Pay, per citare alcuni dei più diffusi); 

  .staged wallet: con l’utilizzo di questo portafoglio il cliente accede al proprio conto online ed effettua trasferimenti di denaro da conto a conto, in modalità simile al bonifico. La particolarità è che il cliente e il commerciante online detengono il conto presso l’intermediario che offre il servizio di wallet (un esempio di questo servizio è Paypal). 

GLI ISTITUTI DI PAGAMENTO

Il decreto legislativo 27 gennaio 2010, n. 11, entrato in vigore il 1° marzo 2010, ha recepito in Italia la direttiva 2007/64/CE sui servizi di pagamento nel mercato interno (Payment Services Directive - PSD). 

Il D.lgs.15 dicembre 2017, n. 218, che ha recepito la direttiva UE PSD2 (2015/2366), è entrato in vigore il 13/01/2018. 

Al fine di recepire le novità introdotte, è stato necessario modificare:

il capo II bis del titolo VI del testo unico bancario;

il provvedimento di Banca d’Italia “Trasparenza delle operazioni e dei servizi bancari e finanziari – correttezza delle relazioni tra intermediari e clienti” di luglio 2009, in particolare la sezione VI “Servizi di pagamento”. Queste modifiche, attuative della PSD2, sono state apportate con il provvedimento della Banca d’Italia del 19 marzo 2019 e si applicano dal 1° gennaio 2020, unitamente alle modifiche apportate dal provvedimento di Banca d’Italia di giugno 2019, attuative della direttiva 2014/92/UE (Payment Accounts Directive, cosiddetta PAD).

Gli obiettivi della riforma (PSD2) sono rappresentati dalla tutela della clientela dal punto di vista del miglioramento della qualità dei servizi di pagamento, e della promozione di una maggiore concorrenza nel mercato dei pagamenti al dettaglio.

Il provvedimento abilita gli istituti di pagamento, quali nuovi soggetti giuridici, a offrire i servizi di pagamento all'interno dell'UE. Gli stessi potranno esercitare anche attività commerciali, unitamente all’offerta di servizi di pagamento (attività ibrida di assoluta novità) al fine, altresì, di facilitare l'apertura del mercato nei riguardi di operatori che hanno di un'ampia rete di punti di contatto con l'utenza. 

Bankitalia, competente a esercitare la vigilanza su tali settori, ha emanato, in primis, le disposizioni attuative della relativa disciplina degli I.P., in data 15 gennaio 2010.

Seguono vari provvedimenti attuativi, in materia di vigilanza e sorveglianza, dell’11/10/2018, del 23/7/2019 e successivi.

Gli istituti di Pagamento 

“Gli Istituti di Pagamento sono le imprese, diverse dalle banche e dagli istituti di moneta elettronica, autorizzate a prestare i servizi di pagamento 

(art.1 TUB). 

“La Banca d’Italia iscrive in un apposito albo, consultabile pubblicamente, accessibile sul sito internet ed aggiornato periodicamente, gli istituti di pagamento autorizzati in Italia, con indicazione della tipologia di servizi che sono autorizzati a prestare e i relativi agenti; sono iscritte altresì le succursali di istituti di pagamento italiani stabilite in uno Stato comunitario diverso dall’Italia. Per i prestatori dei servizi di disposizione di ordini di pagamento, l’albo riporta anche i dati identificativi della polizza assicurativa o della analoga garanzia di cui al comma 1-bis dell’articolo 114-novies”. 

(art. 114-septies) 

“1. La Banca d'Italia autorizza gli istituti di pagamento quando ricorranodeterminate condizioni (art. 114-novies). 

I Servizi di pagamento (degli istituti di pagamento) 

“1. La prestazione di servizi di pagamento è riservata alle banche, agli istituti di moneta elettronica e agli istituti di pagamento. Possono prestare servizi di pagamento, nel rispetto delle disposizioni ad essi applicabili, la Banca centrale europea, le banche centrali comunitarie, lo Stato italiano e gli altri Stati comunitari, le pubbliche amministrazioni statali, regionali e locali, nonché Poste Italiane.” 

(art. 114 – sexies). 

“Gli istituti di moneta elettronica sono le “imprese, diverse dalle banche che emettono moneta elettronica”. 

Possono anche prestare servizi di pagamento.

Mentre gli istituti di pagamento non possono emettere moneta elettronica.

Direttiva 2009/110/CE (EMD). 

La moneta elettronica ha le seguenti caratteristiche, in termini di modalità applicative:

-Relativamente alla tipologia di supporto operativo le modalità applicative possono essere: 

a. Carte “prepagate”; 

b. Conti “prepagati”. 

-Relativamente alla ricostituzione dei fondi che li alimentano le modalità applicative possono essere: 

a. ricaricabili; 

b. non ricaricabili. 

-Relativamente all’intestazione e l’identificazione del cliente le modalità applicative possono essere: 

c. anonimi; 

d. nominativi. 

Altro ancora è la valuta virtuale (criptovalute come i bitcoin).

I SERVIZI DI PAGAMENTO

A seguito della normativa comunitaria, e in particolare dell’emanazione della Payment Service Directive I con il D.lgs. 11/2010, (art. 1 lettera b), è stata delineata una più ampia classificazione dei servizi di pagamento “elettronici. Nella specie si tratta di:

a) servizi che permettono di depositare contante su un conto di pagamento;

b) servizi che permettono prelievi di contante;

c) esecuzione di ordini di pagamento, incluso il trasferimento fondi, come addebiti diretti (SEPA), operazioni con carte di pagamento, bonifici e ordini permanenti;

d) rimesse di denaro;

e) operazioni ove il consenso del pagatore sia dato mediante un dispositivo di telecomunicazione, digitale o informatico, e il pagamento sia effettuato dall’operatore del sistema o della rete digitale/informatica che agisce esclusivamente come intermediario tra l’utilizzatore e il fornitore del servizio.

A luglio 2013 la Commissione Europea ha diffuso due documenti che, insieme, costituiscono il cosiddetto “Payment Legislative Package”:

  • una proposta di revisione della direttiva sui servizi di pagamento;
  • una proposta di nuovo regolamento sulle commissioni interbancarie dei pagamenti effettuati con strumenti basati sull’uso delle carte.

Il negoziato svoltosi nell’arco di due anni, ha condotto alla promulgazione:

  • del regolamento (UE) 2015/751 (IFR), pubblicato in Gazzetta Ufficiale dell’Unione Europea il 19 maggio 2015;
  • della nuova direttiva (UE) 2015/2366 del Parlamento Europeo e del Consiglio del 25 novembre 2015 (la cosiddetta “PSD2”), pubblicata in Gazzetta Ufficiale dell’Unione Europea il 23 dicembre 2015.

L’obiettivo perseguito dal legislatore comunitario è di accelerare la diffusione degli strumenti di pagamento mediante lo sfruttamento di tre leve: la leva della competizione fra strumenti di pagamento, quella dell’armonizzazione normativa e la leva della sicurezza. 

Nel primo caso, l’impiego di strumenti più “tradizionali”, come il bonifico o l’addebito diretto, assume un rinnovato rilievo nei nuovi servizi di Payment Initiation, per l’effettuazione di pagamenti che avvengono via internet o in mobilità, campi nei quali, altrettanto tradizionalmente, si era venuto a consolidare l’uso delle carte.

La seconda e la terza leva, sono impiegate per accrescere e diffondere la fiducia nell’impiego di uno strumento di pagamento; si pensi all’enfasi che la PSD2 pone sulla “Customer Strong Authentication”; si veda a tal proposito il coinvolgimento di EBA, l’Autorità Bancaria Europea ed al rafforzamento delle norme di tutela e trasparenza, previste non solo nella PSD2 ma anche nel nuovo regolamento sulle commissioni dei pagamenti effettuati con carte.

Il decreto legislativo n. 218/2017 (decreto di recepimento PSD2) interviene essenzialmente sul Testo Unico Bancario (Decreto Legislativo dell’1 settembre 1993, n. 385 – cosiddetto “TUB”) e sul decreto legislativo 27 gennaio 2010, n. 11 (decreto di recepimento PSD1).

La PSD2 e l’impatto sui servizi di pagamento 

L’obiettivo perseguito dal legislatore comunitario è dunque di diffondere notevolmente gli strumenti di pagamento favorendo la competizione e quindi il contenimento dei costi proteggendo i diritti della parte debole rappresentata dal consumatore. 

Il Regolamento applicativo mira ad accrescere il livello di concorrenza e di integrazione del mercato europeo delle carte di pagamento, fissando un limite alle commissioni interbancarie (c.d. lnterchange fees) addebitabili dal PSP emittente la carta (issuer) al PSP che convenziona un esercente (Aquirer) ogniqualvolta un consumatore effettua un pagamento basato su carta. 

La Direttiva PSD2 e il Regolamento attribuiscono alla European Banking Authority (EBA)- non ancora designata all’epoca della PSD1, perché istituita con il Reg. UE 1093/2010- il ruolo di regolatore di secondo livello nonché di promotore del coordinamento tra le diverse Autorità nazionali. 

La cornice normativa di cui alla Direttiva e al Regolamento è quindi completata dagli standard tecnici (in materia di autenticazione forte del cliente e comunicazione sicura ai sensi della direttiva) e dagli orientamenti dell'EBA. 

Dalle elaborazioni dell’EBA su questi temi ha avuto origine il Regolamento delegato UE 2018/389, promulgato dalla Commissione Europea il 14/3/2018.

La PSD2 estende le regole di trasparenza e corretta informativa alle transazioni “one leg”, ovvero quando solo uno dei due Prestatori di Servizi di Pagamento è situato nel territorio dell’Unione Europea. 

Le disposizioni applicative di cui al decreto saranno applicate con qualsiasi valuta. Per la precedente PSD I il perimetro era limitato alle transazioni in Euro. 

In ambo i casi, le disposizioni di cui al decreto di recepimento PSD2 si applicano alle parti delle operazioni di pagamento eseguite nell’UE. 

I servizi innovativi dalla PSD2 sono rappresentati dai servizi di accesso al conto (con l’utilizzo di interfacce online oscure e autenticate) tramite soggetti diversi da chi gestisce i conti, aventi il nome di Third Party Payment Services Provider (o TPP): 

A. (PISP), Payment Initiator Service Provider ovvero fornitori di servizi che avviano un pagamento per conto dell’utente abilitati alla prestazione di servizi di Payment Initiation attraverso l’ordine di pagamento emesso su richiesta dell’utente di servizi di pagamento relativamente a un conto di pagamento detenuto presso un altro prestatore di servizi di pagamento; in sostanza il cliente anziché effettuare i pagamenti direttamente dalla propria banca, può utilizzare Payments Initiation Service Provider (PISP) per eseguire un pagamento attraverso il quale trasmette le istruzioni alla propria banca medesima. Tutto ciò senza l’utilizzo di carte di credito e di intermediari bancari.

B. (AISP), Account Information Services Provider abilitati alla prestazione di servizi di informazione conti finalizzato a fornire informazioni strutturate relativamente a uno o più conti di pagamento intestati all’utente di servizi di pagamento ma detenuti presso un altro prestatore di servizi di pagamento o presso più prestatori di servizi di pagamento (dunque anche se si possiedono conti in due banche diverse);

C. Prestatori di Servizi di Pagamento già abilitati ad emettere strumenti di pagamento basati su carta che possono offrire nuovi prodotti chiamati Decoupled Card: una terza macro area è rappresentata dai servizi online di conferma fondi (c.d. Card initiated services – CIS; o servizi di Funds Checking; si parla anche di CB-PSP: Card based payment instrument issuer): 

Si tratta della possibilità offerta ad un prestatore di servizi di pagamento che emette carte (di debito), diverso dalla banca presso cui il titolare della carta ha acceso un rapporto di conto, di ricevere conferma della disponibilità di fondi, a fronte di una richiesta inviata online tramite una specifica interfaccia;

I CB-PSP possono accedere ai conti sfruttando i servizi di Funds Checking descritti in precedenza, ottenendo dalla banca una sola risposta – positiva o negativa – in merito alla verifica di disponibilità dei fondi che sono impiegati (o meglio, che starebbero per essere impiegati) in una transazione di pagamento basata su Decoupled Card. La banca acceduta non intacca mai e comunque alcun plafond ed il rischio finanziario è totalmente a carico del CB-PSP.

L’offerta di un prodotto come le Decoupled Card può indirizzare alcuni mercati specifici (ad esempio quelli della GDO) e basa la propria specializzazione sul fatto che il nuovo titolare della carta non debba necessariamente essere il medesimo titolare del conto corrente di addebito.

Tutti questi nuovi soggetti:

  .dovranno possedere un’assicurazione per la responsabilità civile professionale, valida in tutti i territori in cui offrono i loro servizi, o altra analoga garanzia; 

  .dovranno informare esaustivamente l’utilizzatore dei servizi da esse offerti in modo chiaro ed inequivocabile. 

La PSD2 introduce inoltre il concetto di “Autenticazione forte del cliente” (cd. Strong Customer Authentication – SCA), disponendo che un prestatore di servizi di pagamento la applichi quando il pagatore: 

a) Accede al suo conto di pagamento on-line; 

b) Dispone un’operazione di pagamento elettronico. In questo caso, quando la disposizione avviene a distanza (come nel caso di un servizio di Payment Initiation, per esempio) i prestatori di servizi di pagamento devono applicare l’autenticazione forte del cliente, comprendendo elementi che colleghino in maniera dinamica l’operazione a uno specifico importo e a un beneficiario specifico; 

c) Effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi. 

E’ prevista anche una limitazione pre-impostata del numero dei tentativi di accesso o di autenticazione in caso di errore nell’inserimento delle credenziali

La nuova direttiva prevede che laddove l’esercente orientasse (con ciò escludendo l’imposizione) l’acquirente pagatore verso l’uso di uno specifico strumento di pagamento, questo non può applicare nei confronti del pagatore alcuna sovrattassa (il cosiddetto “surcharging”, appunto), solamente per l’uso di quegli strumenti di pagamento ai quali si applicano le commissioni d’Interchange interessate dal regolamento in esame. 

Nel decreto di recepimento PSD2, invece, il divieto è esteso a qualsiasi strumento di pagamento e inoltre, non prevede più la possibilità per il beneficiario di applicare una riduzione del prezzo del bene venduto in considerazione dell’uso di un determinato strumento di pagamento, possibilità invece prevista nel decreto legislativo 27 gennaio 2010, n. 11 (decreto di recepimento PSD1) prima della modifica introdotta con il d.lgs 218/2017.

Interchange fee dei pagamenti con carta 

Relativamente alle commissioni interbancarie sulle operazioni di pagamento basate su carta il decreto dispone in via generale che per le operazioni tramite carte di debito e prepagate ad uso dei consumatori (con ciò escludendo le carte aziendali) i prestatori di servizi di pagamento debbano applicare una commissione interbancaria per ogni operazione non superiore allo 0,2% del valore dell’operazione; tale percentuale può aumentare sino allo 0,3% del valore dell’operazione per le sole carte di credito ad uso dei consumatori (anche in questo le carte aziendali sono escluse). 

Con la nuova direttiva, in caso di pagamenti non autorizzati, ai consumatori potrà essere chiesto solo di sostenere perdite più limitate, fino a un massimale pari a 50 euro. 

In particolare, si tratta della riduzione da 150 a 50 euro della franchigia che un utente potrà essere obbligato a pagare in caso di operazione non autorizzata connessa a strumenti di pagamento smarriti, rubati ovvero sottratti, salvi i casi in cui il pagatore abbia agito dolosamente o con negligenza grave (nel qual caso il meccanismo della franchigia non opera)

In relazione alla definizione di concetti chiave come ad esempio la “negligenza”, la PSD 2 lascia spazio ai singoli legislatori nazionali nella declinazione concreta di tali concetti all’interno di ciascun ordinamento.

La Banca d’Italia, inoltre, ha ricordato che entro il 14 settembre 2019 tutti i prestatori di servizi di pagamento tradizionali, che detengono conti dei clienti accessibili online, devono predisporre un’interfaccia di accesso (Api) per consentire ai nuovi operatori fintech (c.d. Third Party Providers, introdotti dalla Psd2) di svolgere i nuovi servizi di disposizione ordini di pagamento o di informazione sui conti. 

I vari Servizi di Pagamento

1) “Servizi che permettono di depositare il contante su un conto di pagamento nonché tutte le operazioni richieste per la gestione di un conto di pagamento” 

(art. 1, co. 2 lett. h septies 1 – n°1 TUB)

2) “Servizi che permettono prelievi in contante da un conto di pagamento nonché tutte le operazioni richieste per la gestione di un conto di pagamento” 

(art. 1, co. 2 lett. h septies 1 – n°2 TUB) 

Si premette che il conto di pagamento è un “conto detenuto a nome di uno o più utenti di servizi di pagamento che è utilizzato per l’esecuzione di operazioni di pagamento”. 

I depositi su conti di pagamento sono rappresentati da versamenti sul proprio conto di pagamento. Tra i servizi che permettono di disporre del contante e/o versare e/o prelevare il contante da un conto di pagamento va incluso l’utilizzo degli sportelli ATM. 

Nello specifico, il deposito su un conto di pagamento consiste nel versamento di contante su un conto e comprende il servizio di “cassa continua” ossia di deposito di contante su un conto di pagamento eseguito presso uno sportello automatico. 

Il prestatore dei servizi di pagamento è tenuto ad informare l’utilizzatore (il cliente) dei tempi di esecuzione del servizio di cassa continua. 

Attività connesse con i conti di pagamento- La gestione di somme di denaro.

Al fine di gestire i conti di pagamento gli I.P. devono rispettare i seguenti dettami: 

a) Le somme di denaro ricevute dai clienti e registrate nei conti di pagamento dall’istituto ovvero quelle ricevute dall’istituto di moneta elettronica a fronte della moneta elettronica emessa sono: 

  .depositate presso una banca autorizzata ad operare in Italia in conti intestati agli istituti depositanti con l’indicazione che si tratta di beni di terzi; detti conti sono tenuti distinti da quelli dell’istituto; 

  .investite in titoli di debito qualificati, depositati presso depositari abilitati; 

  .investite in quote di fondi comuni di investimento armonizzati il cui regolamento di gestione preveda esclusivamente l’investimento in titoli di debito qualificati o in fondi di mercato monetario. 

b) Le attività in cui risultano investite le somme di denaro registrate nei conti di pagamento o ricevute a fronte della moneta elettronica emessa costituiscono patrimonio distinto a tutti gli effetti da quello dell’istituto. 

3)Esecuzione di ordini di pagamento, incluso il trasferimento di Fondi su un conto di pagamento presso il prestatore di servizi di pagamento all’istituto o presso un altro prestatore di servizi di pagamento 

3.1 Esecuzione di addebiti presso prestatore di servizio di pagamento; 

3.2 Esecuzione di operazione con carta di pagamento presso prestatore di servizio di pagamento; 

3.3 Esecuzione di bonifici presso prestatore di servizio di pagamento” 

(art. 1, co. 2 lett. h septies 1 – n°3 TUB) 

L’esecuzione dell’ordine di pagamento va intesa come qualsiasi istruzione data da un pagatore o da un beneficiario al proprio prestatore di servizi di pagamento con la quale viene chiesta l'esecuzione di un'operazione di pagamento. 

Esecuzione di addebito - addebito diretto 

Con l’operazione di addebito sul conto, il cliente dà una disposizione al proprio I.P. ad effettuare un pagamento attingendo dal proprio C.D.P. (è facoltà del cliente scegliere la modalità di pagamento, una tantum, minimo o versare un importo fisso). 

L’esecuzione di un’operazione con la carta di pagamento prevede l’utilizzo di: 

a. carta di credito; 

b. carta di debito; 

con l’addebito sul proprio conto di pagamento. 

L’esecuzione di bonifico sottende un ordine di pagamento che un soggetto indirizza nei confronti del proprio I.P., affinché quest'ultimo trasmetta una somma di denaro presso una banca/ I.P. controparte, con la richiesta di pagare la stessa somma ad un indicato beneficiario. 

Un bonifico è altresì un'operazione che consente il trasferimento di fondi da una persona fisica o giuridica (ordinante) ad un'altra (beneficiario). 

Nel commercio su web l’operazione di pagamento tramite bonifico può essere realizzata in due forme diverse: 

la prima, modalità differita, non è eseguibile sul sito di e-commerce in cui si è effettuato l’acquisto e prevede un ordine di bonifico non direttamente collegato alla transazione commerciale; 

la seconda, modalità online, è possibile quando vi è un rapporto diretto fra il commerciante e l’intermediario presso cui il cliente detiene il conto o un accordo tra banche che consente di pagare con immediata certezza del buon esito per il commerciante convenzionato (ad esempio MyBank), oppure grazie all’intermediazione di un nuovo soggetto terzo. 

La PSD2 ha infatti introdotto il servizio di disposizione di ordini di pagamento (payment initiation service – PIS) che consente a un intermediario autorizzato (payment initiation service provider - PISP) di interporsi fra il commerciante online e l’intermediario e far sì che il cliente possa disporre un trasferimento di fondi dal proprio conto a quello del commerciante online, selezionando la modalità di pagamento direttamente dal sito di e-commerce. 

Il PISP rientra tra i c.d. Third Party Providers (TPP), soggetti terzi che hanno il diritto di accedere ai conti dell’utente, se autorizzati da quest’ultimo, anche in assenza di un rapporto contrattuale con l’intermediario presso cui tali conti sono radicati (detto anche account servicing payment service provider – ASPSP). Il PISP non entra mai in possesso dei fondi dell’utente, che rimangono depositati presso i conti di cui il cliente è titolare. 

Come funziona un pagamento con bonifico su un sito di e-commerce? Modalità differita 

Il commerciante online comunica al cliente l’IBAN del conto su cui effettuare il pagamento. Il cliente, per completare l’acquisto, effettua l’ordine di pagamento, ad esempio tramite il servizio di home banking, e ne dà riscontro al commerciante nelle modalità concordate (es. via mail). Il commerciante procede alla spedizione della merce o alla fornitura del servizio solo dopo aver avuto conferma dell’avvenuto accredito del bonifico sul proprio conto che, solitamente, avviene nella giornata operativa successiva a quella in cui è stato disposto il pagamento da parte del cliente. 

Modalità online tramite PISP 

Il bonifico non viene effettuato direttamente dal cliente ma quest’ultimo autorizza un intermediario, il PISP, a disporlo per proprio conto. Il pagamento si articola, nei modelli operativi prevalenti, in più fasi: 

  .dopo aver selezionato il nome del PISP in fase di check-out, il cliente viene indirizzato alla piattaforma del PISP dove inserisce: 1) il codice identificativo dell’intermediario presso cui detiene il conto; 2) USERID e password per poter accedere al conto online; se non sono già stati inseriti dal PISP; 3) l’importo e i dati del beneficiario; 4) il numero di ordine fornito dal commerciante online per permettere la riconciliazione del pagamento; 

  .i dati del pagamento vengono poi mostrati al cliente che conferma l’ordine, inserendo le credenziali per l’autenticazione forte – salve le ipotesi di esenzione previste dalla normativa 

  .il PISP dà riscontro al commerciante e al cliente dell’avvio del pagamento; 

  .il cliente è re-indirizzato sul sito di e-commerce, dove si potrà concludere l’acquisto. 

Siamo nell’ambito delle operazioni ove il consenso del pagatore può essere dato mediante un dispositivo di telecomunicazione, digitale o informatico (smartphone o PC), e il pagamento sia effettuato dall’operatore del sistema o della rete digitale/informatica che agisce esclusivamente come intermediario tra l’utilizzatore e il fornitore del servizio.

Satispay

Attiva dal 2015, Satispay (società Fintech) è un’app di pagamento via smartphone che, tramite l’inserimento di codice IBAN e numero di cellulare, permette all’utente di effettuare transazioni di denaro senza carta di credito o di debito e senza necessità di un dispositivo dotato di tecnologia NFC (cioè Near Field Comunication, che è la tecnologia in Radio frequenza in banda 13,56 MHz).

Con Satispay si può pagare nei negozi convenzionati, inviare denaro agli amici, fare shopping online ed effettuare donazioni, pagare i bollettini della Pubblica Amministrazione (pagoPA) come tasse e multe, ed effettuare le ricariche telefoniche. 

Basta inserire il codice PIN all’interno della propria applicazione Satispay, selezionare l’opzione di pagamento, scegliere il negozio convenzionato, inserire l’importo e inviare il pagamento.

Satispay funziona con un budget, che è la soglia di spesa a disposizione sul proprio profilo e che può essere di massimo 200 euro a settimana. 

Nel caso di pagamento sbagliato si può contattare direttamente l’esercente che provvederà allo storno.

I pagamenti online avvengono nello stesso modo. Seleziona il tuo acquisto, inserisci numero di telefono, invia pagamento e attendi conferma della transazione. Per pagare i bollettini della Pubblica Amministrazione (pagoPA) direttamente dal tuo smartphone visita la sezione Servizi, scegli pagoPA e scansiona il QRcode presente sul bollettino per procedere al pagamento. 

Riassumendo:

-La categoria dei PISP comprende quelle società che fungono da intermediario tra la banca e il cliente, consentendo per esempio di disporre un pagamento senza dover accedere alla banca online. 

In questo modo si possono fare acquisti via pc o smartphone sui portali di e-commerce senza dover introdurre per ogni operazione i dati relativi alla carta di credito, ma collegandosi direttamente al conto (Esempi di PISP: Sofort e MyBank).

-L’app Satispay, creata per pagamenti nei negozi e per lo scambio di denaro con amici e conoscenti via smartphone, invece, attualmente necessita di una ricarica dal conto principale per effettuare queste operazioni. Ma la società ha già annunciato che in futuro sarà in grado di collegarsi direttamente al conto corrente del cliente per controllarne la disponibilità.

4.” Esecuzione di operazioni di pagamento quando i fondi rientrano in una linea di credito accordata ad un utilizzatore di servizi di pagamento: 

4.1 esecuzione di addebiti diretti, inclusi addebiti diretti una tantum; 

4.2 esecuzione di operazioni di pagamento mediante carte di pagamento o dispositivi analoghi; 

4.3 esecuzione di bonifici, inclusi ordini permanenti;” 

(art. 1, co. 2 lett. h septies 1 – n°4 TUB)

L’I.P. può concedere finanziamenti relativi agli specifici servizi di pagamento nel rispetto delle seguenti condizioni: 

a. il finanziamento è accessorio e concesso esclusivamente in relazione all'esecuzione di un'operazione di pagamento; 

b. il finanziamento è di breve durata, non superiore a dodici mesi. Può essere di durata superiore a 12 mesi il finanziamento concesso in relazione ai pagamenti effettuati con carta di credito; 

c. il finanziamento non è concesso utilizzando fondi ricevuti o detenuti ai fini dell'esecuzione di un'operazione di pagamento; 

d. a fronte di rischio di credito derivante dai finanziamenti gli istituti sono tenuti a mantenere la datazione parte nominale minima. 

5)Emissione di strumenti di pagamento e/o convenzionamento di operazioni di pagamento” 

(art. 1, co. 2 lett. h septies 1 – n°5 TUB) 

5.1) L'Emissione dello "strumento di pagamento" consta nell'emissione di “qualsiasi dispositivo personalizzato e/o insieme di procedure concordate tra l'utilizzatore e il prestatore di servizi di pagamento e di cui l'utilizzatore di servizi di pagamento si avvale per impartire un ordine di pagamento”. Le caratteristiche tecniche e di funzionamento dello strumento di pagamento (esempio carte fisiche ovvero dispositivi di autenticazione). 

5.2) Acquisizione di strumenti di pagamento (Acquiring) 

L'acquisizione di strumenti di pagamento (Aquiring) sottende la stipula di apposito contratto per il convenzionamento di soggetti (ad esempio, esercizi commerciali) con lo scopo di abilitarli all'accettazione di uno strumento di pagamento secondo le regole del circuito di riferimento accompagnata dalla gestione dei relativi flussi finanziari (es.: i buoni pasto). 

L’Aquirer, nello specifico, è chi convenziona l’esercente per l’accettazione di un determinato carta di pagamento, gestendo la transazione commerciale in tutte le sue fasi, dalla richiesta alla negoziazione e svolgendo la funzione di tramite tra il negozio e l’emittente dello strumento di pagamento, nei diversi circuiti di pagamento. 

In quest’ambito, tra Aquirer e partner convenzionato vengono stipulati contratti in base ai quali il partner accetta la relativa carta come mezzo di pagamento, riceve gli accrediti degli importi relativi ai pagamenti effettuati a suo favore dai titolari delle carte e riconosce come controprestazione una commissione all’Aquirer. 

5.3) Gli strumenti di pagamento: le carte di pagamento 

Le carte di pagamento (di credito, prepagate e di debito) sono emesse da un intermediario autorizzato, che si chiama emittente. 

Nel caso della carta di debito l’emittente coincide con l’intermediario che detiene il conto del cliente.

Nelle carte di credito l’emittente è, di solito, un soggetto diverso da quello che detiene il conto del cliente. 

Per richiedere le carte prepagate non è necessario essere già titolari di un conto. 

Nell’operazione con carta rileva anche un altro intermediario, convenzionatore o acquirer, che gestisce il POS (fisico o virtuale) presso l’esercente, e può essere diverso dall’intermediario che detiene il conto dell’esercente.

La carta di credito viene rilasciata al richiedente sulla base di un contratto stipulato con la banca / I.P. o la società emittente; questa invia al titolare l’elenco (estratto conto) degli acquisti effettuati a scadenze fisse (di solito mensili). 

Il titolare è tenuto a restituire alla banca / I.P. o alla società emittente l’importo complessivo degli acquisti effettuati in un’unica soluzione il mese successivo, senza spese di interessi; in genere, ciò avviene attraverso l’addebito automatico del proprio conto di pagamento. Se il contratto lo prevede il pagamento può avvenire ratealmente; in questo caso viene addebitato un interesse ad un tasso definito contrattualmente. 

L’uso della carta di credito avviene in genere attraverso l’apposizione della propria firma, conforme a quella apposta sul retro della carta, sulla ricevuta di pagamento. 

La carta viene rilasciata dalla banca o dalla società emittente (I.P.) dopo una valutazione della solvibilità del cliente, cioè della sua capacità a restituire le somme che, pur se per un breve lasso di tempo, gli vengono anticipate. 

La carta di debito o Bancomat viene, di norma, rilasciata da una banca o un I.P. su iniziativa di questi o su richiesta del proprio cliente che deve necessariamente detenere un conto corrente ovvero un conto di pagamento. La carta consente di effettuare un’ampia gamma di servizi di pagamento presso gli ATM. (ad esempio: visualizzazione saldo conto, ricariche telefoniche, ecc.). 

Le operazioni di pagamento o di prelievo di contante sono addebitate nel conto corrente/ conto di pagamento del titolare pressoché contestualmente alla transazione effettuata. Pertanto, nel momento di utilizzo della carta di debito, deve essere disponibile sul conto corrente/ conto di pagamento ad essa collegato il controvalore dell’acquisto effettuato e/o della somma prelevata in contanti. 

Come funziona un pagamento con carta su un sito di e-commerce? 

E’ necessario distinguere due tipologie di operazioni che hanno regole diverse anche se la carta utilizzata è la stessa.

-Transazione a iniziativa del cliente 

In questo caso è il cliente che avvia il pagamento. Al check-out il cliente troverà fra le modalità di pagamento il logo di uno o più circuiti a cui la carta è affiliata. Il commerciante online è convenzionato con un acquirer che lo abilita a ricevere pagamenti mediante un’applicazione web. 

Il pagamento si articola in diverse fasi: 

  .dopo aver selezionato il metodo di pagamento, il cliente viene indirizzato dalla pagina del sito di e-commerce al POS virtuale gestito dall’acquirer, dove inserisce i dati della carta di pagamento in maniera sicura e avvia la transazione. 

  .l’acquirer effettua controlli formali di validità della carta per prevenire, ad esempio, la digitazione errata dei codici; 

  .il cliente viene temporaneamente re-indirizzato sul sito web dell’emittente, dove inserisce le credenziali per l’autenticazione forte – salve le ipotesi di esenzione previste dalla normativa; 

  .l’emittente verifica le credenziali inserite, valuta il livello di rischio della transazione tramite appositi meccanismi di monitoraggio e svolge i controlli autorizzativi (disponibilità, limiti di utilizzo, verifiche antifrode), inviandone l’esito all’acquirer; 

  .l’acquirer comunica al merchant l’esito del pagamento; se positivo, l’esercente può avviare la procedura per la consegna del bene o la fornitura del servizio acquistato; 

  .il cliente è re-indirizzato sul sito di e-commerce, dove gli viene comunicato l’esito della transazione (transazione di pagamento andata a buon fine o rigettata). 

-Transazione a iniziativa del beneficiario 

Un’altra modalità di utilizzo della carta consente l’avvio della transazione di pagamento da parte del commerciante online, in un momento successivo alla scelta della merce. In questo caso il cliente fornisce all’esercente i dati della propria carta, ad esempio compilando un apposito modulo sul sito, e lo autorizza ad addebitare il corrispettivo in un momento successivo. 

L’autorizzazione può essere concessa per una singola transazione (ad esempio per il pagamento di pacchetti turistici su siti di viaggi) o per più pagamenti (come accade, ad esempio, per le erogazioni periodiche a favore di associazioni benefiche o enti di ricerca). La transazione viene avviata dall’esercente senza necessità di altri comportamenti attivi da parte del pagatore per l’importo già predeterminato, o per importi ulteriori se c’è l’autorizzazione in tal senso del cliente.

5.4) I circuiti di pagamento 

Il circuito di pagamento, associato alla carta di pagamento, ha la funzione di propagare, attraverso una propria rete di comunicazione, le richieste di spesa, e le rispettive autorizzazioni, dall’esercente all’istituto emittente, e viceversa. Lo stesso circuito verifica anche le operazioni di saldo, ovvero la movimentazione dei conti sulla base delle transazioni effettuate dai singoli titolari presso di esercenti. 

I principali circuiti mondiali sono: Visa, Cirrus/Maestro, Diners, American Express, mentre i principali circuiti italiani sono Bancomat, PagoBancomat, Postamat. I circuiti funzionano secondo uno schema “a quattro parti” l’Aquirer paga una interchange fee all’IUSSER per transazione posta in essere, attraverso una carta di credito o debito; l’esercente corrisponde all’Aquirer una commissione (merchant fee) di norma, di importo superiore alla interchange fee. 

Ogni carta di pagamento è vincolata al proprio circuito di appartenenza: le operazioni di acquisto e di prelievo vengono consentite solo se lo sportello automatico ATM o il POS sono convenzionati con il marchio del circuito (italiano o internazionale) riportato sulla carta di plastica. 

6)Rimessa di denaro 

(art. 1, co. 2 lett. h septies 1 – n°6 TUB) 

“La rimessa di denaro è il servizio di pagamento dove, senza l’apertura di conti di pagamento a nome del pagatore o del beneficiario, il prestatore di servizio di pagamento riceve i fondi dal pagatore con l’unico scopo di trasferire un ammontare corrispondente al beneficiario o a altro prestatore di servizi di pagamento che agisce per conto del beneficiario e/o dove tali fondi sono ricevuti per conto del beneficiario e messi a disposizione”. 

“Il servizio di rimessa di denaro si configura come un incasso e trasferimento di fondi senza utilizzo di conti di pagamento. Rientra nella fattispecie l'ipotesi del coinvolgimento di un unico prestatore di servizi di pagamento che, eventualmente attraverso la propria rete di agenti, incassa il denaro dal pagatore e lo detiene per conto del beneficiario. I servizi di rimessa vengono usualmente iniziati e conclusi con denaro contante (c.d. "cash in/cash out")”. 

Nella pratica:

a. La modalità di invio-ricezione delle rimesse “cash-to-cash” prevede che l’ordinante si rechi presso l’Agente in attività finanziaria dell’I.P. o presso una succursale dell’I.P. medesimo e consegni una somma di denaro contante (nel rispetto normativo antiriciclaggio) indicando i dati anagrafici del beneficiario legittimato a ritirare la somma. Quest’ultimo si presenterà presso l’ente pagatore (estero) e incasserà il controvalore previo adeguato riconoscimento del credito; 

b. Gli agenti dispongono nei confronti dell’I.P. di una sorta di plafond di operatività che corrisponde al denaro incassabile per accettazione di rimessa di denaro. Il denaro, da loro incassato, sarà versato entro la giornata sui conti che l’I.P. intrattiene presso un istituto bancario. 

L’OBBLIGO POS

Mettere a disposizione delle persone la possibilità di pagare con la moneta elettronica tramite POS è una buona pratica non solo perché consente pagamenti alternativi richiesti sempre più spesso dai clienti, ma predispone un esercente al rispetto della norma attualmente in vigore​.

L’EVOLUZIONE DELLA NORMATIVA SUL POS

2007: in questa prima fase il POS non era ancora stato introdotto, ma, con lo scopo di agevolare l’antiriciclaggio, prendeva avvio il disegno per limitare l’uso del contante. Il ​d.lgs 231/2007​ (art. 25, comma 6d), ancora in vigore, aveva stabilito il divieto di effettuare in contanti qualsiasi pagamento superiore a 999,99 euroalzato, poi, con la Legge di Stabilità 2016, a 3.000 euro​.

2012: con il ​d.lgs 179/2012​ (art. 15, commi 4 e 5) entra in vigore l’obbligo del POS a partire dal 1 gennaio 2014, con l’obiettivo di incrementare l’uso della moneta elettronica per combattere l’evasione fiscale, grazie alla tracciabilità dei pagamenti di beni, servizi e prestazioni professionali per mezzo bancomat, carte di credito o carte ricaricabili. La normativa non prevedeva sanzioni per chi non rispettasse la disposizione.

2014: il 24 gennaio viene emanato un ​decreto interministeriale​ che chiarisce alcuni aspetti riguardanti i pagamenti elettronici resi obbligatori dal decreto del 2012 sopra citato. Fino al 30 giugno 2014, per esempio, coloro che avevano un fatturato superiore a 200 mila euro erano tenuti a dotarsi di POS; questo tetto è stato successivamente superato e l’obbligo è scattato per tutti, indipendentemente dal fatturato.

2016: la Legge di Stabilità aveva previsto, a partire dal 1 febbraio 2017, delle sanzioni per chi non fosse dotato di POS o non accettasse pagamenti con carte (eccetto nei “casi di oggettiva impossibilità tecnica” come si legge nel testo del ​d.lgs 208/2015​, dove il reale problema non è il mancato adeguamento dei lavoratori ma gli eventuali problemi tecnici); questa misura non ha avuto riscontro nella pratica e pertanto non ci sono stati cambiamenti effettivi nell'incremento della moneta elettronica.

2021: le ultime novità in materia di pagamenti elettronici e digitali negli esercizi commerciali sono state introdotte con il Decreto legge 152/2021, approvato in Parlamento il 23 dicembre 2021. L’articolo 19-ter, infatti, affronta proprio il tema delle sanzioni per mancata accettazione di pagamenti effettuati con carte di debito e credito, apportando delle modifiche all’art. 15 del Decreto legge 179 del 18 ottobre 2012, convertito con modificazioni, dalla legge 221 del 17 dicembre 2012.

OBBLIGHI E AGEVOLAZIONI

Sul fronte dell’uso del contante: il tetto massimo per singolo pagamento passerà da tremila a duemila euro il 1° luglio 2020, per arrivare alla soglia di mille euro nel 2022.

L’uso di strumenti di pagamento elettronici comporta anche vantaggi fiscali per la categoria dei commercianti che possono godere di un credito di imposta del 30% sulle commissioni bancarie, nel caso in cui il loro fatturato annuo non superi i 400.000 €.

Anche i consumatori beneficeranno dell’uso di carte e bancomat. Dal 1 gennaio 2021, inizialmente 1 luglio 2020, chiunque effettuerà un acquisto presso un esercizio commerciale potrà partecipare ad una vera e propria lotteria semplicemente comunicando all'esercente un codice univoco, che è possibile richiedere sul portale dedicato alla lotteria degli scontrini. L’uso di pagamenti elettronici garantirà la possibilità di vincite doppie che potranno essere verificate direttamente online. I dati forniti dal cliente verranno comunicati telematicamente dal negoziante direttamente all'Agenzia delle Entrate, alla quale i clienti si potranno rivolgere nel caso in cui si vedessero rifiutare l’acquisizione del codice da parte del punto vendita. 

C’è poi una novità molto importante sul fronte delle detrazioni fiscali derivanti dalle spese sanitarie che riguarda proprio la tipologia di strumento utilizzato per pagarle.

Dal 1 gennaio 2020 infatti, se si vorrà continuare a beneficiare di questi sgravi, sarà necessario pagare qualsiasi spesa sanitaria con carta, bonifico o assegno, ad esclusione dei medicinali, dei dispositivi medici e delle prestazioni erogate dal Servizio Sanitario Nazionale (SNN).

Sono tenuti a dotarsi del terminale:

  • commercianti: i negozianti piccoli e grandi che vendono merci in qualunque luogo, fino ai venditori ambulanti;
  • artigiani, come fabbri e falegnami;
  • attività di ristorazione, come bar, ristoranti, pub, pizzerie;
  • professionisti che esercitano in proprio e che, quindi, si relazionano direttamente con il cliente, come avvocati e notai, agronomi, idraulici, ingegneri, commercialisti, geometri e architetti, consulenti del lavoro, medici e dentisti;
  • attività ricettive, come hotel, B&b, agriturismi.

Al momento sono, invece, esclusi:

  • benzinai e tabaccai, in quanto categorie speciali che incassano e riversano imposte statali, come le accise sulla benzina e la gestione delle marche da bollo, e per questo godono anche di un più ampio grado di tracciabilità della loro attività. C’è da dire, però, che nonostante l’esenzione, raramente si incontra un distributore di benzina che non ha un POS;
  • professionisti ​che esercitano in studi associati che non hanno rapporti diretti con i clienti, perché non fatturano direttamente a loro ma al titolare dell’impresa.

Oltre la normativa: i vantaggi dell’uso del POS

  • tracciare i pagamenti, agevolando la lotta all'evasione fiscale e al riciclaggio;
  • pagare senza dover ricorrere necessariamente ai contanti, talvolta sconvenienti da portare con sé;
  • far confluire, in sicurezza, il denaro direttamente sul conto corrente, senza la frequente necessità di recarsi fisicamente in banca per depositarli;
  • monitorare facilmente le entrate della propria attività;
  • accettare pagamenti alternativi direttamente da smartphone (Samsung Pay, Apple Pay);
  • incrementare le entrate, perché sempre più persone preferiscono la moneta elettronica e, quindi, si rivolgono direttamente ad attività che consentono il pagamento con le carte escludendo chi accetta solo contanti;
  • accettare pagamenti di turisti nella loro valuta

Il vantaggio forse più evidente di accettare pagamenti elettronici per tutto il mondo retail e per i professionisti è quello di non perdere clienti. Sempre più persone infatti stanno abbandonando il contante a favore di strumenti che hanno indubbiamente più vantaggi della carta moneta. Detrazioni fiscali e “lotteria degli scontrini” si aggiungo semplicemente ad una già lunga lista di punti a favore delle soluzioni digitali, a cui soprattutto le nuove generazioni si dimostrano sempre più sensibili.

OBBLIGHI E TUTELE 

L’efficienza e la sicurezza dei pagamenti dipendono dal comportamento di tutti i soggetti coinvolti in una transazione di commercio elettronico: non solo gli intermediari che offrono il servizio di pagamento, ma anche i clienti che acquistano online un bene o un servizio e i commercianti che lo offrono. 

Gli intermediari, in quanto operatori autorizzati all’offerta del servizio di pagamento, sono chiamati per legge al rispetto di un quadro articolato di obblighi, che attengono ai diversi profili di trasparenza informativa, correttezza, sicurezza e privacy. 

I clienti devono rispettare essenzialmente obblighi di comportamento che attengono alla custodia degli strumenti di pagamento e delle credenziali di autenticazione e alla comunicazione in tempi brevi di eventuali fatti anomali (smarrimento, furto, esecuzione di operazioni non autorizzate). 

Questi obblighi sono previsti da disposizioni di legge e sono esplicitati e specificati nel contratto che regola la prestazione del servizio di pagamento. 

I clienti sono tutelati da specifiche previsioni di legge che riconoscono il diritto al rimborso degli importi erroneamente o indebitamente addebitati; i clienti possono attivare diversi meccanismi di tutela per recuperare le somme: richiesta di rimborso rivolta direttamente all’intermediario, ricorso ai sistemi stragiudiziali di risoluzione della controversia (es. Arbitro Bancario Finanziario), ricorso all’Autorità Giudiziaria. 

I casi di surcharge potranno essere segnalati all’ Autorità Garante per la Concorrenza e il Mercato che verificherà se si tratta di pratiche commerciali scorrette e potrà, eventualmente, sanzionare gli esercenti. 

Obblighi informativi degli intermediari 

Nelle fasi precedenti la stipula del contratto o l’esecuzione dell’operazione, gli intermediari devono consentire ai clienti di conoscere in tempo utile tutte le condizioni, anche economiche, che verranno applicate in relazione alla prestazione del servizio.

Successivamente, una volta che l’operazione di pagamento è stata eseguita, vanno rendicontati gli oneri effettivamente sostenuti e indicate le tempistiche di accredito a favore del beneficiario del pagamento. 

Obblighi di sicurezza degli intermediari 

La Direttiva 2015/2366/CE (PSD2 –Direttiva sui Servizi di Pagamento) recepita nel nostro ordinamento con d.lgs. n. 218 del 2017, detta norme minime di sicurezza per l’offerta di servizi di pagamento e definisce un quadro giuridico di riferimento in grado di promuovere una revisione e un adeguamento continuo dei processi operativi e della stessa normativa alla evoluzione dei rischi tecnologici.

Demanda all’Autorità Bancaria Europea (EBA) il compito di definire, con “Technical standard” e “Guidelines”, le norme e le specifiche tecniche per diversi profili, tra cui l’individuazione di requisiti specifici per l’autenticazione forte e i possibili casi di esenzione. 

Tra le principali misure di sicurezza previste dalla normativa, figura l’autenticazione forte del cliente (o SCA – Strong Customer Authentication). 

Si tratta di una procedura di autenticazione basata sull’uso di due o più elementi, classificati in almeno due categorie tra le seguenti: 

  .conoscenza (qualcosa che solo l’utente conosce, come una password o un PIN); 

  .possesso (qualcosa che solo l’utente possiede, come un token, o uno smartphone); 

  .inerenza (qualcosa che caratterizza l’utente, come l’impronta digitale). 

La procedura di autorizzazione di un pagamento tramite SCA deve garantire che: 

  .il codice di autorizzazione generato sulla base delle credenziali inserite dall’utente sia monouso, ovvero accettato una sola volta dal PSP; 

  .il codice di autorizzazione del pagamento sia legato indissolubilmente all’importo e al beneficiario: in questo modo, se carpito o intercettato, tale codice non può essere usato per altri pagamenti (i.e. pagamenti verso altri beneficiari o con diverso importo). 

Fino a 500 euro, i PSP possono optare per l’esenzione dall’autenticazione forte del cliente a condizione che l'operazione di pagamento elettronico presenti un basso livello di rischio secondo i meccanismi di monitoraggio realizzati  e che, per i pagamenti sotto la soglia, i propri sistemi di sicurezza consentano di mantenere il tasso di frode entro un limite fissato.

I pagamenti fino a 30 euro possono essere esentati dalla SCA a prescindere dal tasso di frode registrato; scatta però l’obbligo di SCA quando l'importo cumulativo delle precedenti operazioni di pagamento elettronico effettuate dall’utente superano i 100 Euro o, comunque, dopo 5 operazioni di pagamento consecutive eseguite senza SCA. 

In aggiunta alla SCA, la normativa prevede ulteriori presidi di controllo di tipo tecnico-organizzativo, che concorrono a determinare il livello di sicurezza complessivo dei servizi di pagamento online. In particolare sono richiesti: 

- presidi di controllo interno 

  .gli operatori devono dotarsi di meccanismi di monitoraggio delle operazioni che, tenendo conto degli aspetti che caratterizzano il normale comportamento dell’utente, consentano di rilevare operazioni di pagamento non autorizzate o fraudolente (un esempio tipico di operazione sospetta, che deve essere prontamente rilevata, è quello di un pagamento effettuato dopo un breve lasso temporale e da un luogo molto distante dal pagamento precedente); 

  .è obbligatorio il riesame delle misure di sicurezza: queste devono essere sottoposte periodicamente a test, nonché valutate, con riferimento al quadro giuridico applicabile, da revisori con competenze in materia di sicurezza informatica e pagamenti e indipendenti dal punto di vista operativo; 

- notifiche da/verso i clienti 

  .i clienti devono notificare senza indugio al prestatore dei servizi di pagamento, o al soggetto specificato da quest’ultimo, non appena ne abbiano conoscenza, lo smarrimento, il furto, l’appropriazione indebita o l’utilizzo non autorizzato dello strumento di pagamento; l’intermediario deve assicurare ai propri clienti la disponibilità in ogni momento di mezzi e modalità di comunicazione che consentano loro tale comunicazione tempestiva; 

  .nel caso in cui l’intermediario sia vittima di un grave incidente operativo o di sicurezza, qualora gli interessi degli utenti siano messi a rischio, esso è tenuto a comunicare l’evento ai propri clienti, indicando tutte le misure a disposizione per attenuarne gli effetti. 

  .l’intermediario può prevedere nel contratto con i propri clienti la facoltà di bloccare lo strumento di pagamento per fondati motivi di sicurezza; il blocco, in generale, deve essere comunicato tempestivamente al cliente, insieme ai motivi che lo hanno reso opportuno. 

- segnalazioni all’Autorità competente e ad organismi di cooperazione 

  .in caso di grave incidente riguardante l’operatività o la sicurezza di quest’ultima, anche qualora gli interessi finanziari degli utenti non siano messi a repentaglio, il PSP è tenuto è notificare senza indugio l’accaduto alla propria Autorità di riferimento; 

  .al fine di valutare il perseguimento dell’obiettivo – stabilito dalla PSD2 – di “ridurre, al massimo grado possibile, il rischio di frode”, la normativa prevede che gli operatori forniscano, su base almeno annuale, dati statistici sulle frodi relative ai diversi strumenti di pagamento offerti all’Autorità competente (che a sua volta forniscono tali dati, in forma aggregata, all'ABE e alla BCE); 

  .un’ulteriore casistica da segnalare all’Autorità è quella in cui l’intermediario sospetti di essere stato frodato dal proprio cliente e per tale ragione sospenda il rimborso dell’operazione disconosciuta. 

Obblighi degli intermediari in materia di privacy 

Il Regolamento europeo sulla protezione dei dati (GDPR) valorizza l’importanza del consenso dell’interessato all’utilizzo dei propri dati e impone agli intermediari l’adozione di specifici presidi organizzativi che si aggiungono a quelli previsti dalla PSD2 in materia di sicurezza. 

Il Regolamento (UE) 2016/679 (GDPR - Regolamento Generale sulla Protezione dei Dati) disciplina nell'Unione europea il trattamento dei dati personali; tale regolamento è applicabile in tutti gli Stati membri dal 25 maggio 2018.

Il GDPR rafforza il ruolo della informativa come strumento di trasparenza e la centralità del consenso dell’interessato al trattamento dei propri dati.

Il trattamento è consentito solo per scopi specifici e dichiarati, nei limiti del necessario. 

È previsto anche il diritto di ottenere la cancellazione dei propri dati personali (cosiddetto "diritto all'oblio"). 

Il consenso dell'interessato al trattamento dei dati personali deve essere libero, specifico, informato e inequivocabile, anche se espresso attraverso mezzi elettronici o con un semplice flag. 

La Direttiva 2015/2366/CE (PSD2 – Direttiva sui Servizi di Pagamento), non costituisce lex specialis rispetto al GDPR. Il Regolamento dispiega i propri effetti dunque anche nell’ambito dei servizi di pagamento.

Infatti, gli intermediari che offrono servizi di pagamento devono porre in essere una serie di attività volte a recepire nella propria organizzazione interna le innovazioni introdotte dal GDPR.

Tra queste ultime rilevano: la designazione di un responsabile della protezione dei dati, l'istituzione di un registro delle attività di trattamento e l’adozione di accorgimenti quali attività preventive di pianificazione e progettazione per la protezione dei dati (privacy by design) e misure di sicurezza da attuare nel continuo (privacy by default), per garantire il presidio del trattamento, i limiti allo stesso e la corretta conservazione dei dati. 

Alcune misure organizzative e tecniche previste dal GDPR si sovrappongono, e in parte si aggiungono, a quelle stabilite dalla PSD2 e dalle linee guida EBA in materia di sicurezza. 

Per esempio, il Regolamento introduce obblighi di segnalazione per gli intermediari dei cd. data breach all'Autorità nazionale per la protezione dei dati. Tali obblighi si sommano agli obblighi di reporting alle autorità nazionali competenti previsti per gli incidenti gravi sulla base della PSD2 e delle linee guida EBA.

Riguardo ai rapporti tra GDPR e PSD2, sono emerse esigenze di armonizzazione, in relazione, in particolare, alla nozione di dati cd. “sensibili” e alla natura del consenso prestato dall’interessato/utente. 

Preliminarmente, si osserva che la definizione di “dati sensibili” secondo la PSD2 e quella di “categorie particolari di dati” ex art. 9 GDPR (tradizionalmente considerati “dati sensibili”) non coincidono. 

I primi sono infatti dati che «possono essere usati per commettere frodi»” (cfr. art. 4, punto 32, della PSD2); tra questi sono espressamente incluse le credenziali di sicurezza personalizzate fornite all’utente a fini di autenticazione, ovvero al fine di «verificare l’identità» dell’utente stesso oppure «la validità dell’uso di uno specifico strumento di pagamento» (cfr. art. 4, punti 29 e 31, della PSD 2). Non costituiscono, invece, dati sensibili relativi ai pagamenti il nome del titolare del conto e il numero del conto. 

Le “categorie particolari di dati” ai sensi del GDPR sono invece riferite a dati personali che rivelano origini razziali o etniche, opinioni politiche, credenze religiose, convinzioni filosofiche o appartenenza sindacale, nonché dati genetici e dati biometrici, o relativi alla salute e alla vita sessuale di una persona. 

Tale definizione è generale, nel senso che la relativa disciplina si applica ogni qualvolta si tratti, anche nell’ambito dei servizi di pagamento, questo tipo di dati. 

Quanto alla nozione di consenso dell’interessato al trattamento dei dati contenuta nelle due normative in esame, lo European Data Protection Board (EDPB) ha chiarito che gli intermediari possono trattare i dati necessari all’esecuzione del servizio di pagamento sulla base di uno specifico ed esplicito consenso espresso preventivamente sul contratto. Il consenso previsto dalla PSD2 (art. 94) avrebbe pertanto natura contrattuale, con ciò distinguendosi dal consenso richiesto ai sensi del GDPR. 

Da una lettura combinata del GDPR e della PSD2, come sopra interpretata, si evince che, una volta approvato il contratto per l’esecuzione di un servizio di pagamento, l’interessato non debba ulteriormente prestare il consenso se il trattamento è funzionale all’esecuzione del contratto stesso.

Secondo l’EDPB, inoltre, all’intermediario che presta servizi di informazione sui conti non occorre uno specifico consenso per il trattamento dei dati del beneficiario del pagamento, posto che l’utilizzo di questi dati avviene, in conformità al GDPR, per il perseguimento di un legittimo interesse all’esecuzione del servizio (art. 6,c.1., lett.f). 

Allo stesso modo, l’intermediario presso cui è aperto il conto (ASPSP) può legittimamente consentire l’accesso ai dati dell’utente da parte degli intermediari che offrono il servizio di disposizione di ordini di pagamento e di informazione sui conti - che abbiano acquisito il consenso dell’utente - in virtù di specifiche disposizioni della PSD2 (artt. 66 e 67) - che obbligano gli ASPSP a tale ostensione - e, pertanto, in conformità al GDPR, secondo cui il trattamento dei dati in esecuzione di un obbligo di legge è lecito.

Obblighi di diligenza e di comunicazione del cliente 

Per assicurare efficienza e sicurezza nell’offerta di servizi di pagamento, gli obblighi posti in carico agli intermediari sono integrati con quelli posti in capo ai clienti. 

Il mancato rispetto degli obblighi rileva ai fini del rimborso da parte degli intermediari.

Obblighi di diligenza 

Il cliente è tenuto a prestare diligenza nella custodia delle credenziali identificative per l’accesso ai conti e dispositive per l’esecuzione delle operazioni di pagamento. 

Egli è tenuto inoltre alla verifica delle transazioni effettuate a valere sul proprio conto. 

Nel caso di utilizzo online l’utente si autentica mediante l’uso di credenziali che assumono connotati digitali e devono poter essere inviate via Internet e controllate con mezzi automatici dagli intermediari. L’utente può contribuire alla sicurezza dell’ambiente in cui opera ponendo attenzione al proprio personal computer o qualunque device utilizzato, ad esempio verificare la sicurezzo della connessione del sito su cui si sta navigando.

Obblighi di comunicazione 

Il cliente deve comunicare tempestivamente all’intermediario eventuali irregolarità nella prestazione del servizio. 

In particolare, vi è l’obbligo di comunicare senza indugio, non appena ne viene a conoscenza, che si è verificata un’operazione di pagamento non autorizzata o non correttamente eseguita, al fine di richiederne la rettifica. 

Per consentire un più attento monitoraggio dell’utilizzo degli strumenti di pagamento è consigliabile, ove disponibile, l’attivazione di strumenti messi a disposizione dagli intermediari per favorire il monitoraggio delle operazoni disposte tramite gli strumenti di pagamento (ad esempio, il servizio di sms alert o quello di notifica via app). 

Il cliente deve comunicare all’intermediario, non appena se ne accorge, il furto o lo smarrimento degli strumenti di pagamento e/o delle credenziali, utilizzando i contatti che gli intermediari devono mettere a disposizione dei clienti a questi fini. 

Rimborsi e responsabilità 

La corretta esecuzione di un’operazione di pagamento dipende dal comportamento congiunto di intermediari e clienti. 

Il legislatore attribuisce agli intermediari l’onere di strutturare l’operazione di pagamento in modo sicuro e di fornire al cliente mezzi sicuri per l’esecuzione. 

I clienti devono rispettare specifiche norme di comportamento che tutelano loro stessi e il sistema. 

Obbligo di rimborso dell’intermediario e onere della prova in caso di operazioni non autorizzate 

Quando un cliente lamenta di aver subito un’operazione da lui non autorizzata spetta all’intermediario dimostrare che l’operazione di pagamento è stata autenticata, correttamente registrata e non ha subito le conseguenze di guasti tecnici o altri inconvenienti. 

L’astratta riconducibilità dell’operazione al titolare del conto o dello strumento non impedisce al cliente di disconoscerla se non ritiene di averla autorizzata. 

In questi casi, l’intermediario è tenuto a rimborsare l’utente salvo dimostrare che: 

 .il suo cliente abbia agito con intento fraudolento e voglia quindi disconoscere operazioni effettivamente autorizzate per ottenere indebitamente il riaccredito delle somme addebitategli; 

  .il suo cliente non abbia adempiuto, con dolo o colpa grave, agli obblighi di custodia, di comunicazione e/o a quelli contrattuali; 

questo però è possibile solo se l’operazione di pagamento è stata eseguita con misure di sicurezza rafforzate.

Il cliente, che non ha agito con intento fraudolento, è sempre rimborsato quando il pagamento è stato eseguito dall’intermediario senza richiedere forme di autenticazione forte (SCA). 

Viceversa, se il pagamento è stato effettuato con SCA, non solo il cliente che ha agito in modo fraudolento, ma anche quello che non abbia adempiuto con colpa grave ai suoi obblighi, ad esempio nella custodia degli strumenti, potrebbe non essere rimborsato. 

Se vi è stato furto o smarrimento dello strumento il cliente potrebbe essere chiamato a pagare una franchigia di 50 euro fino alla comunicazione all’intermediario dell’avvenuto furto o smarrimento, sempre che se ne sia potuto rendere conto. 

  In via generale, l’intermediario deve eseguire il rimborso – anche se in via provvisoria – immediatamente, e comunque al massimo entro la giornata operativa successiva alla segnalazione ricevuta dal cliente.

Solo nel caso in cui l’intermediario abbia motivati sospetti di frode da parte del cliente può sospendere il rimborso, comunicandolo per iscritto alla Banca d'Italia. 

Se l’intermediario rimborsa, ma dalle analisi successive valuta che il cliente non aveva diritto a tale rimborso, può recuperare la somma. Se il cliente non è d’accordo può presentare un reclamo all’intermediario e, successivamente, un ricorso all’Arbitro Bancario Finanziario che decide sulla controversia. 

  Il cliente ha, in via generale, 13 mesi di tempo dall’addebito per chiedere il rimborso di un’operazione che non ritiene sia stata da lui autorizzata o correttamente eseguita dall’intermediario. 

La richiesta di rettifica può avvenire anche in un momento successivo, qualora l’intermediario abbia omesso di fornire o mettere a disposizione dell’utente le informazioni relative all’operazione di pagamento: è onere dell’intermediario dimostrare di aver adempiuto a tale obbligo. 

Anche se sono previsti 13 mesi di tempo per la richiesta del rimborso per un’operazione non autorizzata, il cliente deve comunque darne comunicazione non appena venutone a conoscenza. Una segnalazione tempestiva agevola il recupero dell’importo e dimostra, da parte del cliente, attenzione alla tenuta del proprio conto. 

Furto, smarrimento e obbligo di rimborso dell’intermediario 

Un caso particolare riguarda le operazioni non autorizzate in caso di furto, smarrimento o appropriazione indebita dello strumento di pagamento. 

Il legislatore vuole incentivare i clienti a comunicare tempestivamente gli eventi sopra citati, comportamento questo complementare all’obbligo di custodia. 

La normativa, pertanto, stabilisce una franchigia non superiore a 50 euro che il cliente può dover sopportare per le operazioni non autorizzate effettuate fino al momento della comunicazione. 

Dopo la comunicazione, invece, gli intermediari possono bloccare gli strumenti e, pertanto, il cliente è tenuto indenne dalle conseguenze di ogni operazione eventualmente eseguita. 

Tuttavia, se l’utente agisce in maniera fraudolenta l’art. 12 d.lgs. 11/2010 prevede che questi risponda anche delle operazioni avvenute dopo la comunicazione e prima che l’intermediario disponga il blocco dello strumento. 

Il cliente – salvo il caso in cui abbia agito in modo fraudolento – non sopporta alcuna perdita – e quindi neppure il pagamento nel limite dei 50 euro – se lo smarrimento, la sottrazione o l'appropriazione indebita dello strumento di pagamento non potevano essere notati prima del pagamento, oppure se la perdita è stata causata da azioni riconducibili all’intermediario o ad altri soggetti intervenuti nell’esecuzione dell’operazione (ad es. dipendenti, agenti, succursali etc.). 

Il cliente può essere chiamato a rispondere dell’intera perdita relativa a operazioni di pagamento non autorizzate derivanti dall'utilizzo indebito dello strumento di pagamento conseguente al suo furto, smarrimento o appropriazione indebita, nel caso abbia agito in modo fraudolento o non abbia adempiuto ai propri obblighi con dolo o colpa grave.

Misure rafforzate di tutela nelle transazioni di pagamento iniziate dal beneficiario 

Nelle operazioni di pagamento eseguite su iniziativa del beneficiario, il pagatore non avvia direttamente l’operazione di pagamento, ma subisce un addebito a suo carico, ordinato dal beneficiario che agisce sulla base di un’autorizzazione che gli ha dato il cliente stesso. 

Per questo tipo di operazioni non è mai richiesta la SCA perché forme di autenticazione forte presuppongono la presenza del pagatore nel momento del pagamento e un suo comportamento attivo. 

Per tutte le ipotesi in cui il trasferimento, pur se preventivamente autorizzato, non corrisponda alle sue ragionevoli aspettative, il cliente ha diritto al rimborso al ricorrere di entrambe le seguenti condizioni: 

1) l’indeterminatezza dell’importo da trasferire al momento in cui il pagatore ha autorizzato il pagamento (è il caso, ad esempio, di un addebito preautorizzato per il pagamento della bolletta telefonica o dell’addebito dell’importo speso con la carta di credito); 

2) l’importo trasferito sia superiore a quello che il pagatore avrebbe potuto ragionevolmente attendersi, avuto riguardo al suo precedente modello di spesa, le condizioni del contratto quadro e le circostanze del caso. 

Il rimborso va richiesto entro otto settimane dalla data di addebito e deve essere corrisposto entro dieci giornate operative dalla ricezione della richiesta. In caso di rifiuto, l’intermediario, sempre nel termine di dieci giorni, deve fornire al pagatore una giustificazione del diniego e contestualmente comunicargli la possibilità di presentare un esposto alla Banca d’Italia ovvero di ricorrere all’ABF. 

Nel caso in cui l’operazione sia stata richiesta dal beneficiario senza alcuna autorizzazione da parte del cliente, il cliente ha 13 mesi di tempo per chiedere il rimborso dell’importo. Anche in questo caso il rimborso non è dovuto se l’intermediario dimostra che il cliente ha agito in modo fraudolento. 

Ulteriori misure di tutela offerte all’utente di servizi di pagamento 

Se, dopo aver correttamente autorizzato la transazione di pagamento, l’utente desidera recedere dal contratto di acquisto, si applicherà la disciplina ordinaria prevista dal Codice civile e dal Codice del consumo. 

La transazione di pagamento è stata infatti correttamente autorizzata dal pagatore e non vi sono i presupposti normativi per il suo disconoscimento. Tuttavia alcuni intermediari e alcuni gestori di circuiti di pagamento offrono alla propria clientela garanzie aggiuntive, consentendo il rimborso, a specifiche condizioni, dell’operazione di pagamento effettuata.

GIURISPRUDENZA

1) Frodi informatiche

Le frodi più frequenti riguardanti le carte di credito e pagamenti elettronici e consistenti nella sottrazione di somme dal conto del malcapitato, sono quelle denominate “Frodi Card not present”. 

Questo perché, per la loro realizzazione, non richiedono la disponibilità materiale della carta e neppure l’apposizione della firma del titolare. Si tratta di operazioni generalmente effettuate per via telematica utilizzando i dati della carta di pagamento, cioè le generalità del titolare, il numero della carta, la data di scadenza e il codice CVV. 

I sistemi utilizzati dai truffatori per appropriarsi dei dati personali necessari sono i più vari e fantasiosi. Il più diffuso è il “phishing”. Chi lo mette in pratica non si serve di tecnologie sofisticate (tipo virus, spyware o malware) ma si limita a chiedere alla potenziale vittima le informazioni necessarie!

La tecnica preferita consiste nell’inviare normali e-mail, generalmente riportanti il logo contraffatto di una Banca o di servizi di pagamento online, invitando il destinatario a fornire dati riservati, quali numero del conto corrente, dati della carta di credito, password e codici di accesso, ecc., motivando la richiesta con le più diverse ma apparentemente verosimili ragioni (ad esempio, la scadenza della password, il potenziale rinnovo della carta di pagamento, problemi di natura tecnica, la incompleta o errata presenza di informazioni da completare o correggere, ecc.). 

Il termine “phishing”, del resto, deriva dalla parola inglese “fishing”, che significa “pescare” e rende molto bene l’idea di chi cerca di “pescare”, nel mare di internet, ingenui utenti per carpire loro informazioni personali. 

Tecnica meno diffusa è, invece, l’invio di SMS ingannevoli (in questo caso si parla di “smishing”).

Altro sistema praticato è quello denominato “skimming”. 

In questo caso vengono acquisiti i dati contenuti nella banda magnetica della carta per essere copiati su una carta falsa (caso classico di “clonazione” di carta). L’acquisizione dei dati avviene presso l’esercizio commerciale dove il titolare della carta effettua una transazione. La carta, dopo essere stata regolarmente “passata” nel POS, senza che il titolare della stessa se ne accorga viene “passata” in uno skimmer, cioè in un apparecchio (di ridottissime dimensione) in grado di catturare i dati contenuti nella banda magnetica. Per fortuna, in seguito alla adozione sulle carte di microchip (che garantiscono una maggiore sicurezza), è una truffa ormai in via di estinzione.

Il “trashing”, invece, è un sistema che si basa sugli scontrini delle carte di credito e che, sovente, vengono imprudentemente gettati dopo la transazione. Dagli scontrini è possibile, infatti, acquisire dati personali sufficienti per la creazione di una carta clonata. 

Altri metodi sono lo “sniffing”, con cui vengono intercettate le coordinate delle transazioni effettuate on line, e il “boxing”, consistente nella clonazione delle carte di credito inviate dalle banche al domicilio del cliente (previa sottrazione della busta contenente la carta dalla cassetta delle lettere; busta e carta che, dopo la clonazione, vengono ricollocate nella buca delle lettere; il tutto all’insaputa della vittima). 

Numerose, poi, le frodi che vengono compiute presso gli sportelli ATM. Nella maggior parte dei casi, per poter clonare la carta, viene applicato un lettore di banda magnetica sopra o all’interno del vero lettore di carta. Spesso viene abbinato, allo scopo di individuare il PIN, ad una piccola videocamera nascosta oppure ad una finta tastiera numerica applicata su quella originale.

Poi vi sono vari tipi di violazione dei sistemi informatici.

2) Le responsabilità

Dalle violazioni dei sistemi informatici possono discendere danni e correlati profili di responsabilità, le cui conseguenze economiche raramente si dispiegano sull’autore dell’illecito penale (che tendenzialmente rimane ignoto), ricadendo perlopiù sull’utente che sopporta una perdita, talvolta anche sull’intermediario (solitamente la banca emittente della carta di pagamento) che avrebbe potuto/dovuto proteggerlo dal danno.

Riguardo all’utente, a cui vengano sottratte somme di denaro, occorre comprendere quale sia il livello di diligenza, prudenza e perizia richieste dall’ordinamento al fine di non incorrere o concorrere in responsabilità.

a) Si è visto che sull’utente grava l’onere della custodia dei codici dispositivi. Difatti, una custodia diligente delle password sarebbe di per sé idonea a paralizzare ex ante la maggior parte degli illeciti cagionabili ai danni dell’utente stesso. 

A tal riguardo, si vedano le pronunce dell’Arbitro Bancario Finanziario, più volte investito di controversie inerenti alla responsabilità del cliente e dell’intermediario nella custodia dei codici.

In un caso esemplificativo (Collegio ABF di Milano, 9 novembre 2010, decisione n. 1241), un cliente è stato vittima di un’attività di phishing a mezzo di posta elettronica, attraverso la quale ignoti hanno cambiato la sua password e prelevato circa 3000 euro. Nonostante la contestazione tempestiva del fatto fraudolento all’intermediario, quest’ultimo non solo ha dato seguito alla transazione disconosciuta, ma ha anche assunto di non aver accolto la contestazione poiché il cliente non avrebbe dovuto cliccare sui link fraudolenti presenti nelle e-mail

In tale occasione, il Collegio ha sostenuto che sul cliente gravi l’onere di custodire con la massima diligenza i codici in suo possesso necessari per compiere operazioni bancarie di vario genere, siano esse prelievi per mezzo del servizio Bancomat o disposizioni di operazioni per mezzo di servizi on-line. 

In estrinsecazione di tale principio, nonostante l’intermediario concorresse nella colpa, la condotta del cliente è stata valutata ai fini del riconoscimento della maggior colpa a suo carico (nella misura del 60%), diminuendo considerevolmente l’entità del, seppur riconosciuto, diritto al risarcimento del danno.

Il principio in esame ha trovato un forte temperamento a seguito del d.lgs 27 gennaio 2010, n. 11, in forza del quale, nelle ipotesi previste ex art. 12, salvo che l’utilizzatore del servizio di pagamento non abbia agito in modo fraudolento o con dolo o colpa grave, l'utente non sopporta alcuna perdita derivante dall'utilizzo di uno strumento di pagamento smarrito, sottratto o utilizzato indebitamente. 

In tali casi l’utilizzatore può dunque chiedere il rimborso all’intermediario a norma degli artt. 13 e 14 del medesimo decreto legislativo. 

Successivamente, l’evoluzione normativa ha registrato un maggior favor nei confronti del cliente, che si è tradotto in orientamenti dell’Arbitro maggiormente afflittivi nei confronti degli intermediari, quand’anche questi avessero predisposto sistemi di sicurezza alquanto avanzati. 

Ciononostante, alcuni comportamenti dell’utente vengono ancora oggi ricondotti alla colpa grave, pregiudicando la possibilità per lo stesso di ottenere un risarcimento. 

Si pensi, ad esempio, alla responsabilità del cliente derivante da condotte di smishing, per aver cliccato sul link ricevuto via sms, o di vishing, per aver fornito telefonicamente le password dinamiche. 

In tali casi, recentemente la giurisprudenza arbitrale si è ancora orientata verso l'individuazione di una condotta gravemente negligente nella custodia dei codici di accesso, circostanza che implica la responsabilità dell’utente, ai sensi dell’art. 12, comma 3, d.lgs. n. 11/2010, e che non consente di accogliere la richiesta di rimborso delle somme indebitamente sottratte. 

Considerata invece la posizione dell’intermediario (o altro soggetto abilitato all’erogazione di servizi di pagamento), è oggi indubbiamente possibile ravvisare degli obblighi da cui possono discendere dei profili di responsabilità. 

Già secondo una risalente ricostruzione dottrinale, la responsabilità dell’intermediario discenderebbe dalla violazione di obblighi derivanti dallo status di banca, avuto riguardo della correlazione tra il carattere della professionalità che connota l’impresa bancaria e il corrispondente obbligo di protezione del cliente.

Una recente ricostruzione interpretativa sembrerebbe tuttora confermare questo orientamento, aggiungendovi ulteriori argomenti a sostegno.

 Seguendo il percorso argomentativo della Suprema Corte (Cass. civ., sez. VI, 12 aprile 2018, ordinanza n. 9158), già prima dell’introduzione della disciplina d.lgs 11/2010, lo svolgimento di operazioni bancarie a mezzo di strumenti elettronici era da ricondursi al regime della responsabilità da attività pericolose ex art. 2050 cc. 

Dunque, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi sarebbe da ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente. 

 La citata pronuncia della Suprema Corte ha cassato con rinvio una sentenza della Corte d’Appello di Palermo del 12 luglio 2016, nella quale dei correntisti di Poste Italiane vittime di frode online erano stati giudicati soccombenti, per presunta negligente custodia delle password, nonostante mancassero dei rilievi anche solo indiziari della loro condotta negligente. 

La Suprema Corte ha in tale circostanza rigettato tale impianto argomentativo, esprimendo il principio di diritto, in forza del quale spetta alla banca fornire la prova della riconducibilità dell'operazione al cliente, in virtù della diligenza tecnica richiesta secondo il parametro dell’accorto banchiere.

 A quanto detto si aggiunga un richiamo alla teoria del rischio d’impresa, ampiamente ripresa nelle decisioni dell’ABF, secondo la quale rischi statisticamente prevedibili (come le frodi e altri illeciti compiuti con i mezzi di pagamento), legati ad attività pericolose che interessano un’ampia moltitudine di consumatori, debbano gravare sull’impresa, in quanto quest’ultima è in grado, attraverso la determinazione dei prezzi di vendita dei beni o di fornitura del servizio, di ribaltare sulla massa dei consumatori e degli utenti il costo dell’assicurazione di detti rischi, in modo da evitare che il rischio gravi esclusivamente e direttamente sul singolo pagatore.

b) Qualunque fosse la ricostruzione normativa o interpretativa più convincente, ciò che è certo è che il regime di responsabilità in capo all’intermediario, o più in generale nei confronti del prestatore di servizi di pagamento, è stato confermato e ulteriormente specificato con la  direttiva 2015/2366/UE (Payment Services Directive 2). 

Così, in punto di onere della prova, è inequivocabilmente sancito dal novellato d.lgs 11/2010 che, qualora l'utente neghi di aver autorizzato un'operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi provare che l'operazione non fosse affetta da malfunzionamenti esecutivi o che il pagatore abbia agito con frode, dolo o colpa grave. 

A norma poi dell’art. 11 del medesimo decreto, il prestatore è comunque tenuto a rimborsare al pagatore l'importo dell'operazione disconosciuta entro la fine della giornata operativa successiva a quella in cui prende atto del disconoscimento. 

Vero è anche che, ad oggi, il quadro normativo di riferimento è più ampio e la disciplina dei servizi di pagamento estremamente più dettagliata. 

Alla direttiva 2007/64/CE (Payment Service Directive), già pregevole di aver definito un quadro giuridico comunitario moderno per i servizi di pagamento elettronici, si sono aggiunti il Regolamento 2012/260/UE in materia di requisiti tecnici e operativi dell'esecuzione delle operazioni di bonifico e addebito diretto e la già menzionata direttiva PSD2 in materia di autenticazione del cliente e standard aperti di comunicazione comuni e sicuri. 

Si rammentino inoltre le Recommendations for the security of internet payments (2013) del SecuRe Pay Forum (European Forum on the Security of Retail Payments), confluite negli Orientamenti EBA che, al fine di ridurre le frodi informatiche, incoraggiano: il passaggio a sistemi di “autenticazione forte”; assessment specifico dei rischi connessi con l’offerta dei servizi di pagamento online; adozione di procedure di monitoraggio delle transazioni per identificare comportamenti anomali; sensibilizzazione della clientela.

Più di recente, è particolarmente notevole l’intesa per una strategia congiunta tra Consob e Banca d’Italia per la sicurezza cibernetica del settore finanziario. 

Nel dettaglio, l’obiettivo è l’implementazione di strumenti di supervisione e valutazione del cyber risk, già adottati nell’ambito dell’Eurosistema, come le Cyber Resilience Oversight Expectations for Financial Market Infrastructures (CROE). 

In ossequio all’intesa, Banca d’Italia e Consob svilupperanno inoltre il TIBER-IT, modello per lo svolgimento di test derivato dal framework europeo di Threat Intelligence-Based Ethical Red Teaming (TIBER-EU), secondo un principio di gradualità che tenga conto del livello di preparazione degli operatori.

Disquisendo in ultima analisi della prevenzione degli eventi dannosi, dal lato del customer, è certamente da sottolineare l’elevatissima efficacia preventiva di un’alfabetizzazione digitale degli utenti, che sarebbe logicamente idonea a scongiurare in larga misura le condotte maggiormente rischiose. 

Sebbene un’alfabetizzazione digitale sia auspicabile, è difficile tuttavia ipotizzare che l’utente medio sia in grado di tenersi periodicamente al passo con i necessari aggiornamenti informativi che gli consentano di agire con la più elevata prudenza. 

Anche a compensare quella soglia di diligenza che non è ancora esigibile dal cliente, dal contrapposto lato degli intermediari e degli altri fornitori di servizi di pagamento digitali è oggi prevista l’implementazione dei sistemi di Strong Customer Authentication. 

In particolare, il Regolamento Delegato UE 2018/389 ha disposto che, per garantire l'applicazione dell'autenticazione forte del cliente, è necessario imporre adeguate caratteristiche di sicurezza relativamente a tre fattori, dei quali due su tre devono sempre essere richiesti: 1. conoscenza (qualcosa che solo l'utente conosce), es. una password statica; 2. possesso (qualcosa che solo l'utente possiede), es. una password dinamica su token o altro dispositivo; 3. inerenza (qualcosa che caratterizza l'utente), es. un riconoscimento biometrico dell’iride o dell’impronta digitale.

Nell’ipotesi in cui i sistemi di prevenzione e protezione non riescano ad impedire che degli importi possano essere indebitamente sottratti al cliente e che un danno possa dunque essere cagionato nei suoi confronti, poche strade si aprono per il recupero delle somme. 

In primo luogo, si potrà avanzare una richiesta di rimborso direttamente all’intermediario emittente la carta. 

In alternativa, qualora i mezzi di pagamento utilizzati afferiscano a circuiti interbancari che prevedono la possibilità di opporsi all’addebito effettuato e ottenere l’annullamento della transazione, sarà possibile richiedere il Chargeback. 

Esperiti infruttuosamente i passaggi con l'intermediario, sarà possibile ricorrere ai sistemi stragiudiziali di risoluzione delle controversie, in particolare all'ABF. 

In ultima lapalissiana considerazione, si potrà sempre valutare la più tradizionale possibilità di adire l'Autorità Giudiziaria.

c) La più recente decisione della Cassazione

La Corte di Cassazione ha deciso su una causa relativa ad una frode informatica, accertando la responsabilità contrattuale dell’azienda che aveva erogato il servizio.

Cass. civ., sez. I, ord., 20 maggio 2022, n. 16417

Con sentenza del 4.10.16, il Tribunale di Paola accolse l'appello di (omissis) s.p.a., avverso la sentenza del giudice di pace che aveva accolto la domanda proposta da M.S. avente ad oggetto l'accertamento della responsabilità contrattuale dell'appellante in ordine all'addebito della somma di Euro 1000,00 per una ricarica di telefonino quale diretta conseguenza di una frode informatica subita sul conto corrente e sulla carta di credito prepagata.

In particolare, il giudice di primo grado condannò la convenuta alla restituzione della somma di Euro 1000,00 e al pagamento di Euro 100,00 quale danno morale, osservando che: il prelievo della somma non risultava legittimamente autorizzata dall'attrice la quale l'aveva contestato; la documentazione prodotta dalla convenuta era stata disconosciuta e non dimostrava la regolarità dell'operazione di prelievo; (omissis) s.p.a. non avevano dimostrato l'adempimento delle proprie obbligazioni circa l'adeguatezza del sistema di sicurezza dell'operatività online del conto corrente, specie se raffrontato con i sistemi di protezione utilizzati da altri operatori.

L'appello fu accolto dal Tribunale, osservando che: premesso che l'illecito prelievo della predetta somma era presumibilmente da ricondurre ad un illegittimo accesso all'internet banking realizzato con le tipiche modalità dell'uso delle credenziali dell'utente, non sussisteva alcun obbligo dell'appellante verso il cliente, eccetto il caso di espressa manleva, non riscontrabile nella fattispecie; se l'appellata aveva dunque riferito di non aver risposto ad alcuna mail o di non essersi collegata ad alcun link esterno, ciò non escludeva che durante la navigazione in rete un terzo, impossessatosi della password, si fosse collegato al sistema sottraendo la suddetta somma dal conto corrente online; non erano stati pattuiti particolari sistema di allerta o di blocco delle operazioni. 

Il secondo motivo è fondato. 

  Il giudice d'appello non ha riconosciuto la responsabilità della correntista nell'aver messo in condizione il truffatore di effettuare il prelievo, pur affermando che ciò non esclude che il terzo, impossessatosi della password, avesse potuto disporre illecitamente delle somme depositate nel conto corrente, e soggiungendo che non erano stati pattuiti particolari sistema di allerta o di blocco delle operazioni.

  Ora, tali argomentazioni della Corte territoriale, fondate su due distinte rationes, muovono da un'erronea interpretazione dell'art. 1218 c.c., la cui ricognizione non ha tenuto conto delle specifiche posizioni contrattuali delle parti nell'ambito del rapporto contrattuale afferente al conto corrente telematico. 

Anzitutto, al riguardo, va richiamata la regola generale contemplata dall'art. 1218 c.c., secondo la quale, in tema di prova dell'adempimento di un'obbligazione, il creditore che agisca per la risoluzione contrattuale, per il risarcimento del danno, ovvero per l'adempimento, deve soltanto provare la fonte (negoziale o legale) del suo diritto ed il relativo termine di scadenza, limitandosi alla mera allegazione della circostanza dell'inadempimento della controparte, mentre il debitore convenuto è gravato dell'onere della dimostrazione del fatto estintivo dell'altrui pretesa, costituito dall'avvenuto adempimento, o dall'eccezione d'inadempimento del creditore ex art. 1460 c.c. (Cass., n. 25584/18; n. 3587/21; SU, n. 13533/01).

  Nell'ambito del rapporto di conto corrente, con modalità telematiche, tale regula juris declina la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell'utente.

  Orbene, la Corte territoriale ha adottato una ratio erronea in quanto se, da un lato, riconosce che manca un comportamento colposo della M., violando la suddetta regola di diritto ex art. 1218 c.c., le attribuisce la responsabilità del prelievo dal conto corrente, senza peraltro indicarne il titolo. 

Invero, la ricorrente ha correttamente allegato la fattispecie d'inadempimento ascritta alla banca, consistente nel non aver impedito l'illecito prelievo, mentre l'istituto bancario non ha eccepito un fatto estintivo o impeditivo della pretesa della controparte. 

In sostanza, la sentenza impugnata ha ascritto alla ricorrente una responsabilità per fatto altrui del tutto estranea, come noto, al nostro ordinamento giuridico, presumendo del tutto astrattamente che la ricorrente avrebbe potuto omettere una misura di cautela inerente al corretto utilizzo dell'operatività del conto corrente online, senza alcun riferimento ad una concreta condotta, commissiva od omissiva, della correntista.

Invece, la banca non ha eccepito un fatto estintivo del diritto fatto valere dall'attrice consistente nella violazione delle norme prudenziali che informano le modalità d'uso dei rapporti di conto corrente telematico.

 Occorre altresì rilevare l'erroneità dell'altra ratio decidendi afferente alla mancata previsione contrattuale di sistemi di allerta o di blocco delle operazioni. 

Al riguardo, è da evidenziare che nell'esaminare la condotta delle parti contrattuali, la regola desumibile dall'art. 1218 c.c., va coordinata con l'art. 1176 c.c., quale clausola generale relativa alla diligenza richiesta al debitore per l'adempimento contrattuale. Al riguardo, va osservato che la diligenza posta a carico del professionista ha natura tecnica e deve valutarsi tenendo conto dei rischi tipici della sfera professionale di riferimento, assumendo come parametro la figura dell'accorto banchiere (Cass., n. 806/16). Inoltre, la diligenza esigibile dal professionista o dall'imprenditore, nell'adempimento delle obbligazioni assunte nell'esercizio dell'attività, ha contenuto tanto maggiore quanto più è specialistica e professionale la prestazione richiesta; pertanto, incorre in responsabilità il soggetto che non adoperi la diligenza dovuta in relazione alle circostanze concrete del caso, con adeguato sforzo tecnico e con impiego delle energie e dei mezzi normalmente ed obiettivamente necessari o utili all'adempimento della prestazione dovuta e al soddisfacimento dell'interesse creditorio, nonché ad evitare possibili effetti dannosi (Cass., n. 12407/2020).

  Circa la fattispecie concreta, va altresì osservato che secondo l'orientamento di questa Corte, cui il collegio intende dare continuità, in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. 

Ne consegue che, anche prima dell'entrata in vigore del D.Lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente (Cass., n. 2950/17).

È stato ancora affermato che la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell'utente, configurabile nel caso di protratta mancata attivazione di una qualsiasi forma di controllo degli estratti conto. (Cass., n, 18045/19; n. 26916/20).

Ora, come detto, il Tribunale, pur avendo l'attrice allegato la fattispecie d'inadempimento ascritta alla banca, ha escluso immotivatamente la responsabilità della banca in ordine al prelievo illecito, in mancanza di un'eccezione specifica sulla sussistenza di fatti estintivi o impeditivi del diritto fatto valere, sulla base della mera ipotesi di violazione, da parte della ricorrente, di norme prudenziali poste a carico dei correntisti online, così violando la regola di giudizio di cui all'art. 1218 c.c..

d) Il Tribunale di Torino

1)Tribunale Torino 8/3/2022, est. Sburlati:

Le domande attoree hanno a oggetto la condanna della convenuta al pagamento di € 65.000,00 (oltre interessi), in conseguenza dell’esecuzione di bonifici non autorizzati, avvenuta il 22 e il 23/04/2020.

Costituendosi in giudizio, la banca ha chiesto il rigetto di tali domande.

La natura della controversia rende necessario rilevare che, ai sensi dell’art. 10 c. 2 D. Lgs. 11/2010, “quando l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita, l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, … non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’articolo 7. E’ onere del prestatore di servizi di pagamento … fornire la prova della frode, del dolo o della colpa grave dell’utente”.

Con riferimento a questa norma, la Corte di Cassazione ha affermato che “il punto di equilibrio divisato da tale disciplina risulta essere sostanzialmente in linea con le regole generali relative alla ripartizione della prova in tema di inadempimento contrattuale e di verifica della diligenza dell’agente professionale”, precisando che, “anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (ciò che rappresenta interesse degli stessi operatori), appare del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore di servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo” (Cass. 2950/2017; analogamente, in materia, Id. 26916/2020, Id. 18045/2019 e Id. 9158/2018, nonché Trib. Torino ord. 2137/2022).

In applicazione di questi principi, le domande attoree devono essere rigettate, essendo stata provata dalla banca la colpa grave dell’utente, che ha “comunicato telefonicamente a terzi le proprie credenziali di home banking”, come risulta sia dalla denuncia ai Carabinieri del 24/04/2020, sia dal modulo di disconoscimento delle operazioni in pari data.

Né può ritenersi decisivo, diversamente da quanto sostenuto dall’attore, il fatto che la comunicazione a terzi abbia riguardato solo “quell’ultimo codice, e non già i primi due, atteso che il sistema di sicurezza della convenuta deve essere considerato nel suo complesso e la trasmissione anche di uno solo dei codici integra una violazione degli obblighi di cui all’art. 7 D. Lgs. 11/2010.

In conformità a uno specifico precedente del Tribunale di Roma (Trib. Roma ord. 22/10/2020), nella specie è pertanto da ritenere provata la sussistenza di una colpa grave dell’attore.

2)Tribunale Torino 30/11/2020, est. Rende

L’attrice promuove il giudizio nei confronti della Banca e dell’emittente della carta di credito e si lamenta di addebiti illegittimi sulla propria carta di credito.

La domanda è respinta nei confronti della Banca, perché essa è stato solo l’intermediario collocatore, non ha nulla a che vedere con il funzionamento della carta di credito.

La domanda di restituzione è invece accolta nei confronti dell’emittente, considerato:

-che ratione temporis (fatti del 2016) è applicabile il d.lgs. 11/201 (non  ancora la novella di cui al d.lgs. 218/2017), e vengono richiamate le norme di cui all’art. 9 (obblighi di comunicazione dell’utente), 10 (prova di autenticazione ed esecuzione delle operazioni di pagamento), 11 (responsabilità del prestatore di servizi di pagamento per operazioni non autorizzate), 12 (responsabilità del pagatore per l’utilizzo no autorizzato);

-che l’attrice ha dedotto l’assenza di ordini di pagamento da parte sua e ha dimostrato di aver comunicato entro 13 mesi il fatto;

-che la convenuta emittente, essendo rimasta contumace, non ha provato che le operazioni sono state effettuate correttamente, senza anomalie, né il dolo o la colpa grave dell’utente;

-che è irrilevante l’osservazione circa il mancato tempestivo controllo egli estratti conto da parte dell’utente, visto che questo beneficia del termine di 13 mesi per effettuare la comunicazione; oltre tutto si è trattato di una serie di prelievi di piccoli importi, non suscettibili di destare immediatamente l’allarme da parte dell’utente;

-che dunque la responsabilità dell’emittente deriva sia dai principi di diritto  (diligenza connessa al rischio professionale, onere di prova), sia dalle norme di cui al d.lgs. 11/2010.

BIBLIOGRAFIA

-Matteo Muci, “Pagamenti elettronici e cybersecurity – La responsabilità della banca e del cliente”, 28/4/2022, in https://www.treccani.it;

-“Il quadro normativo degli istituti di pagamento e di moneta elettronica alla luce della nuova PSD2”, a cura di www.servizidipagamento.eu;

-“I pagamenti nel commercio elettronico: una mappa per orientarsi”, 15/6/2020, in www.bancaditalia.it;

-Roberto Garavaglia, “PSD2: tutto quello che c’è da sapere su nuovi servizi, interchange fee, tutele per gli utenti”, 13/9/2019, in https://www.agendadigitale.eu;

-Mauro Bellini, “PSD2: cos’è, cosa dice, novità sulla direttiva europea pagamenti digitali”, 13/3/2020, in https://www.pagamentidigitali.it;

-Valentina Filippini, “Sicurezza e rapidità per i pagamenti online: la nuova normativa europea”, 23/9/2016,  in https://www.altalex.com;

-“Obbligo POS: la normativa”, 18/1/2022, in https://www.axerve.com


Allegati



Autore

immagine A3M

Visite, contatti P&D

Nel mese di Marzo 2022, Persona&Danno ha servito oltre 214.000 pagine.

Libri

Convegni

Video & Film