Da Adusbef Lombardia (Avv. M. Costelli). LA TUTELA DEI CONSUMATORI DALLE FRODI NEI PAGAMENTI ELETTRONICI

LA TUTELA DEI CONSUMATORI DALLE FRODI NEI PAGAMENTI ELETTRONICI COME SISTEMA PER L’INCREMENTO DEL COMMERCIO Evoluzione delle normativa sui sistemi di pagamento nel commercio pagamento nel commercio elettronico nel mercato comune europeo •La regolamentazione comunitaria in materia si èsviluppata sin dal 1987. •La prima Relazione (la COM 86 -754 del 12 gennaio 1987) -era denominata "Una prospettiva per l’Europa: le carte elettroniche di pagamento". •Sempre nel 1987, il giorno 8 di dicembre, vede la luce la Raccomandazione della Commissione 87/588/CEErelativa ad un codice europeo di buona condotta in materia di pagamento elettronico (Relazioni fra istituti finanziari, commercianti-prestatori di servizio e consumatori). •L’anno successivo la Commissione redige la Raccomandazione 88/590/CEEdel 17 novembre relativa ai sistemi di pagamento, in particolare al rapporto tra il proprietario della carta e l’emittente della carta. Le raccomandazioni CEE •Quest’ultima raccomandazione èstata aggiornata dalla Raccomandazione della Commissione 97/489/CEdel 30 luglio 1997 relativa alle operazioni mediante strumenti di pagamento elettronici, con particolare riferimento alle relazioni tra gli emittenti ed i titolari di tali strumenti. •Essa porta in allegato la Comunicazione COM (97) 353, denominata"Accrescere la fiducia dei consumatori negli strumenti di pagamento elettronici nel mercato unico". •Le fattispecie di strumenti di pagamento elettronico elencate intale raccomandazione sono in rapporto di genere a specie: l’insieme piùampio èquello degli strumenti di pagamento elettronico; tale insieme ricomprendeil gruppo degli strumenti di pagamento mediante accesso a distanzae quello degli strumenti di moneta elettronica. Con la dichiarata esigenza di prevedere strumenti di pagamento che offrano caratteristiche di sicurezza, efficienza efacilitàd’uso. La prescrizione della CEE: accrescere la fiducia dei consumatori •Il commercio via Internet richiede che il sistema di pagamento elettronico sia sicuro, efficiente e facile da utilizzare. •La Commissione Europea ha chiamato a raccolta tutti gli Stati membri affinchépossano contribuire ad una migliore definizione normativa dei pagamenti elettronici: Accrescere la fiducia deiconsumatori negli strumenti di pagamento elettronici nel mercato unico (COM 97/353). Le indicazioni comunitarie ai legislatori nazionali •In particolare viene chiesto al legislatore nazionale di: •1. elaborare una normativa quadro sulla emissione di "denaro elettronico" in modo di assicurarne la validitàe l’efficacia; •2. emanare linee guida sia per gli emittenti, sia per i titolaridi strumenti di pagamento elettronici sulla trasparenza, responsabilitàe modalitàdi risarcimento; • 3. migliorare i sistemi di sicurezza per evitare l’utilizzazione fraudolenta e la contraffazione degli strumenti di pagamento elettronici; • 4. chiarire l’applicazione delle norme comunitarie sulla concorrenza, in modo di raggiungere l’obiettivo di bilanciare l’interoperabilità, l˜efficienza e un’ampia competizione in questi settori del mercato. Responsabilitàdegli emittenti e meccanismi di risarcimento •In attesa di iniziative nazionali, la Commissione pubblica la Raccomandazione relativa alle operazioni mediante strumenti di pagamento elettronici, con particolare riferimento alle relazioni tra gli emittenti ed i titolari di tali strumenti (97/489) con la quale: •1. vengono stabilite le obbligazioni e le responsabilitàsia degli emittenti che dei titolari degli strumenti di pagamento elettronici; •2. sono individuati meccanismi di risarcimento del danno; •3. sono stabiliti sistemi per assicurare una maggiore trasparenza delle operazioni. La recente normativa sul commercio a distanza •L’utilizzo delle carte di pagamento pone alcune problematiche in relazione alla normativa sul commercio a distanza La normativa di riferimento ècostituita dallaDirettiva 2000/31/CEdel Parlamento europeo e del Consiglio, dell’8 giugno 2000, relativa a taluni aspetti giuridici del commercio elettronico nel mercato interno ("direttiva sul commercio elettronico"). •La direttiva si basa sugli orientamenti contenuti nella comunicazione della Commissione [COM(97) 157def.] sul commercio elettronico avente come obiettivo l’istituzione di un quadro giuridico coerente a livello europeo per il commercio elettronico. •La direttiva èstata recepita nell’ordinamento italiano con il Decreto legislativo 9 aprile 2003, n. 70. •L’approccio seguito mira ad evitare un numero eccessivo di norme, basandosi sulle libertàdel mercato interno, tenendo conto delle realtàcommerciali e garantendo una tutela efficace degli obiettivi diinteresse generale. •La direttiva si basa inoltre sulla volontàdi eliminare le disparitàesistenti nella giurisprudenza degli Stati membri in modo da instaurare una certezza idonea a favorire la fiducia dei consumatori e delle imprese. •La suddetta direttiva riguarda i seguenti settori e attivitàon-line: giornali, banche dati, servizi finanziari, servizi professionali (di avvocati, medici, contabili, agenti immobiliari), servizi ricreativi (ad esempio, video a richiesta), commercializzazione e pubblicitàdirette e servizi d’accesso a Internet. •La direttiva si applica unicamente ai fornitori di servizi che abbiano sede nell’Unione europea. Tuttavia, per non ostacolare il commercio elettronico mondiale, la direttiva presta particolare attenzionead evitare incompatibilitàcon l’evoluzione giuridica in atto in altre parti del mondo. Ulteriori direttive rilevanti •Un’ulteriore normativa che occorre tenere presente nella materia trattata riguarda la Direttiva 1999/93/CEsulla firma elettronica (definita come l’insieme dei dati in forma elettronica allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica). •L’Italia èstata uno dei primi paesi ad emanare una normativa sulla firma elettronica. Successivamente la materia èstata disciplinata da una direttiva dell’Unione Europea, e quindi il nostro paeseha emanato il Decreto legislativo 23 gennaio 2002, n. 10 intitolato per l’appunto: Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche. Pagamenti elettronici e trattamento dei dati •Sempre in ambito di legislazione comunitaria, nell’argomento trattato rileva anche la Direttiva 2002/58/CE:del 12 luglio 2002 -Parlamento Europeo e Consiglio -relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privatae alle oni elettroniche) (GUCE L 201 del 31.7.2002). •Tale normativa ha una sua particolare importanza anche nell’ambito della tutela della privacy e dei sistemi di sicurezza. Mezzi di pagamento e privacy •Sin dalla Raccomandazione R(90)19 del Comitato dei Ministri del Consiglio d’Europa, adottata dal Comitato dei Ministri il 13 settembre 1990 si definivano i“mezzi di pagamento”come l’insieme degli strumenti di pagamento e supporti degli ordini di pagamento, in particolare venivano esaminati gli assegni, gli ordini di pagamento, le carte di credito, inviati o no con un messaggio elettronico. •Giàda allora la raccomandazione prevedeva la tutela della privacy degli utenti nell’ambito dei pagamenti elettronici. •A tal fine èprescritto che gli organismi che forniscono i mezzi di pagamento, i beneficiari e gli imprenditori delle reti di comunicazione sono obbligati ad adottare le misure necessarie per assicurare la riservatezza di tali dati a carattere personale. •Inoltre, ogni operatore, deve allestire appropriate misure organizzative e tecniche al fine di assicurare la sicurezza, l’integrita’ e la riservatezza dei dati a carattere personale contro ogni accesso, utilizzo, comunicazione o sottoscrizione non autorizzata. •La tutela della privacy nelle transazioni elettroniche e nelle card èun gravoso problema che -in parte –non ha ancora trovato idonea soluzione. •E a questo proposito, si segnala una recente pronuncia del Garante della protezione dei dati personali, che èintervenuto in materia di carte fidaty. La normativa italiana per la prevenzione degli acquisti fraudolenti •Le frodi perpetrate sulle carte di credito sono un fenomeno preoccupante e in continuo aumento, non solo in Italia, ma in tutto il mondo. •Questo tipo di crimine consiste nel furto dei dettagli relativi alla carta di credito ovvero il nome del titolare, ilnumero di carta, la data di scadenzae il codice CVV. Tali dati possono essere acquisiti dal truffatore attraverso svariate tecniche tra cui : •-hacking: violazione dei database di chi vende servizi o prodotti via Internet, per accedere ai numeri delle carte di credito immagazzinati •-phishing: acquisizione dei dati tramite siti web o emailcostruiti ad hoc •-boxing: acquisizione dei dati tramite sottrazione dell’estratto conto inviato al titolare o della carta stessa •-trashing: i malviventi vanno alla caccia degli scontrini delle carte di credito che talvolta i possessori gettano via dopo un acquisto. La legge 17.8.2005 n.166 •I dati vengono successivamente utilizzati per effettuare operazioni attraverso canali remoti, dove non ènecessario presentare fisicamente la carta per concludere l’acquisto (internet, ordini telefonici o postali). •Il legislatore italiano, si èimposto l’esigenza di operare con strumenti efficaci sul fronte della prevenzione al fine di limitare l’entitàe la pericolositàdel fenomeno. E da queste esigenze ènata la Legge 17.8.2005 n.166intitolata “Istituzione di un sistema di prevenzione delle frodi sulle carte di pagamento”. •La legge prevede l’istituzione presso il Ministero dell’economiae della finanza di un sistema centrale di prevenzione delle frodi onlinesulle carte di pagamento. Il data base-antifrode •Lo scopo ècreare un immenso database, gestito dall’Ufficio centrale antifrode, al quale saranno ricondotte tutte le informazioni e i dati identificativi riguardanti tutte le anomalie d’uso: le transazioni non riconosciute dai titolari di carte di credito, i punti vendita e gli esercizi commerciali a cui èstata revocata la convenzione per motivi di sicurezza, gli sportelli automatici manomessi, le operazioni che configurano un rischio di frode e le aziende o i punti vendita coinvolti. •La banca dati saràin contatto con l’archivio della Banca d’Italia, in un ottica di scambio di informazioni a tutela del consumatore; anche le societàsegnalanti potranno accedere in qualsiasi momento al nuovo strumento informatizzato per raccogliere informazioni o fare accertamenti. •Nel momento di operazioni di pagamento con strumenti elettronici, quindi, il gestore della transazione entreràin contatto con il database per stabilire se la carta è funzionante, se il venditore ha avuto in passato segnalazioni e via di seguito nei controlli. IL CODICE DEL CONSUMO •Merita poi si essere segnalato che la recente promulgazione del c.d. Codice del Consumo, ha previsto all’art. 56 che il consumatore debba essere avvisato della possibilitàdi pagare con carta laddove si tratti della consegna di beni o prestazione di servizi e per ogni altra forma di esecuzione del contratto. •Nella norma si prevede espressamente che l’istituto di emissione della carta di pagamento deve riaccreditare al consumatore i pagamenti dei quali questi dimostri l’eccedenza rispetto al prezzo pattuito ovvero l’effettuazione mediante l’uso fraudolento della propria carta di pagamento da parte del professionista o del terzo, fatta salva l’applicazione della Legge 5.7.1991 n.197Provvedimenti urgenti per limitare l’uso del contante e dei titoli al portatore nelle transazioni e prevenire l’utilizzazione del sistema finanziario a scopo di riciclaggio. •L’istituto di emissione della carta di pagamento ha diritto di addebitare al professionista le somme riaccreditate al consumatore. La fiducia dei consumatori italiani negli strumenti di pagamento elettronici •In considerazione dell’alto numero di frodi ancora esistente, la fiducia dei consumatori nei sistemi di pagamento elettronici èlegata da un lato alla affidabilitàdegli strumenti tecnici utilizzati nelle transazioni, ma soprattutto alla concretapossibilitàdi recuperare il denaro laddove vi siano state transazioni fraudolente. •Il consumatore, pertanto, in quest’ottica non pone distinzioni tra le transazioni effettuate nel privato da quelle con le pubbliche amministrazioni. •Per creare un rapporto di fiducia che renda profiquol’utilizzo dei pagamenti elettronici, il consumatore va quindi informato dei suoi dirittie vanno create quelle condizioni per dirimere rapidamente e con soddisfazione quei contenziosi che si creano laddove emergano indebiti utilizzi delle card. •Inoltre, alcune particolari categorie di consumatori, come i giovani, gli anziani o i disabili, meritano di essere maggiormente tutelati di fronte alle frodi nei pagamenti elettronici. E una delle sfide per gli anni a venire consisteràproprio nell’eliminare i divari che ancora impediscono a questiutilizzatori di sfruttare pienamente e con fiducia le nuove tecnologie. Garanzie del fornitore del servizio e della carta di pagamento •Ancora tantissimi consumatori non sanno che quest’anno èentrato in vigore in tutto il mondo il cosiddetto “liabilityshift”(definita come il ribaltamento della responsabilitàdi autenticazione del consumatore dall’acquirerall’issuer), ovvero un meccanismo che prevede che le conseguenze delle frodi dovute al non utilizzo dei chip basati sugli standard Emvvengano fatte ricadere sulle banche e non sui circuiti che gestiscono le carte di credito. •Per le nuove emissioni di carte, installazioni Pose Atmèscattato, infatti, l’obbligo di utilizzo dell’ EMV per i circuiti domestici Bancomat e PagoBancomatdal 01/01/2006. Tali misure fanno parte di una articolata normativa che prevede anche l’applicazione di penali a carico di chi non rispetta i vincoli. Inquesto senso èanche pressante la spinta dei circuiti internazionali. Visae MasterCardche hanno imposto contrattualmente la liabilityshiftsull’operatore che non ha ancora effettuato l’adeguamento al microcircuitoe a tutte le procedure correlate. Prossimi scenari nella tutela dei consumatori nell’utilizzo delle carte di pagamento –anche con riferimento ai paesi extraeuropei •La vicenda legata al furto dei dati di ben quaranta milioni di carte di credito ( legata al non aggiornamento dei sistemi), in quello che ormai in molti considerano il venerdì17 di MasterCard, èrecentemente approdata ai Tribunale americani. •Questo processo dovrebbe avere insegnato che la mancanza o il ritardo nell’adeguamento tecnico ha un costo che prima o poi i furbi sono chiamati comunque a pagare, anche in termini di immagine. •Inoltre, a livello internazionale, si stanno facendo strada sensibilitàsempre piùampie sul dovere di trasparenza e informazione sacramentate in legge a tutela dei consumatori. E tra queste merita di essere segnalato il SecurityBreachInformationAct. •Questa la legge, appena entrata in vigore in California, impone alle aziende che operano o abbiano clienti nello Stato di rendere pubblico a questi ultimi eventuali violazioni informatiche subite. • Si tratta di un giro di vite contro i furti di identità: i dati della Federal TradeCommissionparlano di 162.000 sottrazioni di dati personali a carico di aziende, avvenute sul territorio statunitense nel 2002, con un incremento che sfiora il 100% rispetto all’anno precedente. •I dati illecitamente sottratti servono per compiere frodi con carta di credito nel 42% dei casi. La legge californiana definisce «dati personali»la combinazione del nome, del cognome e di un dato a scelta tra il numero della carta d’identità, del conto corrente (e dei relativi codici di accesso), della patente di guida, della previdenza sociale, o della carta di credito. Se l’azienda che si vede sottrarre dati personali per via informatica non mette al corrente del fatto i propri clienti, può essere addirittura perseguita civilmente. I limiti di rischio accettabili per i consumatori •Le conseguenze del SecurityBreachInformationActsono evidenti: falle di sicurezza quale quella accaduta sempre di recente al servizio Passportdi Microsoft (che ha portato alla momentanea sospensione del servizio e a una patchrilasciata in tutta fretta) possono portare conseguenze legali alle aziende del settore con pesanti ripercussioni sul mercato. •Per evitare che accadano queste vicende, occorre una attenta opera di prevenzione, ma anche una attenzione delle Associazioni dei Consumatori che sono impegnate nella tutela dei consumatori bancari e finanziari, quali ADUSBEF in Italia. •I limiti di rischio accettabili per il consumatore vanno pertanto verificati alla luce delle innovazioni tecnologiche che apportano un reale vantaggio per il consumatore stesso in termini di sicurezza e correttezza di comportamento degli operatori professionali che producono e gestiscono i sistemi di pagamento elettronici. E soprattutto che non introducono ulteriori costi nel servizio, magari mascherati da altre voci nei costi bancari. Ruolo delle Associazioni dei Consumatori •Il ruolo di assistenza e garanzia delle Associazioni dei Consumatori ha assunto negli ultimi anni una importanza sempre maggiore in tutti i settori del mercato. •Le Associazioni dei Consumatori si pongono sempre di più, spesso affiancando anche le istituzioni, in un’ottica di vigilanza sulla correttezza dei comportamenti dei soggetti professionali e dell’informazione, per maggior garanzia dei soggetti deboli e quindi anche per il buon andamento del mercato in generale. •Le Associazioni dei Consumatori sono chiamate sempre piùspesso a comporre tavoli di conciliazione con aziende bancarie e finanziarie per tentare di risolvere bonariamente i contenziosi attraverso regole condivise. •Inoltre partecipano a vari organismi pubblici esprimendo il loroparere sui temi di interesse dei consumatori. •E nello specifico nel settore dei pagamenti elettronici e nei suoi vari aspetti problematici, le Associazioni dei Consumatori possono –attraverso i loro canali e la loro mission-svolgere un ruolo attivo nella educazione dei consumatori, contribuendo alla prevenzione delle frodi,fornendo anche maggior voce alle denunce degli abusinell’utilizzo delle card. •Si ringraziano, pertanto, gli organizzatori di questo Convegno che ha permesso attraverso la partecipazione di soggetti di alto livello tecnico, anche di dar voce ad una associazione come ADUSBEF che da oltre vent’anni èimpegnata a tutti i livelli nella tutela dei consumatori bancari i finanziari, e che èmolto interessata agli sviluppi degli scenari dei sistemi di pagamento, come una nuova frontiera di progresso e d sviluppo nel commercio.

26/02/2006

Documento n.5759