Per la prima volta, con una pronuncia recente, la Corte di Giustizia europea si è espressa sull’interpretazione di certe normative sui servizi di pagamento nel mercato interno, stabilendo che i prestatori vanno considerati responsabili delle misure di sicurezza. Una presa di posizione di vitale importanza, che ha risvolti sul diritto degli utenti relativamente al rimborso in caso di frodi con le carte.
La vicenda in questione è di particolare interesse poiché ci coinvolge più o meno tutti. Difatti, riguarda il ricorso alle carte di pagamento contactless, ovverosia quelle provviste di tecnologia NFC (near-field communication), mediante cui chi è in possesso fisico della carta ha modo di effettuare un pagamento, semplicemente avvicinando la stessa ai POS, cioè l’apposito lettore, senza dover digitare il PIN. I produttori hanno così notevolmente semplificato le procedure di transazione, almeno per quanto concerne le operazioni fino a 25 euro e 50 euro dal prossimo anni.
Senza scendere troppo nei particolari della sentenza in oggetto, è interessante puntualizzare come essa prenda piede da un ricorso avanzato da un’associazione di consumatori austriaca verso determinate clausole contrattuali, indicate nei moduli di un istituto creditizio, con cui esso escludeva ogni tipo di responsabilità in caso di ricorso alla carta per il pagamento di ridotti importi e, pertanto, senza previo inserimento del codice di identificazione personale PIN.
La banca se ne lavava le mani, limitandosi a comunicare, senza avere in mano delle prove, che per tali usi sarebbe impossibile procedere a un blocco o prevenire il verificarsi. Quando l’interesse ricade sulla disciplina a livello giuridico e normativo è fondamentale comprendere in pieno la questione, ovvero con le opportune premesse introduttive. Per capire la situazione e il significato del verdetto emanato dai giudici di legittimità è, pertanto, essenziale procedere ad una ricostruzione della disciplina dei suddetti dispositivi e al regime di responsabilità stabilito nella PSD2, per poi andare a illustrare in che modo essi si pongono nell’ambito delle carte contactless.
Strumenti di pagamento e direttiva PSD2
La direttiva n. 2015/2366 dell’Unione Europea, che ha preso il posto della precedente PSD1, ha introdotto parecchie novità nel sistema dei pagamenti europeo, tra:
- l’introduzione di nuove tipologie di operatori (aggregatori di informazioni, prestatori di servizi di pagamento, emittenti di carte di credito);
- il permesso di ricorrere agli strumenti in un insieme più vasto di scenari.
In aggiunta, sono innalzati i requisiti di sicurezza e definite le responsabilità dei molteplici attori.
Al proprio interno, la disciplina annovera alcune deroghe, così da semplificare l’effettuazione dei cosiddetti micropagamenti, vale a dire dei pagamenti di importo pari o inferiore a 30 euro per singola operazione o con limiti di spesa complessivi di 150 euro. In termini di note informative, le autorità hanno disposto delle misure volte a facilitare l’onere da parte del prestatore di servizi verso l’utente. In aggiunta a quanto concerne gli obblighi di notifica dello smarrimento della carta, con il suo conseguente blocco, da parte dell’utente, e più esattamente, gli oneri probatori che gravano su colui che mette a disposizione il servizio laddove – in caso di contestazioni da parte del titolare – intenda porre lo stesso a carico i corrispettivi delle transazioni della carta.
La direttiva PSD2 prevede, infatti, in via ordinaria che, nel caso in cui un utente neghi di aver autorizzato un pagamento, graverà sul prestatori di servizi, che intenda addebitare al medesimo utente le transazioni, provare che l’operazione è stata autenticata, registrata e contabilizzata correttamente. Il quadro normativo sottolinea poi che, ai fini di tale prova, dimostrare l’utilizzo di uno strumento registrato non è sufficiente. E, dunque, l’aver usato la carta non basta di per sé, bensì occorre che il prestatore attesti la negligenza o la frode in concreto. Sul fruitore della carta gravano degli oneri di comunicazione di furto, smarrimento, appropriazione indebita e utilizzo non consentito della carta in oggetto. Peraltro, in caso di notifica o presa d’atto dell’operazione illegittima, il prestatore deve provvedere a rimborsare subito l’utente, comunque non oltre la fine della successiva giornata lavorativa.
Altresì la direttiva prevede la possibilità di convenire da contratto a un obbligo per l’utente di sopportare comunque le perdite, fino al massimo di 50 euro, dipese da transazioni non autorizzate compiute con strumenti rubati o smarriti, purché l’utente medesimo non abbia potuto notare, anzitempo, il manifestarsi di tale problematica, prima cioè dell’esecuzione del pagamento, oppure laddove siano derivanti da atti od omissioni oggetti appartenenti alla struttura del prestatore dei servizi (o suoi outourcer).
Come ottimizzare la gestione delle spese aziendali centralizzate
La già citata PSD2 ha poi dato largo al Regolamento n. 2018/389 dell’Unione Europea, il c.d. Regolamento SCA, che ha fornito un quadro completo a cui i prestatori dei servizi devono sottostare per l’autenticazione degli utenti che si avvalgono degli strumenti di pagamento elettronico. Secondo l’articolo 11, in caso di “operazione di pagamento elettronico senza contatto” vi è un esonero ad applicare sistemi di forte autentificazione a patto che:
- non siano state effettuate, in nessun caso, più di cinque operazioni contactless dalla data dell’ultima autentificazione forte (quindi, in caso di carte contactless, dalla data dell’ultimo inserimento del PIN);
- dalla data dell’ultima autentificazione forte non siano stato poste in atto operazioni senza contatto per un importo totale superiore a 150 euro;
- l’importo della singola operazione non sia superiore a 50 euro.
La disciplina delle carte contactless nel contresto della PSD2
Al fine di applicare le disposizioni in tema di micropagamenti statuite dalla PSD2 alla Corte di Giustizia Europea si sono poste in evidenza due questioni preliminari, relative alla regolamentazione delle carte con funzioni NFC. La prima era inerente alla loro riconduzione o meno per quanto riguarda la definizione degli strumenti di pagamento, di cui all’articolo 4, primo comma, n. 14, in merito al quale sono contemplati i dispositivi personalizzati e/o l’insieme di passaggi procedurali, concordati per disporre un ordine di pagamento, tra il prestatore e l’utente di servizi.
Richiamando una precedente sentenza giurisprudenziale della stessa Corte Europea (9 aprile 2014, del caso C-616/11), nel provvedimento analizzato si puntualizza che il ricorso alla funzione NFC (near-field-communication) di una carta multifunzione connessa ad un individuale conto corrente bancario non è riconducibile all’uso di un dispositivo personalizzato, perché ciò non dà la possibilità all’istituto di credito di accertare che l’ordine di pagamento venga stabilito dal soggetto abilitato a tale scopo, diversamente dal caso in cui, per autorizzare l’operazione, sia utilizzato un PIN.
Se la funzione NFC esclude che si possa parlare di dispositivi ad hoc, la stessa, tuttavia, rientra ugualmente nella definizione sopra illustrata degli strumenti di pagamento, in quanto consente di far partire un ordine di pagamento, mediante un iter non personalizzato che viene concordato fra utente e prestatore. In buona pratica, la Corte Europea effettua una distinzione tra le funzionalità della carta:
- nell’ipotesi di pagamenti previa forte autenticazione (dunque con uso del PIN) si adotta la prima parte della definizione dello strumento di pagamento, approcciandosi alla carta come un dispositivo personalizzato;
- nell’ipotesi di ricorso alla funzione NFC, che non richiede invece l’inserimento di un elemento di autenticazione, essendo il pagamento ricollegato al puro possesso della carta, consiste in procedure non personalizzate tese comunque a disporre degli ordini di pagamento, che prestatore e utilizzatore concordano in merito a modalità e importi.
Il secondo nodo da sciogliere, di particolare rilievo per stabilire quale disciplina sia possibile da applicare, era riferita all’opportunità o meno di inquadrare il ricorso a una carta contacless nel contesto dell’anonimo impiego degli strumenti di pagamento. Dalle direttive in merito dipende infatti l’applicazione o meno, in favore del prestatore di servizi, delle deroghe stabilite dalla direttiva PSD2, ed in particolare dell’eventualità di escludere, convenzionalmente, l’onere, a carico dell’istituto di credito, di testimoniare l’autenticazione e svolgimento delle operazioni di pagamento, quella di prevedere un esonero di responsabilità per operazioni non autorizzate e, infine, indicare che l’utilizzatore sopporti comunque le perdite, fino alla soglia di 50 euro, derivanti dall’appropriazione indebita, dal furto o dalla perdita dello strumento di pagamento.
In tal proposito, occorre prendere in considerazione le concrete modalità mediante cui si effettuano i pagamenti contactless, vale a dire privi di autenticazione, tramite il ricorso a personali credenziali di sicurezza, ma con la semplice detenzione della carta che viene fatta passare sui device la Corte Europea chiarisce che chiunque abbia accesso a detta carta abbia modo di effettuare con tali modalità dei pagamenti, cioè pure senza il consenso del titolare del conto, in caso di furto, appropriazione indebita o smarrimento della carta. Tuttavia, il possesso non è inquadrabile come un “permesso” accordato dal titolare al fruitore della carta, ragion per cui le ipotesi di pagamento attraverso la funzionalità NFC devono costituire un utilizzo anonimo dello strumento di pagamento, con conseguente opportunità di applicare le deroghe sopracitate, mediante lo strumento contrattuale.
SCA payments
Il nodo più spinoso a capo della Corte Europea riguarda il regime di responsabilità applicabile al pagamento contacless. Il pronunciamento delle autorità legislative lascia, in effetti, piuttosto spiazzati e pure un po’ confusi, nel senso che contraddice, almeno in parte, le risultanza dell’analisi di cui abbiamo parlato in precedenza. Si fa fatica a cogliere appieno il legame tra l’argomentazione e ciò che è stato deciso.
Se, infatti, la direttiva impartita inerente all’applicabilità delle deroghe sopra enunciate in caso di strumenti di pagamento anonimo – e preso atto degli importi inferiori di spesa che essi avallano – si traduce nel bisogno di promuovere il ricorso a strumenti immediati e rapidi, nonché di evitare al prestatore di inoltrare una prova particolarmente complicata da avanzare, in assenza di strumenti di autenticazione circa l’imputabilità effettiva al titolare della carta del pagamento, non si può fare a meno di evidenziare come il pronunciamento dei giudici europei, con riguardo, nel caso concreto, all’applicabilità delle deroghe, il sollecito spinga esattamente in senso contrario.
L’articolo numero 63, paragrafo 1, lettera a) della PSD2, infatti, prevede che il prestatore abbia la facoltà di usufruire delle deroghe alla disposizione della direttiva nel momento in cui non ne possa essere impedito l’ulteriore utilizzo oppure non sia consentito il blocco dello strumento di pagamento. In particolar modo, ciò vale per la deroga inerente alla prova, che il prestatore ha il compito di sottoporre circa il concreto utilizzo del dispositivo, ritenendo pure l’assenza del regime di notifica previsto in caso di micropagamenti.
Nel caso posto all’attenzione dell’istituto di credito, questi aveva inteso trarre godimento della suddetta deroga, puntualizzando nel contratto come, una volta attivate le funzionalità NFC, non sarebbe stato possibile bloccare tale funzionalità o impedirne l’utilizzo successivo. Interpretando restrittivamente il potere di deroga, la Corte Europea ha ritenuto non sufficiente l’inserimento di una clausola contrattuale in tal senso, poiché, a suo avviso, l’impossibilità di procedere, per ragioni di carattere tecnico, al blocco della funzionalità contactless deve essere invece soggetto di prova da parte del prestatore dei servizi di pagamento.
Ciò poiché all’istituto di credito erogatore della carta compete la responsabilità di adottare le giuste misure di sicurezza, le quali dovrebbero essere definite in proporzione ai rischi associati alle modalità di pagamento. Da questo punto di vista, una mera dichiarazione di impossibilità risulta, insomma, non sufficiente a comportare un ribaltamento dell’onere probatorio. Al contrario, il prestatore che intende avvalersi della deroga ha il compito di fornire adeguate argomentazioni tecniche e di dimostrare che siffatta impossibilità sia concreta, alla luce dello stato oggettivo della tecnologia.
Conclusioni
Anche in considerazione dell’assenza ad oggi delle normative tecniche che avrebbero dovuto delineare i contorni circa il permesso di esonerare l’applicazione dei requisiti di sicurezza – in linea con quanto sancito dall’art. 98 della PSD 2, e nonostante il trattamento moderato nella direttiva per ciò che attiene all’uso degli strumenti in caso di micropagamenti – non sarà possibile ai prestatori di pagamento e alle banche sottrarsi al rimborso per operazioni effettuate mediante carte contactless, inserendo semplicemente apposite deroghe contrattuali, fondate sull’impossibilità di procedere per le stesse al blocco delle funzionalità NFC, o dei successivi pagamenti, ma avranno il bisogno di sottoporre, laddove intendano beneficiare della suddetta deroga, prova concreta, allo stato attuale della tecnica, dell’impossibilità di procedere in tal senso.
