Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

pagamenti

PSD2, le nuove responsabilità delle banche se l’utente perde soldi

Tutto ciò che c’è da sapere su com’è cambiato, con la PSD2 in vigore, il complesso quadro della responsabilità giuridica in caso di malfunzionamento, frode informatica e clonazione o colpa grave dell’utente

15 Gen 2018

Maria Cristina Daga

avvocato, Senior Legal Consultant P4I


La PSD2 appena pubblicata in gazzetta ufficiale cambia le responsabilità delle banche (ovvero dei prestatori di servizio di pagamento) verso gli utenti (decreto 15 dicembre 2017, n. 218 di recepimento della direttiva UE 2015/2366 relativa ai servizi di pagamento nel mercato interno).

Vediamo che succede adesso.

LEGGI TUTTO SULLA PSD2: NUOVI SERVIZI, TUTELE, INTERCHANGE FEE

Le nuove responsabilità delle banche

L’art. 72 della PSD2 prevede che qualora l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che l’operazione di pagamento non è stata correttamente eseguita, spetti al prestatore di servizi di pagamento (nel prosieguo PSP”) fornire la prova del fatto che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata, e che non ha subito le conseguenze di guasti tecnici o altri inconvenienti del servizio fornito dal prestatore di servizi di pagamento.

Se l’operazione di pagamento è disposta mediante un prestatore di servizi di disposizione di ordine di pagamento (nel prosieguo PISP”), spetta a quest’ultimo dimostrare che, nell’ambito delle sue competenze, l’operazione di pagamento è stata autenticata, correttamente registrata che non ha subito le conseguenze di guasti tecnici o altri inconvenienti legati al servizio di pagamento del quale è incaricato. In altre parole, nei casi in cui l’operazione di pagamento sia disposta mediante un PIPS, l’onere della prova dell’elemento oggettivo ricade sullo stesso.

Allo stesso modo grava sul PSP e sul PISP l’onere di dimostrare l’elemento soggettivo, ovvero la frode o la negligenza grave da parte dell’utente di servizi di pagamento.

Cosa accade, tuttavia, se l’individuazione della responsabilità in capo al PISP non risulta immediata o agevole nell’ambito della ripartizione dei rispettivi ruoli e competenze assolte dal PSP e dal PISP nell’erogazione di un’operazione di pagamento contestata dal cliente?

La prima riflessione riguarda la lettura dell’art. 72 della PSD2 ovvero art. 10 D. Lgs. 11/2010 in combinato disposto con il 5 comma dell’art. 66 della PSD2 recepito con introduzione dell’art. 5 ter D. Lgs. 11/2010 secondo il quale, nell’ambito dei servizi on libe “La prestazione di servizi di disposizione di ordine di pagamento non è subordinata all’esistenza di un rapporto contrattuale a tale scopo tra i prestatori di servizi di disposizione di ordine di pagamento e i prestatori di servizi di pagamento di radicamento del conto”.

L’assenza di una regolamentazione contrattuale potrebbe incidere, di fatto, sulle modalità (e/o possibili difficoltà!) di individuare il soggetto che tra il PSP e il PISP è tenuto a farsi carico dell’onere probatorio nei confronti del cliente e, conseguentemente non essendo definite limitazioni o manleve contrattuali, si dovrà procedere all’istruttoria della controversia per valutarne le azioni da intraprendere. Ciò costituirà un onere di gestione e un costo rilevante per tutti gli attori coinvolti.

Tutto ciò, considerando inoltre che, il considerando 71 e l’art. 73 della PDS2 recepito modificando l’art. 11 D. Lgs. 11/2010, stabilisce ed introduce un principio importante e di impatto rilevante nell’ambito delle responsabilità degli intermediari, ovvero nel caso di un’operazione di pagamento non autorizzata, il PSP dovrebbe rimborsare immediatamente l’importo dell’operazione al pagatore (e in ogni caso al più tardi entro la fine della giornata operativa successiva a quella in cui il cliente prede atto dell’operazione di pagamento).

Come avvengono i rimborsi e le eccezioni

Tuttavia, se sussiste il forte sospetto di un’operazione non autorizzata derivante da un comportamento fraudolento dell’utente dei servizi di pagamento e se il sospetto si fonda su ragioni obiettive comunicate all’autorità nazionale pertinente, il prestatore di servizi di pagamento dovrebbe essere in grado di svolgere un’indagine in tempi ragionevoli (in ogni caso, entro la giornata operativa successiva) prima di rimborsare il pagatore e comunicare per iscritto le motivazioni del rifiuto a rimborsare la perdita dell’utente.

Al fine di tutelare il pagatore da eventuali svantaggi, la data valuta dell’accredito del rimborso non dovrebbe essere successiva alla data di addebito dell’importo.

Se l’operazione di pagamento è disposta mediante un PISP, il prestatore di servizi di pagamento di radicamento del conto rimborsa immediatamente, e in ogni caso entro la fine della giornata operativa successiva, l’importo dell’operazione di pagamento non autorizzata e, se del caso, riporta il conto di pagamento addebitato nello stato in cui si sarebbe trovato se l’operazione di pagamento non autorizzata non avesse avuto luogo.

In buona sostanza a scapito dei PSP, nel caso di operazione non autorizzata disposta dal PISP, il PSP provvederà a rimborsare immediatamente (o entro la fine della giornata operativa successiva) l’importo dell’operazione non autorizzata all’utente, fermo l’onere probatorio in capo al PISP. Nulla è previsto sulla possibilità per il PISP di rigettare la richiesta dell’utente al ricorrere di sospetti di frodi, che in ogni caso dovrà essere effettuata mediante il PSP, nelle modalità previste al comma che precede.

Un altro punto di attenzione merita la seguente previsione di cui all’art. 11, comma 2bis “Se il prestatore di servizi di disposizione di ordine di pagamento è responsabile dell’operazione di pagamento non autorizzata, risarcisce immediatamente e, in ogni caso, entro la fine della giornata operativa successiva senza che sia necessaria la costituzione in mora il prestatore di servizi di pagamento di radicamento del conto, su richiesta di quest’ultimo, anche per le perdite subite. In entrambi i casi è fatta salva la facoltà del prestatore di servizi di disposizione di ordine di pagamento di dimostrare, in conformità a quanto disposto dall’articolo 10, comma 1-bis, che, nell’ambito delle sue competenze, l’operazione di pagamento è stata autenticata, correttamente registrata e non ha subito le conseguenze di guasti tecnici o altri inconvenienti relativi al servizio di pagamento da questo prestato, con conseguente diritto in questi casi alla restituzione delle somme da quest’ultimo versate al prestatore di servizi di pagamento di radica- mento del conto ai sensi del presente comma”.

Ciò detto, gli intermediari dovranno implementare un sistema di procedure ben strutturato che permetta di riscontrare le richieste dei clienti nei termini e nelle modalità indicate dalla nuova normativa.

Per concludere, il complesso quadro della responsabilità giuridica in caso di malfunzionamento, frode informatica e clonazione, colpa grave dell’utente si riassume nel seguente modo:

  • Il PSP e il PISP (per le proprie competenze) hanno l’onere probatorio in caso di operazioni di pagamento contestate dal cliente in quanto ritenute non autorizzate;
  • Il rapporto tra il PSP e il PISP non è subordinato ad una disciplina contrattuale;
  • Il PSP rimborsa immediatamente l’utente l’importo dell’operazione disconosciuta, salvo fondati sospetti di frode comunicati tempestivamente per iscritto all’utente;
  • Il PSP rimborsa immediatamente l’utente anche nel caso in cui l’operazione disconosciuta è stata effettuata per mezzo di un PISP;
  • Il PISP risarcisce immediatamente il PSP delle perdite subite, importi pagati in conseguenza del rimborso all’utente, incluso dell’importo dell’operazione rimborsata.

Inoltre è stata ridotta la franchigia a carico dell’utente a seguito di operazioni di pagamento non autorizzate ed è stabilito che l’utente debba rispondere solo per un importo molto limitato ovvero € 50,00 in luogo di € 150,00 previsti nella PSD1, a meno che l’intermediario la frode o grave negligenza dell’utente stesso. In tale contesto, un importo di € 50,00 appare adeguato al fine di garantire una protezione armonizzata e di livello elevato degli utenti nell’Unione.

Negli ultimi anni, anche l’Arbitro Bancario Finanziario, si è adoperato per modificare le disposizioni del proprio impianto normativo interno. In particolare, sono stati attivati 4 nuovi collegi a Torino, Bologna, Bari e Palermo che si affiancano a quelli già esistenti Milano, Roma, Napoli nonché il collegio di coordinamento. Ciò in ragione dell’incremento nei volumi dell’attività che l’ABF è chiamato a svolgere nonché delle future stime dei volumi. Ad oggi numerose sono le decisioni emesse dall’ABF, tuttavia dall’ultima relazione annuale (luglio 2017), con riferimento alle materie più frequentemente oggetto di controversia, i ricorsi attinenti a carte di credito, bancomat, carte di debito, depositi a risparmio e SIC sono diminuiti nell’anno 2016; sono stabili invece quelli relativi ai conti correnti, mutui e credito al consumo. Si consideri inoltre che, il numero di ricorsi sulle carte di pagamento (nell’85% per utilizzo fraudolento) è modesto rispetto al numero di carte attive sul mercato. Su questo dato sarebbe interessante capire quali sono i criteri individuati per lo svolgimento dell’analisi e le ragioni che giustificano tale stima. Negli ultimi anni si registrano invece diverse controversie in ordine ai fenomeni di man in the middle e man in the browser nonché di pishing.

 

Prossimi passi sulla PSD2

Nonostante il termine di recepimento a livello nazionale permane l’assoluta incertezza e frammentarietà del quadro regolatorio destinato a disciplinare un ambito fondamentale nella vita privata dei cittadini, quale è l’accesso e l’utilizzo dei servizi di pagamento. Si consideri infatti che la PSD2 ha investito l’EBA o ABE (European Banking Autority – Autorità Bancaria Europea), istituita dal regolamento (UE) n. 1093/2010 del Parlamento europeo e del Consiglio, del compito di emanare pareri, raccomandazioni e linee guida volte ad orientare i prestatori dei servizi di pagamento all’applicazione della normativa. Il lavoro dell’EBA è rappresentato da alcuni documenti ancora in fase di consultazione e da alcuni documenti finali che prevedono standard regolatori su tematiche quali, a titolo esemplificativo, la sicurezza, le norme tecniche, la gestione degli incidenti, il cloud, pur non essendo ben definito a livello europeo e nazionale il quadro della responsabilità giuridica di tutti gli attori coinvolti nei sistemi di pagamento.

Rispetto a tale disegno regolatorio c’è ancora tanto lavoro per i nostri legislatori.

Articolo 1 di 4