Il mondo dei pagamenti digitali cambia rapidamente, e purtroppo anche le tecniche utilizzate dai truffatori evolvono con la stessa velocità. Con la PSD2, l’introduzione dell’Autenticazione Forte del Cliente (SCA) aveva contribuito a ridurre alcune tipologie di frodi.
Tuttavia, le truffe più sofisticate – phishing, smishing, vishing e, soprattutto, le cosiddette “APP Fraud” (frode su pagamento autorizzato) – hanno continuato a colpire i consumatori.
In risposta a queste criticità, l’Unione Europea ha proposto un nuovo pacchetto normativo: la PSD3 (Terza Direttiva sui Servizi di
Pagamento) e il PSR (Regolamento sui Servizi di Pagamento), sul quale il Parlamento e il Consiglio UE hanno raggiunto un accordo politico.
L’obiettivo è chiaro: rafforzare la protezione del consumatore e riequilibrare la responsabilità degli istituti di pagamento nelle frodi informatiche.
Dove la PSD2 non bastava: il nodo delle frodi autorizzate (APP Fraud)
Il limite principale della PSD2 risiede nella sua struttura: quando la vittima viene indotta dal truffatore a eseguire personalmente il pagamento (spesso attraverso telefonate o messaggi in cui l’aggressore si fingeva un operatore della banca), l’operazione risulta “autorizzata”.
La banca, quindi, può sostenere di non essere responsabile, poiché la SCA è stata regolarmente utilizzata.
La Commissione UE ha riconosciuto apertamente il problema, affermando che la distinzione tra operazioni autorizzate e non autorizzate è diventata sempre più complessa, soprattutto quando la SCA viene carpita mediante manipolazione psicologica.
Le nuove norme PSD3/PSR intervengono proprio su questo punto, ampliando il perimetro delle responsabilità e introducendo strumenti preventivi obbligatori per gli istituti di pagamento (PSP).
Le nuove tutele per i consumatori: cosa cambia con PSD3 e PSR
1) Verifica obbligatoria del beneficiario (VOP- Verification of Payee)
Una novità di grande rilievo è la verifica obbligatoria della corrispondenza tra il nome del beneficiario e l’IBAN fornito dal pagatore.
Con PSD2 questa verifica non era sempre prevista, e il bonifico veniva eseguito basandosi esclusivamente sull’IBAN.
Con il PSR, invece, il PSP deve controllare che il nome indicato dal cliente corrisponda all’intestatario del conto.
Se emerge una discrepanza, il PSP deve avvisare il cliente e può rifiutare l’operazione se i dati non vengono corretti.
Questo meccanismo riduce in modo significativo il rischio che il denaro venga trasferito verso conti di prestanome o IBAN manipolati dai truffatori.
2) Responsabilità per le truffe di impersonificazione (spoofing)
Le nuove norme affrontano direttamente una delle tecniche più usate dai truffatori: l’impersonificazione di operatori bancari.
Quando il cliente viene ingannato da un soggetto che si presenta falsamente come un dipendente della banca e, fidandosi, autorizza l’operazione, la responsabilità non può ricadere su di lui.
Il PSR stabilisce che, in questi casi, la banca deve rimborsare integralmente la vittima, purché quest’ultima denunci l’accaduto alle autorità e informi tempestivamente il proprio PSP.
È un’importante inversione di prospettiva: il consumatore non è più lasciato solo di fronte a truffe basate su tecniche persuasive altamente sofisticate.
3) Maggiore responsabilità dei PSP nei sistemi di prevenzione
PSD3 e PSR impongono ai prestatori di servizi di pagamento obblighi più rigorosi in tema di prevenzione delle frodi.
I PSP devono adottare sistemi di monitoraggio capaci di rilevare comportamenti anomali, basati sulle abitudini di spesa del cliente e sulle caratteristiche note delle frodi informatiche.
Se un istituto non implementa controlli adeguati e l’operazione fraudolenta passa comunque, la responsabilità ricade su di esso. Inoltre, quando un truffatore modifica o avvia una transazione, questa deve essere considerata a tutti gli effetti “non autorizzata”, con conseguente obbligo per la banca di rimborsare integralmente il cliente.
Cosa cambia concretamente per chi è rimasto vittima di una truffa
L’arrivo di PSD3 e PSR segna un mutamento profondo nell’assetto della responsabilità bancaria.
Le vittime di frodi informatiche potranno contare su:
- Maggiore protezione legale, soprattutto nei casi di spoofing e frodi basate sulla manipolazione psicologica.
- Un’inversione dell’onere della prova, poiché sarà la banca a dover dimostrare di aver adottato tutte le misure di prevenzione richieste e di non essere incorsa in omissioni.
- La necessità di agire subito, denunciando la truffa alle autorità competenti e informando immediatamente il proprio istituto, così da attivare i meccanismi di tutela previsti dalla nuova normativa. Il suo caso, quindi, si inserisce in una cornice normativa europea progettata per proteggere chi subisce truffe sempre più elaborate, nelle quali l’aspetto psicologico è determinante.
