Ma se l’home banking “sbaglia” chi paga?

Pubblicato in: Approfondimenti il giorno: 20 Giugno 2019

È davvero improbabile che chi possieda un conto presso una qualsiasi banca italiana non abbia mai sentito parlare di home banking, giacché rappresenta una delle ricadute che la divulgazione di Internet ha determinato sul sistema bancario: ma averne sentito parlare non significa necessariamente adoperarlo, e adoperarlo non per forza di cose equivale a conoscerlo realmente.

Detto in termini molto semplici l’home banking è un’innovazione che, basandosi su Internet (è sufficiente collegarsi da casa propria o da qualunque postazione), affranca dalla necessità di recarsi fisicamente in banca, evitando così code e spostamenti, e consentendo comunque di effettuare le più disparate operazioni:

  • visionare l’estratto conto
  • eseguire bonifici
  • ricaricare il cellulare
  • effettuare pagamenti
  • adoperare sofisticati strumenti finanziari, come le quotazioni in borsa

Eppure, non è tutt’oro quello che luccica (come sempre) e accanto agli innegabili vantaggi – utilizzabilità e disponibilità praticamente illimitate (può essere usato in qualsiasi momento e in ogni luogo), costi di gestione del conto inferiori, velocità- è necessario conoscere anche gli svantaggi legati a questa pratica, come:

  • l’assenza del bancomat (per cui i clienti potrebbero dover pagare un supplemento per ogni prelievo presso quelli di altre banche)
  • l’assenza della sede fisica (che si fa sentire in caso di problemi)
  • internet (che per i clienti più tradizionali rappresenta un ostacolo e non una risorsa)
  • la sicurezza.

E’ proprio su quest’ultima questione che intendiamo soffermarci, laddove per sicurezza s’intende non solo la sgradita evenienza di un furto di identità, ma anche la possibilità che un malfunzionamento dei sistemi di digital banking o mobile banking danneggino un cliente: in questo caso specifico a chi vanno attribuite le responsabilità?

A tal proposito si è poi pronunciato il Tribunale di Parma che ha condannato, con la sentenza n. 1268/2018, la Banca alla restituzione della somma disconosciuta dal cliente a seguito di operazioni bancarie (nella fattispecie, bonifici bancari) effettuate tramite il sistema di Home Banking, stabilendo che “spetta alla banca fornire la prova del corretto funzionamento del proprio sistema” e che  “…la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire la prova della riconducibilità dell’operazione al cliente”.

È allora fondamentale comprendere, e qui si entra in un ambito più propriamente tecnico, quali siano le misure che l’accorto banchiere è tenuto ad adottare per garantire il corretto funzionamento del sistema.

Un tema questo dibattuto e in continua evoluzione…

Un riferimento importante è certamente il Regolamento Delegato (Ue) 2018/389 27 novembre 2017 relativo alle “norme tecniche di regolamentazione per l’autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri”, applicabile dal settembre 2019, che prevede nello specifico di:

  1. Utilizzare meccanismi di autenticazione forte (che prescrivono l’uso combinato di una password e delle “chiavette” che generano numeri monouso, oppure SMS o altri meccanismi simili)
  2. Per l’avvio di operazioni di pagamento, usare un’autenticazione che comprenda elementi che colleghino in maniera dinamica l’operazione a uno specifico importo e a un beneficiario specifico
  3. Poter rinunciare all’autenticazione forte solo quando l’operazione presenti determinate caratteristiche che ne limitano il rischio (ad esempio, bonifici ricorrenti o a beneficiari di fiducia) e nello stesso tempo il tasso di frode complessivo su tali tipologie di pagamenti si mantenga al di sotto di una certa soglia.

La norma prevede quindi l’utilizzo di una versione più evoluta della sola autenticazione forte, richiedendo che l’informazione di autenticazione sia legata univocamente ad un importo e ad un beneficiario che l’utente possa verificare: in questo modo, verrà autorizzata solo quella specifica transazione, e il furto delle informazioni di autenticazione (ad esempio, password e sms) non potrà essere usato per autorizzare altre transazioni.

Questo in virtù del fatto che, se è vero che l’operatività del servizio bancario mediante collegamento telematico rientra a pieno titolo nel “rischio d’impresa”, è altrettanto vero che gli Istituti di credito devono potersi tutelare in modo efficace ed esercitare pienamente il proprio “diritto di difesa” (sia preventivamente che, in caso di problemi, in via secondaria in sede giudiziaria).

Giudicate esagerata tutta questa attenzione?

Vi sbagliate… basti pensare che il furto di identità e le frodi telematiche sono pratiche in costante aumento!

Ecco perché noi di Copying ne abbiamo fatto dello studio di soluzioni e strumenti atti alla salvaguardia della sicurezza informatica uno dei nostri cavalli di battaglia, attraverso:

  • attività di formazione, creazione delle policy necessarie e redazione della documentazione richiesta dalla normativa vigente
  • monitoraggio delle misure previste dal piano di adeguamento al fine di rilevarne l’effettiva e corretta applicazione
  • supporto e affiancamento nel caso di visite ispettive.

Se dunque ritieni che il livello di sicurezza dei dati che circolano nella tua azienda vada debitamente salvaguardato, rivolgiti a noi!