Pagamenti elettronici: la responsabilità del fornitore

Pubblicato su Pm@business, L´informatica per la piccola e media impresa.

Le nuove tecnologie applicate al commercio permettono oggi di acquistare in rete ogni tipo di bene o servizio, senza alcun limite territoriale. Ma per una diffusione di tali tecniche di acquisto, occorre creare un mercato virtuale  che – sulla premessa dell’esistenza di adeguate misure di sicurezza – possa consolidare la fiducia dell’acquirente per contribuire all’incremento  delle contrattazioni elettroniche. Le principali caratteristiche della transazione conclusa on line sono la riconoscibilità delle parti che partecipano alla transazione e la riservatezza dei dati trasmessi. Questi ultimi dovranno essere conoscibili  solo dai  soggetti che interverranno nella transazione, ovvero  da colui che dà l’ordine di trasferire il fondo, da  colui che riceve  il fondo in cambio del bene o servizio prestato o da prestare e da colui che esegue il trasferimento del fondo stesso. Nella fase del cosiddetto pagamento elettronico,  il problema centrale sarà pertanto garantire la  sicurezza dei dati trasmessi durante la transazione, in particolare laddove questi consistano in codici specifici o  numeri di carta di credito con relative scadenze.

Coloro che intendano promuovere la vendita di beni o prestazioni di servizi in rete, debbono di conseguenza assicurare l’esistenza di misure di sicurezza che preservino il cliente – al momento dell’acquisto – da ogni tipo di “intercettazione” esterna.  Ma cosa si intende per misure di sicurezza? Secondo l’intento del legislatore, per misure di sicurezza si  dovrebbero intendere tecniche atte ad eliminare, o quanto meno ridurre al minimo, il rischio di intercettazione dei dati trasmessi durante la transazione, nel momento in cui gli stessi sono comunicati  da colui che effettua l’ordine a colui che lo riceve. Secondo il legislatore sono “misure minime di sicurezza”  il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza, che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti per quella data operazione. Di conseguenza, si potranno definire giuridicamente misure di sicurezza adeguate, quel complesso di misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza necessarie e sufficienti a proteggere i dati della transazione da qualsiasi intrusione esterna. Preso atto della potenziale definizione giuridica, da un punto di vista pratico molti operatori hanno risolto il problema tramite l’adozione di tecniche di crittografia –  ovvero  rendendo mediante la codifica non comprensibili cifre o numeri –  e attraverso l’utilizzo della firma digitale.  In relazione a quest’ultima si è creato  un meccanismo di autenticazione delle parti coinvolte nei pagamenti mediante un sistema di crittografia a chiave pubblica garantito dall’autorità di certificazione alla quale si rivolge  chi emette la carta utilizzata in rete. La disciplina normativa  di riferimento è pertanto quella attinente la firma digitale laddove il legislatore ha disciplinato l’ipotesi secondo  cui il titolare di una coppia di chiavi asimmetriche ha l’obbligo di adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri.   L’ordinamento riconosce inoltre la validità della stipulazione dei contratti con strumenti informatici o per via telematica mediante l´uso della firma digitale nonché la possibilità di effettuare pagamenti elettronici mediante l’adozione di misure tecniche, organizzative e gestionali volte a garantire l’integrità, la disponibilità e la riservatezza delle informazioni contenute nel documento informatico anche con riferimento all’uso di chiavi biometriche.

Centrale appare di conseguenza il ruolo del certificatore, ovvero del soggetto tenuto a riscontrare la veridicità ed attualità delle informazioni che seguono l’utilizzo della firma digitale. Addirittura, la direttiva comunitaria 1999/93/CE recepita nel nostro paese con il D.Lg. 10/02, ha attribuito al certificatore la responsabilità  per danni provocati a entità o persone fisiche o giuridiche che facciano ragionevole affidamento su detto certificato sia per quanto riguarda l´esattezza di tutte le informazioni contenute nel certificato qualificato a partire dalla data di rilascio e il fatto che esso contenga tutti i dati prescritti per un certificato qualificato, sia per la garanzia che, al momento del rilascio del certificato, il firmatario identificato nel certificato qualificato sia titolare dei dati per la creazione della firma corrispondenti ai dati per la verifica della firma riportati o identificati nel certificato; sia, infine, la garanzia che i dati per la creazione della firma e i dati per la verifica della firma possano essere usati in modo complementare, nei casi in cui il fornitore di servizi di certificazione generi entrambi. Tutto ciò a meno che il prestatore di servizi di certificazione provi di aver agito senza negligenza. Ciò indubbiamente dimostra come l’affidamento di coloro che utilizzano il mezzo tecnologico per le transazioni debba trovare ampia tutela legislativa da un lato, e tutela tecnica effettiva dall’altro. Peraltro, ancor più recentemente, è intervenuta la Direttiva 2002/65/CE del Parlamento europeo e del Consiglio la quale,  dopo aver definito  “contratto a distanza” qualunque contratto avente per oggetto servizi finanziari, concluso tra un fornitore e un consumatore nell´ambito di un sistema di vendita o di prestazione di servizi a distanza organizzato dal fornitore che, per tale contratto, impieghi esclusivamente una o più tecniche di comunicazione a distanza fino alla conclusione del contratto (compresa la conclusione del contratto stesso), introduce  all’articolo  8  l’ipotesi relativa alla transazione con carta di pagamento, per la realizzazione della qualedebbono essere accertate l’esistenza di  misure adeguate affinché il consumatore possa chiedere l´annullamento di un pagamento in caso di uso fraudolento della sua carta di pagamento nell´ambito di contratti a distanza e disponendo, in caso di tale uso fraudolento, che  al consumatore sia riaccreditato o rimborsato l´importo versato.

Dunque, si assiste ad un addebito del rischio inerente l’uso fraudolento della carta di credito, interamente a carico del fornitore, che risponderà in prima persona verso l’acquirente. La scelta legislativa appare corretta laddove si debba individuare nei soggetti commerciali che traggono vantaggio dallo scambio in rete, dei garanti del buon andamento della transazione. Ovviamente gli stessi dovranno pertanto adottare accorgimenti tecnici in grado di tutelare al meglio non solo il cliente, ma loro stessi, dovendo altrimenti farsi interamente carico dei danni derivati al cliente senza considerare la perdita di credibilità in rete a discapito dello  sviluppo del mercato virtuale.