Pagamenti elettronici: la responsabilità del fornitore
Pubblicato su Pm@business, L´informatica per la piccola e media impresa.
Le nuove tecnologie applicate al commercio permettono oggi di acquistare in rete ogni tipo di bene o servizio, senza alcun limite territoriale. Ma per una diffusione di tali tecniche di acquisto, occorre creare un mercato virtuale che – sulla premessa dell’esistenza di adeguate misure di sicurezza – possa consolidare la fiducia dell’acquirente per contribuire all’incremento delle contrattazioni elettroniche. Le principali caratteristiche della transazione conclusa on line sono la riconoscibilità delle parti che partecipano alla transazione e la riservatezza dei dati trasmessi. Questi ultimi dovranno essere conoscibili solo dai soggetti che interverranno nella transazione, ovvero da colui che dà l’ordine di trasferire il fondo, da colui che riceve il fondo in cambio del bene o servizio prestato o da prestare e da colui che esegue il trasferimento del fondo stesso. Nella fase del cosiddetto pagamento elettronico, il problema centrale sarà pertanto garantire la sicurezza dei dati trasmessi durante la transazione, in particolare laddove questi consistano in codici specifici o numeri di carta di credito con relative scadenze.
Coloro che intendano promuovere la vendita di beni o prestazioni di servizi in rete, debbono di conseguenza assicurare l’esistenza di misure di sicurezza che preservino il cliente – al momento dell’acquisto – da ogni tipo di “intercettazione” esterna. Ma cosa si intende per misure di sicurezza? Secondo l’intento del legislatore, per misure di sicurezza si dovrebbero intendere tecniche atte ad eliminare, o quanto meno ridurre al minimo, il rischio di intercettazione dei dati trasmessi durante la transazione, nel momento in cui gli stessi sono comunicati da colui che effettua l’ordine a colui che lo riceve. Secondo il legislatore sono “misure minime di sicurezza” il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza, che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti per quella data operazione. Di conseguenza, si potranno definire giuridicamente misure di sicurezza adeguate, quel complesso di misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza necessarie e sufficienti a proteggere i dati della transazione da qualsiasi intrusione esterna. Preso atto della potenziale definizione giuridica, da un punto di vista pratico molti operatori hanno risolto il problema tramite l’adozione di tecniche di crittografia – ovvero rendendo mediante la codifica non comprensibili cifre o numeri – e attraverso l’utilizzo della firma digitale. In relazione a quest’ultima si è creato un meccanismo di autenticazione delle parti coinvolte nei pagamenti mediante un sistema di crittografia a chiave pubblica garantito dall’autorità di certificazione alla quale si rivolge chi emette la carta utilizzata in rete. La disciplina normativa di riferimento è pertanto quella attinente la firma digitale laddove il legislatore ha disciplinato l’ipotesi secondo cui il titolare di una coppia di chiavi asimmetriche ha l’obbligo di adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri. L’ordinamento riconosce inoltre la validità della stipulazione dei contratti con strumenti informatici o per via telematica mediante l´uso della firma digitale nonché la possibilità di effettuare pagamenti elettronici mediante l’adozione di misure tecniche, organizzative e gestionali volte a garantire l’integrità, la disponibilità e la riservatezza delle informazioni contenute nel documento informatico anche con riferimento all’uso di chiavi biometriche.
Centrale appare di conseguenza il ruolo del certificatore, ovvero del soggetto tenuto a riscontrare la veridicità ed attualità delle informazioni che seguono l’utilizzo della firma digitale. Addirittura, la direttiva comunitaria 1999/93/CE recepita nel nostro paese con il D.Lg. 10/02, ha attribuito al certificatore la responsabilità per danni provocati a entità o persone fisiche o giuridiche che facciano ragionevole affidamento su detto certificato sia per quanto riguarda l´esattezza di tutte le informazioni contenute nel certificato qualificato a partire dalla data di rilascio e il fatto che esso contenga tutti i dati prescritti per un certificato qualificato, sia per la garanzia che, al momento del rilascio del certificato, il firmatario identificato nel certificato qualificato sia titolare dei dati per la creazione della firma corrispondenti ai dati per la verifica della firma riportati o identificati nel certificato; sia, infine, la garanzia che i dati per la creazione della firma e i dati per la verifica della firma possano essere usati in modo complementare, nei casi in cui il fornitore di servizi di certificazione generi entrambi. Tutto ciò a meno che il prestatore di servizi di certificazione provi di aver agito senza negligenza. Ciò indubbiamente dimostra come l’affidamento di coloro che utilizzano il mezzo tecnologico per le transazioni debba trovare ampia tutela legislativa da un lato, e tutela tecnica effettiva dall’altro. Peraltro, ancor più recentemente, è intervenuta la Direttiva 2002/65/CE del Parlamento europeo e del Consiglio la quale, dopo aver definito “contratto a distanza” qualunque contratto avente per oggetto servizi finanziari, concluso tra un fornitore e un consumatore nell´ambito di un sistema di vendita o di prestazione di servizi a distanza organizzato dal fornitore che, per tale contratto, impieghi esclusivamente una o più tecniche di comunicazione a distanza fino alla conclusione del contratto (compresa la conclusione del contratto stesso), introduce all’articolo 8 l’ipotesi relativa alla transazione con carta di pagamento, per la realizzazione della qualedebbono essere accertate l’esistenza di misure adeguate affinché il consumatore possa chiedere l´annullamento di un pagamento in caso di uso fraudolento della sua carta di pagamento nell´ambito di contratti a distanza e disponendo, in caso di tale uso fraudolento, che al consumatore sia riaccreditato o rimborsato l´importo versato.
Dunque, si assiste ad un addebito del rischio inerente l’uso fraudolento della carta di credito, interamente a carico del fornitore, che risponderà in prima persona verso l’acquirente. La scelta legislativa appare corretta laddove si debba individuare nei soggetti commerciali che traggono vantaggio dallo scambio in rete, dei garanti del buon andamento della transazione. Ovviamente gli stessi dovranno pertanto adottare accorgimenti tecnici in grado di tutelare al meglio non solo il cliente, ma loro stessi, dovendo altrimenti farsi interamente carico dei danni derivati al cliente senza considerare la perdita di credibilità in rete a discapito dello sviluppo del mercato virtuale.