La Banca d’Italia ha recentemente richiamato l’attenzione dei prestatori di servizi di pagamento (PSP) – tra cui banche, Poste e istituti finanziari – su diverse problematiche segnalate dai clienti, tra cui rimborsi negati, carenze operative, inadeguatezza dei meccanismi di tokenizzazione e mancanza di informazioni adeguate. In una comunicazione di vigilanza, l’istituto centrale ha chiesto ai PSP di condurre un’autovalutazione delle proprie strutture, procedure e prassi per verificarne la conformità alle normative e alle aspettative della Banca d’Italia. In caso di necessità di azioni correttive, è richiesto di predisporre un piano d’intervento entro 12 mesi.
Dai recenti approfondimenti della Banca d’Italia su operazioni di pagamento non autorizzate, è emersa l’importanza per i PSP di adottare comportamenti conformi alle normative e corretti nei confronti della clientela. Pertanto, i PSP devono svolgere un’autovalutazione della coerenza delle loro strutture, procedure e prassi rispetto alle previsioni normative e alle aspettative della Banca d’Italia, adottando eventuali azioni correttive necessarie.
Qualora dall’autovalutazione emerga la necessità di interventi correttivi, la Banca d’Italia si aspetta che venga predisposto un piano di azione, con il contributo delle funzioni di controllo, da attuare entro 12 mesi. Le valutazioni e analisi dei PSP dovranno essere formalizzate e saranno oggetto di verifica nell’ambito delle ordinarie attività di vigilanza dell’istituto.
In particolare, il processo di gestione dei disconoscimenti deve essere regolato da una policy interna specifica. Questa policy deve coprire tutte le categorie di operazioni non autorizzate, indipendentemente dallo strumento di pagamento utilizzato o dalla causa della mancata autorizzazione, per evitare che siano trattate secondo le regole dei reclami ordinari, anche in relazione ai tempi di evasione previsti dalla normativa.
L’istruttoria delle richieste di disconoscimento deve considerare i criteri di ripartizione delle responsabilità tra PSP e cliente previsti dalle norme di settore. In assenza di comportamenti fraudolenti del cliente, il PSP deve garantire il diritto al rimborso quando non è stata richiesta un’autenticazione forte o quando non riesce a dimostrare che l’operazione è stata autorizzata con sistemi di strong customer authentication. Per le operazioni autenticate con questa modalità, l’istruttoria del PSP deve comunque assicurare una valutazione adeguata del comportamento dell’utente.
