Come rivelato anche da una recente analisi Banca d’Italia sulle frodi informatiche, lo sviluppo dei bonifici istantanei sta portando un incremento dei tentativi di truffa alla clientela di servizi di pagamento.
Per contrastare tali truffe, il Regolamento sui bonifici istantanei prevede che, dal prossimo 9 ottobre 2025, tutti gli operatori dovranno consentire all’utente di verificare la corrispondenza dell’IBAN indicato e del nome del beneficiario, prima di autorizzare l’operazione tramite bonifico istantaneo, senza alcun costo aggiuntivo (meccanismo del “Verification of Payee“).
Le frodi sui bonifici istantanei si inseriscono in un contesto più generale, in cui le frodi sugli strumenti di pagamento risultano sempre più frequenti e sofisticate, laddove alle tecniche di frode tradizionali si sono affiancate tecniche di c.d. social engineering.
Pur temperato dagli obblighi PSD2 di autenticazione forte (c.d. Strong Customer Authentication), il rischio di frodi risulta particolarmente rilevante per tutti i prestatori di servizi di pagamento (PSP), chiamati ad approntare idonei presidi di prevenzione, contrasto e informativa della clientela.
In tale contesto, il corso si propone di approfondire i profili di responsabilità per le operazioni di pagamento oggetto di frode e le corrette policy interne per la gestione dei reclami e dei rimborsi, alla luce delle letture più recenti dell’ABF, dei recenti obblighi imposti agli operatori dal Regolamento sui bonifici istantanei, e del progetto di revisione della disciplina europea dei servizi di pagamento (PSD 3 e PSR).
Tematiche oggetto di attenzione e discussione
- Framework normativo e aspettative di vigilanza sulle operazioni di pagamento non autorizzate
- Bonifici istantanei e obbligo di istituzione del servizio di verifica del beneficiario (VoP)
- La versione dello schema VoP dell’EPC
- Le responsabilità dei PSP in caso di non corrispondenza dell’IBAN con il beneficiario effettivo
- La definizione della policy interna sul processo di gestione dei riconoscimenti ed il monitoraggio antifrode
- I controlli di primo e secondo livello
- La gestione dell’istruttoria sulle richieste di disconoscimento e del rimborso al cliente
- I limiti alla valutazione basata su automatismi procedurali
- Contrattualistica e rapporto informativo con il cliente
- L’adeguatezza dei meccanismi di autenticazione
- La conformità delle procedure di tokenizzazione delle carte di pagamento (al Regolamento SCA e Q&A EBA)
- La prova documentale dell’autenticazione dei pagamenti elettronici
- L’analisi di compliance esterna del log informatico
- I criteri di riparto della responsabilità tra PSI e cliente nelle diverse frodi informatiche (phishing/smishing, spoofing, boxing, malware, skimming)
- La colpa grave dell’utente e i casi di concorso di colpa del PSI
- La gestione dei blocchi di sicurezza degli strumenti di pagamento
- Analisi di casi pratici, alla luce dei più recenti orientamenti dell’ABF