Arriva il ""cervellone"" antifrode per le carte di pagamento

Una nuova banca dati centralizzata raccoglierà tutti gli elementi delle transazioni effettuate a fini di prevenzione. Ma non mancano i rischi per la privacy connessi alla schedatura di massa

La proliferazione di frodi commesse attraverso l'uso di carte di pagamento denominazione generica nella quale rientrano le card di credito, di debito, i Bancomat, le prepagate di vario genere appare inarrestabile ormai da alcuni anni. Di fronte alle lungaggini nell'adozione di tecnologie più idonee, il tentativo di porre un freno agli illeciti arriva da un nuovo strumento normativo che, negli intenti - la prassi, ovvero l'attuazione positiva richiederà parecchi mesi - mira a monitorare l'intero settore delle transazioni che avvengono con questi strumenti sostitutivi del denaro contante. Avere sott'occhio l'intero traffico delle transazioni e, quindi, poter anche tracciare in tempo quasi reale dove ma anche presso chi sta operando una certa card che può essere lecita, ma anche rubata, clonata, e persino inventata di sana pianta dovrebbe consentire sia un intervento diretto sulle frodi in corso, sia un'opera di prevenzione ad ampio spettro per esempio evidenziando, indipendentemente dall'emittente dello strumento di pagamento, oggi i più accreditati analisti di quanto avviene ma limitatamente alle proprie card , quali sono gli esercizi commerciali più a rischio ma anche quali, con maggior frequenza, ricevono truffe anche minimali garantite dall'intero sistema autorizzativo così come è oggi in parte ancora concepito. Che la situazione sia allarmante, soprattutto per i gestori, è appunto un dato certo. E anche se i numeri ufficiali nessun emittente ha interesse a far sapere quanto il proprio sistema sia permeabile agli illeciti sono notevoli - quattromila casi ogni anno - certamente si tratta di stime per difetto. La nuova legge il cui testo è qui leggibile come documento correlato istituisce un sistema informativo centralizzato che si appoggerà all'Ufficio Centrale Antifrode dei Mezzi di Pagamento, una struttura già esistente presso la terza Direzione Relazioni Finanziarie Internazionali del Dipartimento del Tesoro. In pratica dovrebbe consistere in un gigantesco archivio nel quale affluiranno - dai vari operatori - tutti i dettagli delle transazioni. A trasmettere o a rendere disponibili tali dati saranno quindi i circuiti bancari e interbancari, gli esercenti e gli eventuali intermediari. I lavori di creazione - ma anche le premesse tecniche perché ciò sia possibile - richiederanno parecchio tempo e la messa a regime della banca-dati viene stimata ora entro la fine del 2007. Una serie di procedure intelligenti vigilerà sull'intero archivio rendendo istantanea, ad esempio, l'identificazione di un'operazione effettuata con una card clonata identificazione che, a vari livelli di allerta, si baserà su elementi di congruità violata, ovvero, per esempio, se a distanza di tempi brevi lo stesso numero di card risulterà utilizzato in località differenti . È prevedibile che la possibilità di effettuare analisi statistiche altrimenti impossibili - proprio per l'attuale frammentazione degli archivi relativi a questo tipo di transazioni - renderà inoltre praticabile l'effettuazione di controlli mirati su determinati punti di utilizzo. Naturalmente la creazione di un archivio di così vaste proporzioni e che implicitamente traccia milioni di persone nelle loro normali attività richiederà un alto livello di protezione, sia per quanto riguarda il trattamento dei dati alla luce della normativa sulla privacy, sia per quanto attiene alla sicurezza del sistema globalizzato dei pagamenti posto sotto controllo. L'accesso e l'elaborazione dei dati che vi affluiranno, infatti, consentirà in positivo un monitoraggio funzionale alla repressione ed alla prevenzione delle frodi al tempo stesso, tuttavia, il super database delle transazioni costituirà anche un archivio strategico appetibile per ogni tipo di illecito nel settore e dunque richiederà misure di protezione che, ad una prima lettura, non sembrano attualmente molto ben definite - anche in termini di costi, oltre che di regole - nell'impianto normativo. Quanto alla privacy, ovvero ai livelli di accesso al sistema e alle modalità e congruità delle consultazioni dei dati da parte delle società cosiddette segnalanti , occorrerà qualche chiarimento in corso d'opera. Che un'emittente abbia infatti accesso al database contenente anche i dati delle transazioni dei suoi concorrenti, infatti, appare incongruo, a meno di definire con estrema esattezza i limiti di accessibilità ovvero ai dati generali o anche a quelli disaggregati per valore, per area, eccetera? . Tutte cose, naturalmente, sulle quali i soggetti commerciali che sono parte in causa dovranno avere, in fase di regolamentazione ulteriore, garanzie molto chiare che rendano il cervellone un partner efficace e non un duplicato dell'esistente o, peggio, un rischio. m.c.

Legge 17 agosto 2005, numero Istituzione di un sistema di prevenzione delle frodi sulle carte di pagamento. La Camera dei deputati ed il Senato della Repubblica hanno approvato il Presidente della Repubblica promulga la seguente legge Articolo 1. Sistema di prevenzione 1. E' istituito presso il Ministero dell'economia e delle finanze un sistema di prevenzione, sul piano amministrativo, delle frodi sulle carte di pagamento. 2. Con il termine carte di pagamento si intendono quei documenti che si identificano con le carte di credito e le carte di debito e con le altre carte definite nella normativa di attuazione. 3. Partecipano al sistema di prevenzione, sul piano amministrativo, delle frodi sulle carte di pagamento, le società, le banche e gli intermediari finanziari che emettono carte di pagamento e gestiscono reti commerciali di accettazione di dette carte, di seguito denominati società segnalanti , individuati nel decreto del Ministro dell'economia e delle finanze di cui all'articolo 7. 4. Le società segnalanti comunicano al Ministero dell'economia e delle finanze i dati e le informazioni di cui agli articoli 2 e 3. I dati e le informazioni alimentano un apposito archivio informatizzato. 5. Titolare dell'archivio informatizzato e responsabile della sua gestione e' l'Ufficio centrale antifrode dei mezzi di pagamento del Ministero dell'economia e delle finanze che, nell'ambito del Dipartimento del tesoro, esercita funzioni di competenza statale in materia di prevenzione, sul piano amministrativo, delle frodi sui mezzi di pagamento, e che può designare anche ulteriori soggetti responsabili ai sensi dell'articolo 29 del decreto legislativo 30 giugno 2003, n. 196. 6. Il personale di cui all'articolo 9 del decreto-legge 15 aprile 2002, n. 63, convertito, con modificazioni, dalla legge 15 giugno 2002, n. 112, può essere assegnato all'Ufficio centrale antifrode dei mezzi di pagamento. 7. Nell'ambito del sistema di prevenzione opera, senza nuovi o maggiori oneri per il bilancio dello Stato, un gruppo di lavoro, con funzioni consultive, per la trattazione delle problematiche di settore. 8. Il sistema di prevenzione di cui alla presente legge si informa ai principi e alla disciplina previsti dall'ordinamento comunitario. Articolo 2. Dati che alimentano l'archivio informatizzato 1. L'archivio informatizzato e' alimentato da a dati identificativi dei punti vendita e dei legali rappresentanti degli esercizi commerciali nei cui confronti e' stato esercitato il diritto di revoca della convenzione che regola la negoziazione delle carte di pagamento per motivi di sicurezza o per condotte fraudolente denunciate all'autorità giudiziaria b dati identificativi degli eventuali contratti di rinnovo della convenzione stipulati con gli esercenti di cui alla lettera a c dati identificativi delle transazioni non riconosciute dai titolari delle carte di pagamento ovvero dagli stessi denunciate all'autorità giudiziaria d dati identificativi relativi agli sportelli automatici fraudolentemente manomessi. Articolo 3. Informazioni relative al rischio di frode che alimentano l'archivio informatizzato 1. Le singole società segnalanti comunicano altresì, previa notifica al titolare dell'archivio, le informazioni relative ai punti vendita e alle transazioni che configurano un rischio di frode. Tali informazioni sono conservate nell'archivio per il tempo necessario alle predette società ad accertare l'effettiva sussistenza del rischio di frode. 2. Decorso il periodo di cui al comma 1, e' fatto obbligo alla società segnalante di comunicare al titolare dell'archivio l'esito del monitoraggio. 3. I risultati di specifico interesse, corredati dei necessari elementi conoscitivi, sono comunicati altresì, anche di iniziativa, secondo le modalità stabilite dal decreto di cui all'articolo 7, agli uffici del Dipartimento della pubblica sicurezza del Ministero dell'interno competenti in materia di analisi dei fenomeni criminali e di cooperazione, anche internazionale, di polizia, finalizzata alla prevenzione e repressione dei reati commessi mediante carte di credito o altri mezzi di pagamento. Articolo 4. Accesso all'archivio informatizzato da parte delle società segnalanti 1. Relativamente ai dati di cui all'articolo 2, le società segnalanti hanno accesso all'archivio informatizzato per l'iscrizione dei dati di loro competenza e per la consultazione di quelli forniti dalle altre società. 2. Relativamente alle informazioni di cui all'articolo 3 e fermo restando l'obbligo di notifica di cui al comma 1 dello stesso articolo 3, le società segnalanti hanno accesso all'archivio informatizzato per l'immissione delle informazioni di loro competenza. L'accesso alla consultazione delle informazioni fornite dalle altre società può essere autorizzato di volta in volta dal titolare dell'archivio alle società che ne fanno espressa richiesta. Articolo 5. Scambio di dati con la Banca d'Italia 1. L'Ufficio centrale antifrode dei mezzi di pagamento può richiedere alla Banca d'Italia l'accesso all'archivio di cui all'articolo 10-bis della legge 15 dicembre 1990, n. 386, introdotto dall'articolo 36 del decreto legislativo 30 dicembre 1999, n. 507, per la consultazione dei dati sulle carte di pagamento rubate o smarrite. 2. La Banca d'Italia, nell'esercizio della funzione prevista dall'articolo 146 del testo unico di cui al decreto legislativo 1 settembre 1993, n. 385, può richiedere all'Ufficio di cui al comma 1 aggregazioni fra i dati contenuti nell'archivio informatizzato di cui all'articolo 1, comma 4. Articolo 6. Disposizioni finanziarie 1. Per la realizzazione dell'archivio informatizzato di cui all'articolo 1, comma 4, e' autorizzata la spesa di 260.000 euro per l'anno 2005 e di 70.000 euro per ciascuno degli anni 2006 e 2007. Al relativo onere si provvede mediante corrispondente riduzione dello stanziamento iscritto, ai fini del bilancio triennale 2005-2007, nell'ambito dell'unita' previsionale di base di conto capitale Fondo speciale dello stato di previsione del Ministero dell'economia e delle finanze per l'anno 2005, allo scopo parzialmente utilizzando l'accantonamento relativo al medesimo Ministero. 2. Il Ministro dell'economia e delle finanze e' autorizzato ad apportare, con propri decreti, le occorrenti variazioni di bilancio. Articolo 7. Termini, modalità e condizioni per la gestione del sistema di prevenzione 1. Con apposito decreto del Ministro dell'economia e delle finanze, da adottare, entro due mesi dalla data di entrata in vigore della presente legge, di concerto con i Ministri dell'interno, della giustizia, delle attivita' produttive, per l'innovazione e le tecnologie, e previo esame congiunto con la Banca d'Italia, sono precisate le competenze e l'organizzazione dell'Ufficio centrale antifrode dei mezzi di pagamento, sono stabiliti i criteri di individuazione delle societa' segnalanti e sono specificate le singole voci da comunicare a titolo di dati di cui all'articolo 2 e di informazioni di cui all'articolo 3. 2. Con il medesimo decreto di cui al comma 1 sono stabilite le modalita' relative all'accesso ai dati e alle informazioni in possesso dell'Ufficio centrale antifrode dei mezzi di pagamento da parte del Dipartimento della pubblica sicurezza del Ministero dell'interno per l'esercizio delle funzioni di cui agli articoli 4, 6 e 7 della legge 1 aprile 1981, n. 121, nonche' da parte degli uffici competenti delle Forze di polizia di cui all'articolo 16, primo comma, della stessa legge. 3. Con lo stesso decreto di cui al comma 1 sono individuati e fissati i termini e le modalità secondo cui i dati e le informazioni ivi previsti devono essere comunicati e gestiti. Sono inoltre definiti i parametri che configurano il rischio di frode di cui all'articolo 3, gli obblighi delle societa' segnalanti e la struttura dell'archivio informatizzato, la composizione e le regole di funzionamento del gruppo di lavoro di cui all'articolo 1, comma 7, i livelli di accesso all'archivio informatizzato e le modalita' di consultazione dei dati e delle informazioni ivi contenuti, nonche' gli eventuali costi del servizio. 4. Il decreto di cui al comma 1 stabilisce altresi' le modalita' di attuazione dello scambio dei dati tra l'Ufficio centrale antifrode dei mezzi di pagamento e la Banca d'Italia ai fini di cui all'articolo 5. 5. Per il personale eventualmente assegnato ai sensi del comma 6 dell'articolo 1 sono organizzati corsi di formazione, nell'ambito dell'ordinaria programmazione dei percorsi formativi, secondo le modalita' stabilite nel decreto di cui al comma 1 senza oneri aggiuntivi per lo Stato. 6. Il Consiglio nazionale dei consumatori e degli utenti di cui alla legge 30 luglio 1998, n. 281, puo' richiedere, in qualsiasi momento, di essere ascoltato dal gruppo di lavoro di cui all'articolo 1, comma 7, in ordine all'applicazione della presente legge. Articolo 8. Modifica all'articolo 24 del decreto legislativo 30 luglio 1999, n. 300 1. All'articolo 24, comma 1, lettera a , del decreto legislativo 30 luglio 1999, n. 300, e successive modificazioni, dopo le parole diversi dalla moneta sono inserite le seguenti nonche' sugli strumenti attraverso i quali viene erogato il credito al consumo . Articolo 9. Entrata in vigore 1. La presente legge entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale. 2. Le disposizioni di cui all'articolo 3 si applicano decorsi dodici mesi dalla data di entrata in vigore del decreto di cui all'articolo 7, comma 1. La presente legge, munita del sigillo dello Stato, sara' inserita nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarla e di farla osservare come legge dello Stato.