Il servizio di home banking

L’evoluzione dei canali digitali ha profondamente trasformato la fruizione dei servizi bancari, consentendo al cliente di operare sul proprio conto corrente in modalità telematica, mediante il cosiddetto servizio di home banking. Tale modalità operativa, resa possibile tramite Internet o applicazioni mobili, è oggi regolata da un articolato quadro normativo di fonte europea e nazionale, che coniuga esigenze di efficienza con rigorosi requisiti di sicurezza.

L’accesso all’home banking presuppone la sottoscrizione, con la banca presso cui è intrattenuto il conto corrente, di un modulo di richiesta specifico volto all’attivazione del servizio. Attraverso tale adesione, l’utente viene abilitato alla gestione online del proprio rapporto bancario già in essere, con la possibilità di compiere operazioni dispositive e informative in via telematica.

Le condizioni contrattuali e le misure di sicurezza applicabili sono disciplinate tanto dal contratto stipulato con l’intermediario quanto dalla normativa vigente, in particolare dalla Direttiva (UE) 2015/2366 (Payment Services Directive 2 – PSD2) e dai relativi atti delegati, che definiscono i requisiti tecnici e di sicurezza per l’esecuzione dei servizi di pagamento elettronico.

Generalmente, il costo delle operazioni effettuate tramite Internet risulta inferiore rispetto a quello delle operazioni eseguite presso lo sportello bancario, salvo che il contratto non preveda condizioni differenti.

L’utente, tuttavia, è tenuto ad osservare specifiche misure di diligenza, volte a prevenire accessi non autorizzati e utilizzi fraudolenti: mantenere costantemente aggiornati il software e il sistema operativo del dispositivo utilizzato per l’accesso; non divulgare le proprie credenziali di autenticazione; diffidare di messaggi o comunicazioni riconducibili a tentativi di phishing; verificare sempre l’autenticità del sito o dell’applicazione della banca; segnalare tempestivamente eventuali anomalie o operazioni sospette.

Elemento cardine del sistema di sicurezza delineato dalla PSD2 è la Strong Customer Authentication (SCA), procedura di identificazione rafforzata del cliente richiesta in occasione dell’esecuzione di un pagamento online. La SCA si basa sull’utilizzo di almeno due elementi di autenticazione, appartenenti a categorie differenti tra le seguenti:

• conoscenza, ossia qualcosa che solo l’utente conosce (password, PIN);
• possesso, ossia qualcosa che solo l’utente possiede (token, chiavetta, smartphone);
• inerenza, ossia qualcosa che caratterizza univocamente l’utente (impronta digitale, riconoscimento facciale).

Tale disciplina è precisata dal Regolamento delegato (UE) 2018/389, che stabilisce gli standard tecnici di attuazione, nonché dal Regolamento delegato (UE) 2022/2360, il quale ha introdotto ulteriori aggiornamenti in materia di esenzioni e limiti temporali per l’accesso informativo ai conti.

Non tutte le operazioni effettuate tramite home banking richiedono l’applicazione della SCA. La normativa prevede, infatti, specifiche esenzioni, tra cui: pagamenti a basso rischio, valutati sulla base di un’analisi del rischio dell’operazione; micropagamenti al di sotto di determinate soglie; pagamenti ricorrenti di importo fisso; transazioni verso beneficiari inclusi in liste fidate (whitelist); accesso puramente informativo al conto, limitato nel tempo.

Con riferimento a quest’ultimo caso, il Regolamento delegato (UE) 2022/2360 ha stabilito che l’esenzione per l’accesso informativo possa estendersi fino a 180 giorni, a condizione che l’accesso consenta esclusivamente la visualizzazione del saldo o dei movimenti recenti, senza esposizione di dati di pagamento sensibili.

La banca è tenuta a fornire al cliente informazioni chiare circa le modalità di autenticazione adottate e le eventuali soluzioni alternative (token, OTP, app dedicate, strumenti biometrici). In caso di operazione non adeguatamente autenticata o di violazione delle misure di sicurezza, la normativa europea stabilisce regole puntuali in tema di responsabilità e rimborso.

L’operazione si considera non autorizzata se non è stata eseguita conformemente ai requisiti della SCA: in tal caso, il prestatore di servizi di pagamento (di norma, la banca) è tenuto al rimborso immediato dell’importo, salvo che riesca a dimostrare: che l’operazione è stata correttamente autenticata e registrata; che non vi sia stato alcun malfunzionamento tecnico; oppure che l’evento sia imputabile a dolo o colpa grave del cliente.

Oltre alle tradizionali funzioni informative – come la visualizzazione dell’estratto conto – e dispositive – come bonifici bancari, ricariche telefoniche o pagamenti di utenze domestiche –, l’evoluzione tecnologica ha ampliato notevolmente l’offerta dei servizi digitali. Tra i servizi oggi più diffusi si annoverano: bonifici istantanei e disposizioni programmate; incassi diretti (SDD) e gestione dei mandati elettronici; sottoscrizione online di prodotti finanziari; integrazione con servizi di terze parti tramite API (Account Information Services e Payment Initiation Services), introdotti proprio dalla PSD2; funzioni di investimento e trading online.