L’Italia sta divenendo un Paese sempre più cashless, come dimostra il crescente utilizzo di strumenti di pagamento diversi dal contante. Lo sviluppo dell’economia digitale e di nuove tecnologie di pagamento digital ha però determinato anche un ampliamento delle chance di frode. Nell’ottica di garantire un’adeguata tutela dei consumatori e di consolidare la fiducia nel mercato digitale, che rappresenta un driver sempre più rilevante della crescita economica globale, si inserisce il D.Lgs. n. 184/2021, entrato in vigore il 14 dicembre scorso.
Cosa si intende per “strumenti di pagamento diversi dai contanti”?
Per comprendere la portata applicativa della normativa in esame occorre innanzitutto chiarire cosa si debba intendere per “strumenti di pagamento diversi dai contanti”.
La definizione è contenuta nell’art. 1 dello stesso D.Lgs. 184/2021, ai sensi del quale per “strumento di pagamento diverso dal contante” deve intendersi “ogni dispositivo, oggetto o record protetto, materiale o immateriale, o una loro combinazione, diverso dalla moneta a corso legale, che, da solo o unitamente a una procedura o a una serie di procedure, permette al titolare o all’utente di trasferire denaro o valore monetario, anche attraverso mezzi di scambio digitali”.
Si tratta, in altri termini, di mezzi di pagamento anche completamente dematerializzati, come gli strumenti di pagamento digitali aventi oggi una diffusione sempre più ampia. Tra questi, da segnalare, le apparecchiature o i dispositivi informatici che consentono trasferimento di denaro (come i POS più tradizionali, o i più recenti POS-Samup) o le piattaforme di pagamento (come l’home banking, Paypal, PagoPA) o i servizi c.d. “m-payments” che consentono di effettuare operazioni di pagamento tramite smartphone o altri dispositivi mobili (es. Satispay, Google Pay, Amazon Pay, ecc.). La nozione, dunque, ha un perimetro molto ampio: contempla tutti i mezzi di pagamento che consentono di gestire flussi monetari in formato elettronico, nell’ottica di ricomprendervi anche nuovi canali, come le app mobile che consentono l’utilizzo di carte elettroniche prepagate, ticket restaurant elettronici, carte carburante, e così via.
Inoltre, sempre l’art. 1 del D.Lgs. 184/2021 – rinviando alla categoria normativa di “mezzi di scambio digitali” – comprende anche le “valute digitali”, individuate come “una rappresentazione di valore digitale che non è emessa o garantita da una banca centrale o da un ente pubblico, non è legata necessariamente a una valuta legalmente istituita e non possiede lo status giuridico di valuta o denaro, ma è accettata da persone fisiche o giuridiche come mezzo di scambio, e che può essere trasferita, memorizzata e scambiata elettronicamente”. Il riferimento è, ad esempio, alle criptovalute come Bitcoin o Ethereum.
Qual è la portata innovativa del d.lgs.184/2021?
La normativa, collocandosi nel solco attuativo della Direttiva (UE) n.2019/713 – relativa alla lotta contro le frodi e le falsificazioni di mezzi di pagamento diversi dai contanti- introduce importanti modifiche non solo nel campo del diritto penale, ma anche sul fronte della responsabilità amministrativa degli enti ai sensi del D.Lgs. 231/2001, avendo esteso la responsabilità dell’ente in relazione ad una nuova famiglia di reati-presupposto: i delitti in materia di strumenti di pagamento diversi dai contanti, inseriti nel nuovo art. 25-octies.1 D.Lgs. 231/2001
Quali sono le condotte rilevanti per la responsabilità 231?
Come previsto dal D.Lgs. n. 184/2021, i nuovi reati-presupposto relativi agli strumenti di pagamento diversi dai contanti sono in grado di determinare la responsabilità dell’ente ai sensi del Decreto 231, se commessi nell’interesse o a vantaggio dell’impresa. Occorre dunque chiarire quali siano le condotte contemplate dalle fattispecie in esame.
Anzitutto, l’art. 493-ter c.p. (“Indebito utilizzo e falsificazione di strumenti di pagamento diversi dai contanti”) incrimina la condotta di chi – con la finalità di trarne un profitto – utilizza, non essendone titolare, carte di pagamento o ogni altro strumento di pagamento diverso dai contanti, nella definizione che abbiamo appena analizzato. La medesima disposizione punisce altresì chi falsifica o altera gli strumenti di pagamento già citati, oppure possiede, cede o acquisisce strumenti di provenienza illecita o comunque falsificati o alterati, nonché gli ordini di pagamento prodotti con essi. Tra le condotte si può certamente ricondurre la manipolazione dei POS o l’impiego di carte prepagate rubate o l’utilizzo di app da parte di chi non ne sia titolare.
Vi è poi l’art. 493-quater c.p. (“Detenzione e diffusione di apparecchiature, dispositivi o programmi informatici diretti a commettere reati riguardanti strumenti di pagamento diversi dai contanti”), introdotto nel codice penale proprio dal recente D.Lgs. 184/2021. Tale norma incrimina la produzione e varie condotte di “trasferimento” finalizzate a procurare per sé o per altri apparecchiature, dispositivi o programmi informatici che, per caratteristiche tecnico-costruttive o di progettazione, siano costruiti principalmente per commettere reati riguardanti gli strumenti di pagamento diversi dai contanti. Tra le condotte incriminate vi è, ad esempio, quella di importazione di software destinati a realizzare truffe on-line.
Infine, si deve considerare l’art. 640-ter comma c.p., per l’ipotesi aggravata della frode informatica che realizzi un trasferimento di denaro, di valore monetario o di valuta virtuale. Pensiamo, ad esempio, alle frodi informatiche attuate tramite campagne di phishing che conducono ad operazioni di trasferimento di denaro.
Quali presidi possono essere adottati dalle imprese, per ridurre il rischio di commissione dei reati in materia di strumenti di pagamento cashless
Com’è noto, per la Società che voglia andare esente dalla responsabilità prevista dal D.Lgs. 231/2001, è essenziale l’adozione di un Modello di Organizzazione, Gestione e Controllo idoneo a mitigare il rischio di commissione dei reati-presupposto.
Con riferimento specifico ai reati in materia di strumenti di pagamento, il sistema di controllo andrà identificato e valutato a partire da un assessment preliminare circa la concreta operatività aziendale in materia di pagamenti, con il censimento degli strumenti di pagamento aziendali, sia materiali che immateriali.
Eseguita questa mappatura iniziale, occorrerà procedere a verificare quali siano gli specifici presidi adottati dalla Società per ridurre il rischio di commissione degli illeciti in esame. Ciò anche in funzione delle attività sensibili per cui si ritiene che il rischio esista, quanto meno in forma potenziale.
Ad esempio, con riferimento all’attività di gestione della tesoreria, e in particolare dei flussi monetari, il sistema di controllo dovrà prevedere l’utilizzo esclusivo di canali e servizi di pagamento abilitati in base alle normative di riferimento. A riguardo, sarà utile consultare presso il sito internet della Banca d’Italia l’elenco degli intermediari per i servizi di pagamento abilitati in Italia; oppure, per i soggetti abilitati all’estero, si possono verificare gli estremi delle autorizzazioni rilasciate dalle altre Autorità di Vigilanza nazionali, come riportati nelle home dei siti internet degli intermediari di riferimento (ad esempio, per le società di diritto lussemburgherse, il sito internet della Commission de Surveillance du Secteur Financier ).
La Società sarà inoltre tenuta a garantire la legittima provenienza ed il lecito utilizzo degli strumenti di pagamento diversi dal contante.
Il sistema di controllo dovrà poi assicurare, in maniera chiara e tracciata, l’identificazione dei soggetti autorizzati o delegati ad eseguire i pagamenti per conto della Società, sia in contanti che mediante strumenti di pagamento diversi.
Nel caso di utilizzo di valuta virtuale, la Società dovrà altresì prevedere la verifica che i flussi finanziari abbiano ad oggetto valute di cui sia garantita e tracciata la provenienza da exchange abilitati in base alle normative vigenti. Da segnalare a riguardo che l’Albo Nazionale degli exchange abilitati è in fase di istituzione presso l’Organismo degli Agenti e dei Mediatori creditizi – OAM.
Infine, per verificare la corretta operatività nel tempo, la Società dovrà prevedere un monitoraggio periodico degli strumenti di pagamento, di cui possa garantire la titolarità.
Com’è evidente, nel caso in cui una Società fosse coinvolta nell’attività di sviluppo di software o di dispositivi funzionali all’erogazione di servizi di pagamento, una particolare attenzione dovrà essere rivolta all’adozione di misure organizzative e tecniche idonee a garantire che i prodotti realizzati non abbiano caratteristiche di progettazione e/o tecnico-costruttive tali da consentire la commissione di reati riguardanti strumenti di pagamento diversi dai contanti.
In tale ipotesi, quindi, nell’esecuzione del processo produttivo la Società dovrà garantire innanzitutto l’impiego di personale (dipendenti e/o consulenti esterni) formato e sensibilizzato in materia di contrasto alle frodi e alle falsificazioni dei mezzi di pagamento diversi dal contante.
Inoltre, la Società dovrà anche prevedere apposite clausole contrattuali con i collaboratori esterni aventi ad oggetto il rispetto della normativa sulla lotta contro le frodi e le falsificazioni di mezzi di pagamento diversi dai contanti.
Il comma 2 dell’art. 25-octies.1 D.Lgs. 231/2001. Dubbi interpretativi
Da segnalare, infine, che l’art. 25-octies del D.Lgs. 231/2001 riserva al secondo comma l’estensione della responsabilità degli enti a “ogni altro delitto contro la fede pubblica, contro il patrimonio o che comunque offende il patrimonio previsto dal codice penale, quando ha ad oggetto strumenti di pagamento diversi dai contanti”.
Si prevede dunque la sanzionabilità dell’ente per ogni delitto contro la fede pubblica, contro il patrimonio o che comunque concretamente offende il patrimonio previsto dal Codice Penale, quando la condotta abbia ad oggetto strumenti di pagamento diversi dai contanti. Questo salvo che il fatto integri altro illecito amministrativo sanzionato più gravemente.
Stante la formulazione della novella, permane il dubbio se tale disposizione comporti un’estensione della responsabilità dell’ente a tutti reati appartenenti alle categorie citate, anche se non già contemplati nel catalogo dei reati presupposto.
Tale ricostruzione appare invero poco ragionevole perché determinerebbe la rilevanza ai sensi del Decreto 231 di alcuni reati -come la truffa semplice- esclusivamente qualora questi abbiano ad oggetto strumenti di pagamento diversi dai contanti e non nell’ipotesi di moneta ‘tradizionale’.
Potranno invece considerarsi rientranti nell’area applicativa della disposizione in esame, condotte inquadrabili in norme incriminatrici già richiamate dal Decreto 231. É il caso, ad esempio, di attività di riciclaggio di denaro mediante criptovalute. In relazione a tale ipotesi l’utilizzo esclusivo di exchange abilitati rappresenta un presidio essenziale per la prevenzione del rischio di illecito.