E-commerce: come mettere in sicurezza il sito web ed evitare rischi legali
1. L’E-commerce: un settore in grande crescita, ma attenzione a rischi e sanzioni
L’E-commerce (o commercio elettronico) è in costante crescita, in Italia come nel mondo. Secondo gli ultimi dati, nel 2020 il volume d’affari delle imprese italiane che operano on line ha generato un volume d’affari superiore a 30 mld. di Euro. Il dato non sorprende, visti i molteplici vantaggi che il commercio elettronico può offrire alle imprese (in termini di risparmio di costi, sviluppo di clientela, apertura di nuovi mercati, etc.)
Alla crescente importanza del settore non sempre si accompagna, tuttavia, un’adeguata conoscenza e consapevolezza da parte degli operatori circa le normative vigenti in tema di e-commerce e i rischi legali a cui possono andare incontro in caso di mancata o insufficiente ottemperanza alle stesse.
Tale conclusione è avvalorata dai numerosi provvedimenti che l’Autorità garante per la concorrenza e il mercato (AGCM), anche su segnalazione di utenti e associazioni di consumatori, assume nei confronti delle imprese che svolgono attività di e-commerce, per violazioni della normativa in materia. Basti pensare che, solo nel 2020, l’AGCM ha irrogato ad imprese operanti nel commercio on line sanzioni per oltre 5 mln. di Euro.
È quindi necessario che le aziende le quali operano on line strutturino il proprio sito in modo conforme alle normative di settore, altrimenti esse rischiano di andare incontro a spiacevoli conseguenze; ciò soprattutto quando decidano di operare attraverso il proprio sito di e-commerce, (anziché attraverso retailer online o marketplace), accollandosi così direttamente gli oneri e le conseguenze del proprio operato.
Vediamo quindi, in sintesi, quali sono i principali obblighi delle aziende operanti nel settore del commercio on-line, previste dalla normativa vigente in tema di e-commerce, e i conseguenti rischi ai quali le stesse possono andare incontro, in caso di violazione delle normative applicabili.
In questo articolo ci soffermeremo esclusivamente sulle norme che regolano l’attività svolta dalle imprese nei confronti dei consumatori (B2C) – cioè delle persone fisiche che agiscono per scopi estranei all’attività imprenditoriale o professionale – che è quella maggiormente complessa ed espone le aziende ai rischi maggiori.
2. Gli obblighi informativi generali sul sito web
La normativa che regolamenta il commercio elettronico (ovvero essenzialmente il D.lgs. n. 70/2003 e il Codice del Consumo, D.lgs. n. 206/2005) ha lo scopo di assicurare trasparenza ed informazione all’acquirente – che a causa delle peculiarità dell’e-commerce non può avere una conoscenza diretta né un contatto immediato con il venditore – e di rendere affidabili e sicure le transazioni on line.
Nel settore dell’e–commerce, infatti, la spersonalizzazione del rapporto d’acquisto indebolisce tendenzialmente il consumatore- acquirente e lo pone in una posizione di asimmetria informativa rispetto all’azienda.
Per tutelare il consumatore, tutte le imprese che effettuano attività di e-commerce elettronico hanno l’obbligo di fornire una serie di informazioni generali, volte ad identificare l’azienda venditrice, i prodotti e servizi offerti, il prezzo e le modalità di pagamento, le garanzie per il consumatore etc., Tali informazioni devono essere inserite sul sito web, indipendentemente dall’ordine.
Si tratta essenzialmente delle seguenti informazioni:
· dati riguardanti l’identificazione del venditore/prestatore di servizi (nome, denominazione societaria, domicilio, sede, telefono, posta elettronica, numero iscr. REA – Reg. Imprese etc.);
· indicazione di prezzi e tariffe relative ai beni/servizi, con oneri fiscali, costi di consegna ed altri costi accessori; eventuali agevolazioni quali sconti, risparmi e vantaggi simili possono essere promossi sul sito solo se effettivi e se vengano comunicati il prezzo pieno di riferimento, a cosa corrisponde tale prezzo (es. prezzo di listino, prezzo applicato dal fornitore) e lo sconto/risparmio applicato;
· esistenza del diritto di recesso (ivi compreso il modulo per il recesso) o esclusione dello stesso (nelle sole ipotesi tassativamente previste dalla legge) con modalità tempi per ritiro o la restituzione bene nel caso di recesso;
· le modalità di pagamento, consegna (ivi comprese eventuali restrizioni) ed esecuzione dell’ordine;
· garanzie legali connesse alla vendita;
· indirizzo del fornitore per eventuali reclami;
· link alla piattaforma di risoluzione stragiudiziale delle controversie (ODR).
Vi sono inoltre delle informazioni che devono essere necessariamente fornite solo nel caso in cui il contratto venga concluso attraverso il sito web (ad esempio tramite compilazione dei campi informatici all’ uopo predisposti) e non qualora l’acquisto avvenga tramite scambio di corrispondenza o e-mail. Tali informazioni riguardano:
• le fasi tecniche da seguire per la conclusione del contratto;
• il modo in cui il contratto verrà archiviato e le relative modalità di accesso allo stesso;
• i mezzi tecnici messi a disposizione del destinatario per individuare e correggere gli errori prima dell’inoltro dell’ordine;
• gli eventuali codici di condotta del prestatore;
• le lingue a disposizione per concludere il contratto.
Tutte tali informazioni devono essere fornite in modo:
• facilmente accessibile (cioè qualsiasi utente medio deve essere in grado senza particolari difficoltà di accedere alle informazioni);
• diretto (cioè non possono essere utilizzati intermediari, o rinviare a link e altre informazioni rese disponibili altrove, l’utente deve conoscere in un unico contesto le informazioni tramite lo stesso sito nel quale è offerto il bene o il servizio)
• permanente (cioè devono essere accessibili in modo stabile);
• aggiornato.
Inoltre, tali informazioni devono essere fornite in modo appropriato rispetto al mezzo di comunicazione a distanza impiegato, con un linguaggio semplice, chiaro e comprensibile (landing page, email, banner).
3. Le informazioni relative all’ordine
La normativa in tema di e-commerce prevede che le imprese operanti in tale settore devono fornire agli utenti una serie di informazioni, non soltanto sul proprio sito web, ma anche sia prima che dopo che l’ordine da parte dell’utente è stato effettuato.
Anzitutto, già prima che il cliente effettui l’ordine on line (cliccando sul relativo pulsante) la pagina d’ordine presente sul sito web deve contenere una sorta di riassunto dell’ordine, contenente le seguenti informazioni:
· caratteristiche principali dei prodotti;
· spese di consegna;
· durata del contratto.
Queste informazioni devono essere fornite in modo chiaro, posizionate al di sopra del pulsante “ordine con obbligo di pagare” (di cui sotto) e chiaramente evidenziate rispetto al resto della pagina web.
Al momento di inoltrare l’ordine, l’impresa deve garantire che il consumatore abbia ben chiaro che l’atto che sta compiendo implica un obbligo di pagamento. Pertanto, se l’inoltro dell’ordine implica azionare un pulsante o una funzione analoga (come generalmente accade: si tratta del c.d. “point and click”), il pulsante o la funzione analoga devono riportare in modo facilmente leggibile le parole “ordine con obbligo di pagare” o una formulazione corrispondente, indicante in modo inequivocabile che l’inoltro dell’ordine implica l’obbligo di pagare (art. 51 del Codice del Consumo).
Se l’impresa disattende tale previsione, la conseguenza è molto drastica: il consumatore non è vincolato dal contratto o dall’ordine. Ha quindi diritto – se ha pagato – alla restituzione di quanto versato, e può agire per il risarcimento del danno.
In ordine a queste informazioni, l’AGCM è intervenuta varie volte; l’inottemperanza da parte delle aziende di e-commerce alle prescrizioni normative può integrare infatti delle pratiche commerciali scorrette, che espongono le imprese a conseguenze anche gravi (si pensi ad es. alla sospensione dell’attività di e-commerce).
Vi sono poi ulteriori obblighi informativi successivi all’inoltro dell’ordine; nella fase di esecuzione del contratto occorre infatti divulgare informazioni circa la conferma dell’ordine di acquisto e lo stato effettivo e gli sviluppi concreti dell’ordine. Ciò anche perché, attesa l’elevata concorrenza nell’e-commerce, se prontamente e adeguatamente informato sull’eventuale impossibilità di evadere l’ordine alle condizioni prospettate, il consumatore potrebbe sostituire l’impresa con una sua concorrente.
In particolare, una volta ricevuto l’ordine dall’acquirente, l’operatore deve fornire la conferma dell’ordine del destinatario contenente:
· tutte le informazioni obbligatorie che devono già essere fornite prima dell’ordine (ad es. dati riguardanti il venditore/prestatore di servizi, caratteristiche del bene/servizio, prezzo, costi di consegna, mezzi di pagamento, recesso, reclami etc.);
· un riepilogo delle condizioni generali e particolari applicabili al contratto.
Tali informazioni devono essere fornite su un mezzo durevole (ad es. via mail) entro un termine ragionevole dopo la conclusione del contratto e comunque al più tardi al momento della consegna dei beni oppure prima che l’esecuzione del servizio abbia inizio.
Anche in ordine a queste informazioni, l’AGCM è intervenuta varie volte, anche recentemente, sanzionando pesantemente varie imprese che avevano adottato un comportamento molto evasivo nei confronti dei consumatori circa l’andamento del proprio ordine. Anche tali comportamenti integrano infatti delle pratiche commerciali scorrette, che espongono le imprese a sanzioni.
4. Le sanzioni per le aziende che violano la normativa sull’e-commerce
Cosa accade quando le imprese disattendono le previsioni normative in tema di e-commerce?
In tal caso, l’impresa può andare incontro a sanzioni, irrogate dall’Autorità garante per la concorrenza e il mercato (AGCM). L’AGCM è un organo amministrativo dotato di poteri molto penetranti (può ad esempio servirsi della Guardia di Finanza, ordinare ispezioni etc.), ed agisce (anche d’ufficio, cioè senza necessità di denuncia) in base ad una procedura molto efficace e di breve durata (specie se paragonata a quella dell’autorità giudiziaria).
In particolare, l’AGCM può irrogare le seguenti sanzioni:
• pagamento di importi fino a 20.000,00 Euro, per la violazione degli obblighi informativi generali;
• pagamento di importi fino a 5 mln. di Euro, se la violazione degli obblighi sia ritenuta integrare una pratica commerciale scorretta, cioè un comportamento contrario alla diligenza professionale, idoneo a falsare il comportamento economico del consumatore medio (il che accade spesso).
• pubblicazione del provvedimento sanzionatorio sul sito dell’AGCM e talvolta anche sul sito web dell’operatore (con conseguenti ricadute negative per l’azienda sul piano dell’immagine).
In particolare, qualora l’AGCM ritenga che la violazione degli obblighi informativi da parte dell’azienda integri una pratica commerciale scorretta, le sanzioni sono per lo più elevate, dato che l’attività commerciale on line per sua natura è ritenuta particolarmente pericolosa per il consumatore.
Inoltre, tal caso, l’AGCM, nelle more del procedimento (che è comunque piuttosto breve), può sospendere l’utilizzo del sito web attraverso cui l’impresa esercita la propria attività (e anche questo avviene molto spesso).
Il suggerimento per le imprese che operano nell’e-commerce è ovvio: verificare attentamente, tramite un consulente legale specializzato in materia, che il sito web utilizzato per l’attività di e-commerce sia conforme alla normativa vigente, per evitare sanzioni che possono essere pesanti – anche sul piano dell’immagine – e/o il blocco dell’attività.
5. E-commerce: attenzione alle normative estere
In Italia il commercio elettronico è regolamentato da una dettagliata normativa – contenuta principalmente nel D.lgs. n. 70/2003 e nel Codice del Consumo. Ciò che è meno noto, o comunque spesso sottovalutato dagli operatori, è che, se l’impresa opera on line non solo entro i confini italiani, ma anche all’estero, cioè si rivolge ad una clientela residente in altri paesi diversi dall’Italia, deve anche conformarsi anche alle normative vigenti in tutti i paesi in cui opera.
In altri termini, se ad esempio un’impresa italiana vende vino tramite il proprio sito di e-commerce in altri paesi europei, o extraeuropei, la stessa deve attenersi alle prescrizioni dei paesi esteri in cui hanno residenza o domicilio gli acquirenti. Ciò in quanto, soprattutto se si tratta di B2C (cioè di contratti con i consumatori), ogni paese ha una propria distinta regolamentazione degli acquisti online, posta a tutela dei (propri) consumatori.
Infatti, in caso di commercio on line, e in particolare nelle transazioni B2C, si applica sempre la normativa del paese nel quale risiedono gli acquirenti (consumatori), poste a tutela di questi ultimi.
Pertanto, anche qualora nelle condizioni generali adottate dall’impresa italiana nel proprio sito web venga designata quale legge applicabile la legge italiana, si applica comunque la normativa del paese in cui l’azienda opera (che potrà essere anche divergente rispetto a quella italiana).
Così, ad esempio, se l’impresa italiana Alfa vende on line i propri prodotti in Francia, anche se nelle condizioni riportate sul proprio sito ha indicato la legge italiana come legge applicabile, si applicherà comunque la legge francese a tutela dei consumatori.
Le normative estere in tema di e-commerce possono essere diverse, anche in modo notevole, da quella italiana. Le differenze in ambito europeo sono nel complesso abbastanza limitate, dato che le normative sul commercio elettronico adottate dai paesi UE sono tutte essenzialmente di derivazione comunitaria (cioè derivano da direttive UE, in particolare in questo caso la Direttiva n. 83/2011), e quindi sono abbastanza simili (ma comunque non identiche).
Vi sono poi le indicazioni da seguire con riferimento alla privacy, anch’esse armonizzate in tutti i paesi UE dal GDPR (e anch’esse sanzionate).
Tuttavia, nonostante la presenza di un quadro uniforme di regole in ambito europeo, ogni paese può regolamentare la materia con disposizioni particolari; per cui occorre esaminare attentamente – avvalendosi di un legale esperto – la legislazione di ogni paese nel quale l’impresa decide di operare con il proprio e-commerce, in quanto possono sussistere norme diverse da paese a paese.
Ad esempio, in Francia la legge sull’e-commerce prevede che la descrizione di un prodotto in una pagina del sito web è considerata come un’offerta contrattuale vincolante; prevede che l’operatore nel proprio store on line debba spiegare agli utenti nel dettaglio termini e condizioni in materia di garanzia; regolamenta in modo molto dettagliato e rigido gli sconti; regolamenta l’onere della prova in caso di difetti della merce in modo diverso dalla direttiva UE; e così via.
In Germania, il commercio on line è regolamentato dettagliatamente da numerose norme – in particolare in materia di condizioni generali di vendita (AGB) e di informazioni dell’operatore di e-commerce (Impressum), di pulsanti di acquisto on line (Kauf buttons), etc. – che prevedono una serie di sanzioni anche pesanti in caso di inosservanza.
In Spagna, nelle transazioni che coinvolgono un consumatore (B2C), gli operatori on line sono tenuti a fornire, insieme al prodotto ordinato, una copia cartacea delle condizioni di vendita del prodotto e delle specifiche policy sul recesso, ameno che il consumatore rinunzi espressamente a tale diritto.
Le differenze (e quindi le difficoltà per gli operatori on line) aumentano quando si tratta di operare in paesi extra UE, che non hanno una legislazione armonizzata e quindi regolamentano la materia in modo totalmente differente tra paese e paese.
In USA, ad esempio, il quadro normativo è particolarmente complesso in quanto, oltre alla normativa federale che regolamenta l’e-commerce, sotto l’egida della Federal Trade Commission (FTC) – a sua volta in modo differenziato a seconda della tipologia dei prodotti – occorre tenere in considerazione le singole normative degli stati, che differiscono notevolmente tra loro. E quindi, per esempio, in caso di vendita online di prodotti food o liquori, ogni stato detta regole diverse in ordine alle licenze, all’etichettatura (labelling), al packaging, etc. Lo stesso dicasi per le norme in materia di privacy.
In Cina vigono norme molto dettagliate in tema di e-commerce, in particolare per quanto concerne la sicurezza e l’igiene di alimenti e di informazioni ai consumatori. Vi sono inoltre precisi e rigidi meccanismi di approvazione obbligatori per l’ingresso di determinati prodotti (ad esempio alimentari, medicinali, alcolici etc.).
Alla luce di quanto sopra, è opportuno che un’impresa di e-commerce che operi in diversi paesi (oltre all’Italia), per evitare di incorrere in conseguenze negative:
· effettui in via preventiva un’analisi approfondita della legislazione sul commercio elettronico vigente in ogni singolo paese in cui ha intenzione di operare;
· selezioni accuratamente, alla luce di tale analisi, i paesi in cui decide di operare, operando delle scelte mirate;
· predisponga per ogni singolo paese in cui ha deciso di operare condizioni contrattuali ad hoc, adottando la lingua di ogni singolo paese (quindi non solo l’inglese) ed eventualmente siti web dedicati.
Tali attività e verifiche devono essere necessariamente fatte rivolgendosi ad uno studio legale specializzato in commercio elettronico.
6. Gli adempimenti privacy
Infine, le imprese che operano on line devono naturalmente conformarsi alla normativa sulla privacy, che come è noto è stata introdotta dal Regolamento UE n. 2016/679 (GDPR).
L’entrata in vigore del GDPR ha determinato un radicale cambiamento nell’approccio nella regolamentazione della materia, introducendo principi prima estranei al nostro “vecchio” Codice Privacy; tra questi, un ruolo preminente spetta al c.d. principio di “responsabilizzazione” (“accountability”), del titolare e del responsabile del trattamento.
Tale principio mira al raggiungimento della protezione effettiva del dato personale oggetto di trattamento: titolare e responsabile del trattamento devono non solo agìre secondo le migliori prassi, ma anche dimostrare di aver posto in essere tutte le misure di sicurezza opportune e necessarie, fornendo una giustificazione delle decisioni ed azioni intraprese.
Non essendo ovviamente possibile in questa sede descrivere tutti gli adempimenti privacy, ci limiteremo ad evidenziarne alcuni tra i più rilevanti.
Il sito web utilizzato dall’impresa per attività di e-commerce deve anzitutto contenere una adeguata privacy policy, che fornisca tutte le informazioni necessarie affinché i visitatori del sito possano decidere in modo consapevole se prestare il consenso al trattamento dei loro dati personali o meno. La privacy policy – notevolmente diversa da quella prevista in precedenza dal “vecchio” Codice Privacy – deve indicare chiaramente e in modo facilmente accessibile:
· quali dati personali raccoglie il sito;
· perché tali dati vengono raccolti e trattati;
· da chi tali dati vengono raccolti e trattati;
· con quali modalità tali dati vengono ottenuti;
· come e per quanto tempo tali dati vengono conservati;
· se tali dati saranno ceduti a soggetti terzi e, in caso positivo, a quali condizioni.
Devono inoltre essere inserite specifiche informative in relazione a trattamenti di dati di utenti per determinati richieste o servizi (si pensi, ad esempio, alla gestione di un’area riservata per monitorare gli ordini effettuati o al servizio di newsletter commerciale) e deve essere prevista una Cookies policy, inserendo ad esempio un banner con opt-in che contenga i vari Cookies utilizzati, in modo da permettere all’Utente di poter fornire un consenso espresso.
Infatti, dato che il consenso al trattamento dei dati deve essere prestato dall’utente in modo espresso ed inequivocabile, i moduli per le newsletter e in generale le preferenze di contatto inserite nel sito non possono più contenere il consenso dell’utente di default. Deve essere pertanto inserita nel sito web una apposita casella di spunta per il consenso al trattamento dei dati personali, senza che la stessa possa essere precompilata. Inoltre, sia i messaggi sponsorizzati che i moduli funzionanti in modalità opt-out (cioè i moduli che appaiono quando il cursore del mouse si muove verso la parte superiore della pagina per chiuderla) devono essere riadattati in modalità opt-in opzionale.
Il sito web deve inoltre essere dotato di un proprio database separato che faciliti la richiesta di cancellazione dei dati personali, e di un sistema di verifica dei dati degli utenti/visitatori, che renda possibile la notifica immediata nel caso in cui vengano violati i dati personali.
I dati personali raccolti devono essere protetti da qualsiasi rischio di furto, smarrimento o divulgazione. Per garantire la sicurezza dei dati, il GDPR prevede una serie di misure, quali in particolare:
· utilizzare nomi cifrati per i dati personali;
· utilizzare sistemi che permettano di garantire la riservatezza, l’integrità, la disponibilità e l’annullamento dei sistemi e dei servizi di trattamento;
· dotarsi di metodi che permettano di ripristinare la disponibilità dei dati personali e l’accesso ad essi, in tempi appropriati in caso di incidenti fisici o tecnici;
· adottare procedure volte a verificare, analizzare e valutare regolarmente l’efficacia delle misure tecniche e operative per assicurare la sicurezza nel trattamento dei dati.
Il mancato adeguamento agli obblighi imposti dal GDPR può comportare sanzioni molto pesanti per le imprese, essendo previste multe fino a 20 milioni di Euro o fino al 4% del fatturato.
Inizialmente, a seguito dell’entrata in vigore del GDPR, il Garante Privacy ha mostrato una notevole tolleranza e indulgenza nei confronti delle imprese, dati i numerosi e importanti cambiamenti intervenuti in materia di privacy per effetto del GDPR. Ma oggi non è più così; sono state compiute e sono in corso numerose ispezioni (dati gli ampi poteri di cui dispone l’Autorità), a seguito delle quali sono state irrogate e sono corso di irrogazione sanzioni anche gravi.
Su questo argomento, l’Avv. Pandolfini, titolare dello Studio legale Pandolfini, con sede a Milano, terrà un webinar gratuito il 25 gennaio 2022 alle ore 14.30, dal titolo: “E-commerce: come evitare rischi legali”. Per iscriversi, compilate il form su: https://assistenza-legale-imprese.it/legal-talks/
Valerio Pandolfini è avvocato e titolare dello Studio legale Pandolfini, con sede in Milano.
Si occupa da oltre venti anni di consulenza legale d’impresa, e in particolare di contrattualistica d’impresa nazionale e internazionale, diritto societario, compliance aziendale, proprietà industriale e intellettuale.
È autore di numerosi articoli e pubblicazioni e tiene regolarmente corsi e seminari per prestigiose università ed enti attivi nella formazione.