Onere probatorio del PSP: la sola prova dell’autenticazione e della regolarità dell’operazione disconosciuta non è sufficiente



10 min read

di Marzia Luceri

Nota ABF, Collegio di Coordinamento, 2 ottobre 2019

Premessa

L’Arbitro Bancario e Finanziario, con la presente decisione, ha enunciato un principio interpretativo in ordine all’assolvimento dell’onere della prova della frode, del dolo o della colpa grave dell’utente, posto a carico del prestatore di servizi di pagamento (d’ora in poi, PSP), a norma dell’art. 10, comma 2, d.lgs. n. 11/2010, discostandosi dalla precedente giurisprudenza arbitrale e rafforzando la tutela dell’utente, frequentemente vittima di attività fraudolente da parte di terzi.

La controversia oggetto del ricorso

Il ricorrente contestava, in qualità di titolare di una carta ricaricabile emessa dall’intermediario resistente, un’operazione di pagamento on-line a favore di un beneficiario estero, effettuata da terzi ignoti, asserendo di essere sempre stato in possesso della carta e del corrispondente PIN, senza averne mai rivelato gli estremi e senza averne mai subito furto o smarrimento.

L’intermediario resistente, in sede di controdeduzioni, affermava “la legittima esecuzione e sostanziale regolarità dell’operazione oggetto di contestazione”, precisando che la “spunta verde”, risultante dai log informatici, denotava l’assenza di irregolarità o anomalie.

Nell’esporre i fatti di causa, il PSP evidenziava che l’operazione era stata eseguita con il sistema dinamico di autorizzazione con utilizzazione dell’OTP[1]; quanto asserito risultava certificato dal simbolo presente nella colonna “Input mode” dei summenzionati log.

 In conclusione, l’intermediario precisava che “i clienti sono gravati dall’obbligo di diligente custodia dei dispositivi personalizzati che consentono l’utilizzo dello strumento di pagamento, quali tessere con microchip e password, nonché di osservanza delle disposizioni contrattuali pattuite con l’intermediario”.

Tuttavia, in sede di repliche, il ricorrente rilevava l’inidoneità della “spunta verde” ad attestare l’assenza di regolarità dell’operazione ovvero la circostanza che la stessa fosse stata effettuata dall’utente; in secondo luogo, asseriva di non aver mai ricevuto la password dinamica mediante SMS.

In ragione della peculiarità della controversia e dell’importanza della normativa in esame[2], il Collegio di Bari, territorialmente competente, ha rimesso la presente questione al Collegio di Coordinamento.

L’ordinanza di rimessione: l’applicabilità dei principi e delle regole del diritto processuale civile nel procedimento ABF

Premesso che il rischio di utilizzazione fraudolenta degli strumenti di pagamento viene posto, in prima battuta, a carico dell’intermediario, nell’ordinanza di rimessione, il Collegio di Bari richiamava il primo e il secondo comma dell’art. 10 del d.lgs. n. 11/2010, evidenziando come, sulla base di precedenti decisioni del Collegio di Coordinamento, l’apparente corretta autenticazione dell’operazione non sia necessariamente sufficiente a dimostrarne la riconducibilità all’utilizzatore che la abbia disconosciuta, cosicché la responsabilità dell’utilizzatore resta circoscritta ai casi di comportamento fraudolento del medesimo ovvero al suo doloso o gravemente colposo inadempimento degli obblighi previsti dall’art. 7 del decreto sopra menzionato[3].

In ragione di ciò, qualora non venga dimostrata tale responsabilità da parte del PSP, l’utilizzatore non sarà tenuto a sopportare le conseguenze dell’uso fraudolento, o comunque non autorizzato, dello strumento di pagamento.

Nonostante l’intermediario resistente abbia allegato i log informatici e abbia versato in atti la tracciatura dell’SMS[4], il Collegio di Bari non riteneva fossero stati provati i fatti idonei a integrare il dolo o la colpa grave dell’utente, poiché detta prova non può coincidere con la mera regolarità formale dell’operazione.

Se così fosse, ad avviso dell’ordinanza di rimessione, si procederebbe ad una interpretazione abrogantedell’art. 10, comma 2, d.lgs. n. 11/2010.

Inoltre, al fine di dirimere i dubbi interpretativi, il Collegio remittente ha richiamato due precedenti decisioni di coordinamento con le quali è stata affermata l’applicabilità, nel procedimento ABF, dei principi e delle regole del diritto processuale civile.

Con la prima decisione, nel rispetto del principio di corrispondenza tra chiesto e pronunciato ex art. 112 c.p.c., si precisa che l’Arbitro deve decidere sulla base dei fatti allegati dalle parti e delle prove fornite per supportarli[5].

In applicazione del principio della domanda e del rispetto del contraddittorio, con la seconda decisione, il Collegio chiarisce che “il ricorrente è tenuto a formulare una domanda che sia articolata nel petitum […] e nella causa petendi […] e a produrre la documentazione dimostrativa. Reciprocamente, il resistente ha l’onere processuale di addurre le argomentazioni (fattuali e giuridiche) idonee a contrastare la domanda e di produrre la documentazione ritenuta idonea allo scopo […]. Il giudicante (l’arbitro come il giudice) ha il potere – dovere di stabilire la corretta qualificazione giuridica delle questioni portate alla sua cognizione, ma non quello di prendere in esame situazioni di fatto diverse da quelle rappresentate dalle parti[6].

Da ultimo, ai fini che qui interessano, il Collegio di Bari ha rimesso la questione al Collegio di Coordinamento affinché venga chiarito se l’onere probatorio relativo alla sussistenza del dolo o della colpa grave del cliente possa ritenersi assolto anche in assenza di una specifica allegazione da parte del PSP ovvero possa desumersi dalla prova della “regolarità formale” dell’operazione o, in alternativa, non debba ritenersi assolto.

La decisione del Collegio di Coordinamento

Prima di procedere all’esame della controversia oggetto dell’ordinanza di rimessione, il Collegio di Coordinamento ha precisato che nella giurisprudenza arbitrale, ancor prima della novella del 2017, era costante l’orientamento interpretativo secondo il quale l’onere probatorio del dolo o della colpa grave dell’utente dovesse ricadere sull’intermediario[7].

I Collegi arbitrali erano soliti, tuttavia, procedere in via autonoma all’accertamento della colpa grave del ricorrente: per mezzo degli elementi conoscitivi risultanti dagli atti e delle informazioni documentate, forniti dal PSP, ai fini della prova dell’autenticazione e della regolarità dell’operazione disconosciuta, in via presuntiva, veniva desunta la sussistenza della colpa grave.

La prassi pocanzi evidenziata, ad avviso del presente Collegio, non risulta coerente con quanto previsto al secondo comma dell’art.10 del d.lgs. n. 11/2010 (ante e post novella) il quale, innanzitutto, precisa che “l’utilizzo di uno strumento  di  pagamento  registrato  dal prestatore di servizi di pagamento […] non è di per sé necessariamente sufficiente  a  dimostrare che l’operazione   sia   stata   autorizzata dall’utente medesimo, che questi abbia  agito  in  modo fraudolento o non abbia adempiuto con dolo o colpa grave  a uno o più degli obblighi di cui all’articolo 7” e, in secondo luogo, attribuisce l’onere probatorio della frode, del dolo o della colpa grave al PSP.

Questa osservazione trova riscontro, altresì, in quanto affermato dalla Relazione illustrativa che accompagna lo schema del d.lgs. n. 218/2017[8].

Il Collegio di Coordinamento fa presente come le attività fraudolente, che coinvolgono gli utilizzatori degli strumenti di pagamento, siano alquanto sofisticate e aggressive, in grado di prevalere sui presidi di sicurezza approntati dal PSP, senza che al comportamento dell’utilizzatore possa riconoscersi alcuna efficienza causale (o quanto meno non determinante) nella produzione del fatto illecito.

A tal riguardo, si osserva come i PSP dispongano, altresì, di “applicativi antifrode”, dai quali sarebbe possibile percepire le eventuali anomalie che coinvolgono le operazioni nella loro fase esecutiva[9].

In ragione di ciò, ad avviso del Collegio di Coordinamento, i prestatori dei servizi di pagamento sarebbero nella posizione di poter assolvere l’onere probatorio, allegando informazioni utili quali, ad esempio, la ricezione dell’SMS contenente la password, l’accertata assenza di malware oppure di tentativi falliti di digitazione del PIN, consentendo all’utente di poter limitare la propria condotta processuale al solo disconoscimento dell’operazione (il che, ad avviso dello scrivente, desta delle perplessità).

Al fine di avvalorare il proprio orientamento interpretativo, il Collegio di Coordinamento ha richiamato una sua precedente decisione, con la quale si precisava la necessità della prova di un comportamento abnorme e, in quanto tale, non scusabile[10].

In ultima analisi, in ordine alla controversia in esame, il Collegio si orienta in senso conforme a quanto asserito nell’ordinanza di rimessione in merito all’applicabilità dei principi del processo civile sull’onere della prova, richiamando, a tal proposito, una recente sentenza della Cassazione in relazione alla distinzione tra potere di allegazione e quello di rilevazione[11], per mezzo della quale ritiene che dovrebbe escludersi la rilevabilità d’ufficio della colpa grave sulla base del materiale probatorio legittimamente acquisito, stante la previsione normativa che indica come necessaria l’iniziativa di parte. Tuttavia, si precisa che, nel caso in cui l’accertamento dell’elemento soggettivo de quo dovesse palesemente emergere dalle dichiarazioni rese dal ricorrente in sede di denuncia, si potrebbe ritenere assolto l’onere probatorio da parte del PSP, anche qualora non venga dedotta alcuna informazione in merito alla colpa grave dell’utente.

Alla luce di tali osservazioni, ai fini che qui interessano, il Collegio di Coordinamento accoglie il ricorso, accertando il diritto del ricorrente al rimborso dell’importo indicato, nonché enunciando il principio interpretativo per cui:

“la previsione di cui all’art. 10, comma 2, del d. lgs. n.11/2010 in ordine all’onere posto a carico del PSP della prova della frode, del dolo o della colpa grave dell’utilizzatore, va interpretato nel senso che la produzione documentale volta a provare l’”autenticazione” e la formale regolarità dell’operazione contestata non soddisfa, di per sé, l’onere probatorio, essendo necessario che l’intermediario provveda specificamente a indicare una serie di elementi di fatto che caratterizzano le modalità esecutive dell’operazione dai quali possa trarsi la prova, in via presuntiva, della colpa grave dell’utente”.


[1] L’OTP (ossia “on-time password”) è una password temporanea che l’intermediario affermava esser stata inviata tramite SMS al numero di cellulare del ricorrente.

[2] Il D.lgs. n. 11/2010, in materia di strumenti di pagamento, è stato modificato dal d.lgs. n. 218/2017, il quale ha previsto disposizioni rafforzative del regime di favor probatorio a beneficio dell’utente.

[3] V. ABF, Coll. Coord., dec. n. 3947 del 24.06.2014. In tal senso vedi anche Coll. Coord. dec. n. 3498/2012; Coll. Coord., dec. n. 991/2014.

[4] Da tale tracciatura si evinceva che la data e l’orario di creazione della password coincidevano con quelli dell’operazione contestata. Nonostante la prova dell’invio dell’SMS, il Collegio di Bari asseriva che, per mezzo della tracciatura, non potesse dirsi provata la sua ricezione.

[5] V. ABF, Coll. Coord., dec. n. 7716/2017

[6] V. ABF, Coll. Coord. dec. n. 10929/2016

[7] V. ABF, Coll. Coord., dec. n. 3947/2014 nella parte in cui prevede che “L’onere di provare che l’utilizzatore abbia agito con dolo o colpa grave, incombe peraltro, sull’intermediario ai sensi dell’art. 10 del su richiamato decreto”.

[8] “Inoltre, lo schema del decreto modifica ulteriormente la disposizione contenuta nell’art. 10, prevedendo che il PSP, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, forniscano gli elementi di prova della frode, del dolo o della colpa grave dell’utente, poiché l’utilizzo di uno strumento di pagamento registrato dal PSP non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autentica dall’utente medesimo”.

[9] Si rinvia, in particolar modo, alle informazioni riguardanti le caratteristiche del device utente, quali, ad esempio, il sistema operativo, il tipo di browser e l’indirizzo IP. Tali elementi, di rado, vengono indicati nei log informatici, che i PSP forniscono nelle controdeduzioni, attraverso i quali viene accertata la regolarità e la legittima esecuzione dell’operazione (come nella controversia in esame).

[10] V. ABF, Coll. Coord. dec. n. 6168/2013. Nella presente decisione si afferma l’eventualità di poter ammettere una prova in via presuntiva “laddove sussista una serie di elementi di fatto particolarmente univoca e convergente, al punto che possa ragionevolmente ritenersi che l’utilizzo fraudolento sia effettivamente riconducibile sul piano causale alla condotta dell’utilizzatore”.

[11] V. Cass. civ. ord. n. 27405/2018 secondo la quale “in relazione all’opzione difensiva del convenuto consistente nel contrapporre alla pretesa attorea fatti ai quali la legge attribuisce autonoma idoneità modificativa, impeditiva o estintiva degli effetti del rapporto sul quale la predetta pretesa si fonda, occorre distinguere il potere di allegazione da quello di rilevazione; infatti, mentre il primo compete esclusivamente alla parte e va esercitato nei tempi e nei modi previsti dal rito in concreto applicabile (pertanto, soggiacendo alle relative preclusioni e decadenze), il secondo spetta alla parte (ed è soggetto, perciò, alle preclusioni stabilite per le attività di parte) solo qualora la manifestazione della sua volontà sia strutturalmente prevista quale elemento integrativo della fattispecie difensiva (come nell’ipotesi di eccezioni corrispondenti alla titolarità di un’azione costitutiva), ovvero quando singole disposizioni espressamente indichino come indispensabile l’iniziativa di parte”.

Qui il testo della decisione

Ricerca avanzata


  • Categorie

  • Autori


  • Seleziona il periodo

Copy link
Powered by Social Snap