Sull’onere di tempestiva allegazione della prova della “forza” del sistema di autenticazione da parte del prestatore del servizio: la pronuncia monografica del Tribunale di Verona.



8 min read

Nota a Trib. Verona, Sez. III, 10 gennaio 2022.

di Antonio Zurlo

 

 

 

 

 

Nel caso di specie, oggetto della controversia è un utilizzo fraudolento perpetrato mediante la tecnica del c.d. vishing, ovverosia una truffa per il tramite di una serie di contatti telefonici con l’ignoto truffatore.

Il giudice veronese, per il tramite di una puntuale rassegna della normativa settoriale, evidenzia come la disciplina di riferimento per la soluzione della controversia in esame sia contenuta nel D.lgs. n. 11/2010 (sì come modificato dal D.lgs. n. 218/2017 e, segnatamente, negli art. 7, 10, 10bis e 12). In particolare, l’art. 7, come noto, prevede l’obbligo dell’utilizzatore di uno strumento di pagamento di: a) utilizzare quest’ultimo in conformità con i termini, esplicitati nel contratto quadro, che ne regolano l’emissione e l’uso e che devono essere obiettivi, non discriminatori e proporzionati; b) comunicare, senza indugio, al prestatore dei servizi di pagamento lo smarrimento, il furto, l’appropriazione indebita o l’uso non autorizzato dello strumento non appena ne venga a conoscenza.

Il successivo art. 10 stabilisce, per un verso, che, nell’ipotesi in cui l’utilizzatore di servizi di pagamento neghi di aver autorizzato un’operazione, sia onere del prestatore di servizi di pagamento comprovare che tale operazione sia stata autenticata, correttamente registrata e contabilizzata e, ancora, che non abbia subito le conseguenze del malfunzionamento delle procedure necessarie per l’esecuzione o altri inconvenienti. Per altro verso, la disposizione de qua prevede che l’utilizzo dello strumento di pagamento non sia di per sé necessariamente sufficiente per dimostrare l’autorizzazione dell’operazione da parte dell’utilizzatore, ovvero che questi abbia agito in modo fraudolento o, ancora, si sia reso inadempiente con dolo o colpa grave agli obblighi di custodia sopra individuati. Infine, l’art. 12 (per quel che concerne precipuamente le operazioni eseguite con uno strumento di pagamento smarrito, sottratto o utilizzato indebitamente prima della comunicazione di cui all’art. 7) introduce una distinzione a seconda che l’utilizzatore abbia agito con dolo o colpa grave, ovvero non abbia adottato le misure idonee a garantire la sicurezza dei dispositivi personalizzati di utilizzo dello strumento di pagamento. Più precisamente (e avuto riguardo al caso di specie) la disciplina di riferimento prevede che «[…] salvo se abbia agito in modo fraudolento o non abbia adempiuto a uno o più degli obblighi di cui all’art. 7, con dolo o colpa grave, il pagatore può sopportare, per un importo comunque non superiore a euro 50, la perdita relativa a operazioni di pagamento non autorizzate derivanti dall’utilizzo indebito dello strumento di pagamento conseguente al suo furto, smarrimento o appropriazione indebita […]».

Da un punto di vista più strettamente applicativo, si è osservato come l’art. 10, nella ripartizione dell’onere probatorio in caso di disconoscimento di operazioni, ponga in essere una precisa e graduata sequenza: in primo luogo, il prestatore di servizi di pagamento deve provare che l’operazione di pagamento sia stata autenticata, correttamente registrata e contabilizzata e che non abbia subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti; assolto con successo questo primo onere (si badi, necessario ma, di per sé, insufficiente a dimostrare che l’operazione sia stata autorizzata dal titolare), il prestatore deve dimostrare, al fine dell’esonero da responsabilità, che l’uso indebito del dispositivo sia da ricondursi al comportamento, fraudolento, doloso o gravemente colposo dell’utilizzatore rispetto agli obblighi di condotta imposti a quest’ultimo dall’art. 7 del prefato decreto (primariamente gli obblighi di custodia del dispositivo e delle chiavi di accesso).

Del resto, trattandosi di operazioni di pagamento effettuate per il tramite di sistemi elettronici gestiti o, comunque, messi a disposizione da parte dell’intermediario, sul quale lo stesso decreto citato pone specifici oneri di carattere organizzativo con specifici riguardo alla sicurezza dei sistemi (ex art. 8, comma 1, lett. a), la prima necessaria incombenza probatoria consiste nel dimostrare la perfetta funzionalità del sistema.

Con riguardo alla modalità di autenticazione delle operazioni, l’art. 10bis del medesimo D.lgs. n. 11/2010 prevede che «Conformemente all’articolo 98 della direttiva (UE) 2015/2366 e alle relative norme tecniche di regolamentazione adottate dalla Commissione europea, i prestatori di servizi di pagamento applicano l’autenticazione forte del cliente quando l’utente: a) accede al suo conto di pagamento on-line; b) dispone un’operazione di pagamento elettronico; c) effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi.».

L’art. 1, lett. q-bis, del medesimo decreto chiarisce, conformemente alla suddetta direttiva, che la c.d. “autenticazione forte” consista in «un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione.».

Sul punto, è intervenuta l’European Banking Authority (EBA), con la “Opinion” del 21 giugno 2019[1], nella quale sono stati rassegnati alcuni dei più comuni sistemi di autenticazione predisposti dagli intermediari, per valutare se possano o meno annoverarsi tra i presidi di autenticazione forte.

In perfetta aderenza a questa monografica ricostruzione della disciplina da applicarsi alla fattispecie, il giudice veronese rileva come occorra innanzitutto accertare, per attenersi alla sequenza di verifiche sopra indicata, se la convenuta abbia dimostrato che le operazioni contestate fossero state autenticate mediante la combinazione di almeno due dei tre elementi, che caratterizzano la c.d. “autenticazione forte”. Sul punto, il Tribunale addiviene a una risposta negativa, dal momento che la convenuta non ha replicato tempestivamente al puntuale rilievo attoreo, esposto già in atto di citazione, per cui il «servizio on-line tramite App di Xxxx prevedeva l’utilizzo della sola username associata ad una password, senza la previsione di un sistema di autenticazione OTP (One Time Password).». Invero, nella comparsa di costituzione e risposta, a sostegno della negazione di qualsiasi responsabilità, la convenuta si era limitata a sostenere di aver adempiuto ai propri obblighi nei confronti della attrice, diffidando i propri clienti, sia tramite volantini, sia tramite email, sia tramite avvisi affissi negli uffici e pubblicati sul sito, dal fornire informazioni personali online.

A tal riguardo, il giudice veronese rileva come il principio di non contestazione, di cui all’art. 115, comma 1, c.p.c. (come riformato dalla l. n. 69/2019), riguarda anche i fatti secondari[2]. Solo con le note autorizzate ai sensi dell’art. 183bis, terzo periodo, c.p.c, e, quindi, dopo l’avvenuto mutamento del rito, la resistente ha sostenuto che il sistema per accedere ai propri servizi online non prevedesse solo l’inserimento del codice Titolare (password statica) e del codice PIN (password statica), ma anche quello di un codice numerico (dovrebbe trattarsi dell’OTP). Tale allegazione è stata tardiva, perché è stata inserita in un atto destinato alla sola indicazione di prova diretta e, comunque, non è stata oggetto di richieste istruttorie, al pari di quella originaria sulle avvertenze generali che la convenuta avrebbe fornito alla propria clientela.

Nella seconda nota autorizzata, destinata invero ex lege alla sola indicazione di prova contraria, la resistente ha addirittura mutato prospettazione, asserendo che dal 12 settembre 2019, data di entrata in vigore del recepimento in Italia della Direttiva 2015/2366/UE, avrebbe implementato i sistemi di autenticazione aggiungendo all’OTP un ulteriore codice conto statico. Per comprovare tale allegazione, a fortiori tardiva, la resistente produceva dei documenti di propria provenienza e, come tali, del tutto inattendibili, senza avanzare istanze istruttorie orali.

Peraltro, assume valenza di argomento di prova sfavorevole alla convenuta, ai sensi dell’art. 8, comma 4bis, D.lgs. n. 28/2010, primo periodo, anche la mancata partecipazione, senza giustificato motivo, al procedimento di mediazione promosso ante causam dall’attrice[3].

Appurato che la convenuta non abbia dimostrato di aver adottato un sistema di autenticazione forte e, quindi, di aver adempiuto agli obblighi su di essa gravanti in base alla disciplina summenzionata, diventa irrilevante stabilire se l’uso indebito del servizio di home banking sia da ricondursi al comportamento gravemente colposo della attrice, rispetto agli obblighi di condotta a lei imposti dall’art. 7 del D. lgs. n. 11/2010 e, in particolare, per aver seguito le istruzioni di un soggetto presentatosi come dipendente della convenuta sulla base di circostanze oggettivamente molto sospette.

Ne consegue il diritto di parte attrice di ottenere il rimborso, da parte della convenuta, dell’importo sottrattole, ai sensi dell’art. 11 del D. lgs. n. 11/2010.

 

Qui la sentenza.


[1] Richiamata espressamente dal Regolamento UE/2018/389, del 27.11.2017.

[2] Così, sia pure solo implicitamente, Cass. Civ., Sez. Un., 29.05.2014, n. 12065.

[3] Come noto, tale procedura ha carattere non già obbligatorio, ma volontario, poiché la presente controversia non rientra tra quelle relative ai “contratti bancari” di cui all’art. 5, comma 1bis, D.lgs. n. 28/2010, atteso che riguarda una responsabilità inerente ai servizi di pagamento, che possono essere prestati anche da un soggetto non bancario sotto il profilo soggettivo. Nella specie, la convenuta rifiutò di aderire alla ADR adducendo a giustificazione di tale sua decisione di aver correttamente operato; pur tuttavia, la convinzione della fondatezza dei propri assunti non può certo integrare il giustificato motivo di mancata partecipazione alla mediazione perché, se così non fosse, verrebbe vanificata la funzione deflattiva dell’istituto.

Iscriviti al nostro canale Telegram 👇

Ricerca avanzata


  • Categorie

  • Autori

  • Seleziona il periodo

Copy link
Powered by Social Snap