Errore nelle operazioni di pagamento online.

La pronuncia in esame attiene alla tematica dell’esecuzione di operazioni di pagamento, nello specifico bonifici a distanza, ossia tramite internet, attraverso delle procedure concordate al fine di verificare l’identità del cliente e la validità dell’uso di uno specifico strumento di pagamento. In particolare, tra marzo e aprile 2019, l’attore ordinava online due bonifici che erano erroneamente accreditati a persone diverse dai destinatari e, per tale motivo, ne chiedeva il risarcimento del danno. Vertendo la causa nell’ambito della responsabilità contrattuale, l’utilizzazione dei servizi telematici da parte del correntista (home banking) rientra nell’area del rischio professionale della banca e richiede una diligenza di natura tecnica specifica. In caso di contestazione, pertanto, spetta alla banca dimostrare che l’operazione sia riconducibile al cliente correntista, provando di aver adottato misure atte a prevenire frodi informatiche e l’adeguatezza dei sistemi informatici da essa utilizzati. Orbene, il Tribunale di Ascoli Piceno ha deciso di rigettare la domanda attorea avendo l’intermediario assolto al proprio onere probatorio e non sussistendo alcuna responsabilità contrattuale né extracontrattuale in capo al convenuto. Dagli atti di causa infatti risulta che la banca aveva fornito al cliente il sistema di autenticazione c.d. “a due fattori”, ossia un sistema che costituiva già un’importante misura di sicurezza rispetto alla mera password[1]. Difatti, si evidenzia che all’epoca dei fatti non erano ancora in vigore le disposizioni in materia di autenticazione e misure di sicurezza introdotte dalla Direttiva (UE) n.2015/2366, recepite in Italia dal d.lgs n.218/2017, che prevedono l’autenticazione del cliente non solo attraverso le credenziali “statiche” (UserId e Pi.), ma anche attraverso l’utilizzo di un codice dinamico (OTP – One Time Password) o un codice cifrato monouso. Posto che la banca aveva correttamente adempiuto a quanto previsto dall’art.8, co.1, lett. a) d.lgs 11/2010 e che le operazioni di bonifico erano state disposte dall’attore in maniera errata, il prestatore del servizio di pagamento eseguiva gli ordini in conformità ai dati impartiti, non avendo alcun obbligo di verifica circa il beneficiario e il conto indicato dall’identificativo unico (cfr. Cass. n. 20639/2019). Al riguardo, il Tribunale ricorda che qualora l’identificativo unico indicato dal correntista sia inesatto, il prestatore dei servizi di pagamento non è responsabile, ai sensi del d.lgs n.11/2010, della mancata o inesatta esecuzione dell’operazione di pagamento. È lo stesso d.lgs difatti a precisare che l’obbligazione della banca si riduce ad eseguire il bonifico in conformità con l’identificativo unico dato dal pagatore, anche qualora siano state fornite ulteriori informazioni, quali, ed esempio, la denominazione del beneficiario.

_________________________

[1] Il sistema di autenticazione “a due fattori” prevedeva la messa a disposizione delle password monouso generate dai dispositivi OTP o “token” oltre alla password consegnata al cliente al momento dell’apertura del rapporto e solo a lui nota.