Nota a decisione ABF, Collegio di Milano, 28 dicembre 2022, n. 16468.
di Junia Massa
Praticante avvocatoCon la recente decisione in oggetto, l’Arbitro Bancario Finanziario descrive, sinteticamente, l’operatività del concorso colposo della cliente – truffata, in un’ipotesi di manovra fraudolenta “complessa”.
La disciplina dei servizi di pagamento ha trovato terreno fertile nell’ambito della giurisprudenza dell’Arbitrario Bancario Finanziario e, in considerazione delle poche pronunce provenienti dagli organi giurisdizionali, non sembrerebbe erroneo affermare che nella materia in esame sia proprio la giurisprudenza dell’ABF a formare il c.d. “diritto vivente”
In breve, è necessario ricordare che le operazioni di pagamento (in particolare il trasferimento di fondi senza la consegna materiale) formano oggetto di una disciplina ad hoc, di origine unionale, dapprima la Direttiva PSD1 (Payment Service Directive), poi la PSD 2.
Il primo provvedimento menzionato — recepito nel nostro ordinamento mediante il d.lgs. n. 11/2010 e con talune modifiche apportate al d.lgs. n. 385/1993 — rappresenta la volontà delle istituzioni europee di predisporre regole uniformi in ordine ai pagamenti elettronici dell’Eurozona per dare vita ad un mercato unico europeo dei pagamenti al dettaglio (c.d. SEPA – Single Euro Payments Area).
Atteso che il settore dei pagamenti è costantemente interessato dall’evoluzione tecnologica, si è reso necessario un ulteriore intervento pragmatico del legislatore comunitario volto a fare fronte al fenomeno dell’open banking[1] e all’ingresso di altri players in tale ambito e, di conseguenza, a prevedere livelli di sicurezza idonei alla clientela, introducendo standard più elevati diretti a prevenire un utilizzo fraudolento dei sistemi di pagamento.
Tali sono le ragioni che hanno portato all’emanazione della Direttiva 2015/2366/UE (integrata dal Regolamento delegato 2018/389/UE), che, come noto, a livello nazionale, è stata recepita con d. lgs. n. 218/2017 e ha modificato talune disposizioni del Testo Unico Bancario e del citato d.lgs. n. 11/2010[2].
In particolare, la PSD2, ponendo in evidenza la crescita dei pagamenti elettronici e delle differenti modalità mediante le quali essi si effettuano, ha inteso ampliare il novero dei “prestatori di servizi di pagamento” e, di conseguenza, ha predisposto misure di sicurezza più rigide rispetto a quelle indicate nella precedente Direttiva.
Tale premessa è necessaria per l’analisi della tutela dell’utente offerta dall’ordinamento italiano.
Come desumibile dalla disciplina di cui al d.lgs. n. 11/2010 (nella versione novellata dalla PSD2), si considera contestata l’operazione conteggiata a carico del cliente che quest’ultimo disconosca nel termine di 13 mesi dalla data di addebito (cfr. art. 9, comma 1), e ciò senza particolari oneri di allegazione se non, per l’appunto, la manifestazione della volontà di disconoscere l’operazione che avrebbe dato origine all’addebito[3].
L’attuale quadro normativo implementa il favor accordato in precedenza al consumatore/utente, atteso che in tal modo si pone a carico del prestatore l’onere di predisporre le misure idonee a prevenire il rischio di operazioni di pagamento non autorizzate.
L’art. 10 del d.lgs. n 11/2010 così come modificato dal citato d.lgs n. 218/2017, prevede a carico dell’intermediario un particolare onere probatorio che si compone di due segmenti consecutivi. Più precisamente, per mantenere fermo l’addebito in capo al cliente, occorre anzitutto che l’intermediario fornisca idonea evidenza che l’operazione contestata sia stata autenticata, correttamente registrata e contabilizzata, e che non abbia subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o altri inconvenienti (art. 10, comma 1). In altri termini, si richiede alla banca di dimostrare di aver correttamente processato l’operazione, nel rispetto di quei comportamenti e/o procedure in grado di soddisfare gli standard del settore. Per assolvere tale primo onere probatorio, relativo alla corretta autenticazione, i collegi ABF richiedono la produzione dei c.d. log, ovvero delle registrazioni informatiche che permettono di ricostruire l’iter di lavorazione delle operazioni.
Par d’uopo rammentare che trattandosi di un soggetto professionale, la prestazione eseguita dall’intermediario sarà valutata alla stregua del parametro di cui all’art. 1176, comma 3, c.c.: ovvero secondo standard di diligenza oggettiva o sulla base del criterio della diligenza tecnica proprio dell’accorto banchiere[4].
La previsione di far gravare sulla banca l’onere di dimostrare di aver eseguito correttamente l’operazione disposta dal cliente si rivela conforme ai principi generali in tema di adempimento[5]. In capo al cliente, invece, sussiste un leggero onere di allegazione: come già accennato, stante l’estrema complessità tecnica per il comune utente di individuare le ragioni che hanno portato all’esecuzione di una operazione non autorizzata, è sufficiente un semplice disconoscimento dell’operazione contestata.
È bene però chiarire che nell’ipotesi in cui si controverta su un adempimento inesatto – fattispecie a cui si puo equiparare la vicenda di un pagamento non autorizzato – la contestazione non si puo esaurire in un generico rimprovero di mala gestio: si richiede, piuttosto, un’allegazione circostanziata, o meglio, dettagliata, più rispondente al principio del contraddittorio e che consenta al debitore di misurarsi con addebiti specifici.
Peraltro, ai sensi dell’ultimo inciso del comma 3 della su citata disposizione, «è onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell’utente».
All’intermediario viene perciò richiesto di dimostrare tale ulteriore elemento – se non del dolo o della frode – della colpa grave dell’utente. Per colpa grave intendiamo un comportamento abnorme, non scusabile del cliente. Invero, in difetto di tale prova, l’operazione non sarà conteggiabile in capo al cliente e dovrà darsi corso in favore di quest’ultimo al riaccredito del relativo importo.
Al riguardo, il Collegio di Coordinamento (decisione n. 22745/2019), anche sulla scorta del costante orientamento dei Collegi territoriali, ha rilevato che, «l’onere probatorio previsto nei commi 1 e 2 dell’art. 10 del decreto deve necessariamente essere assolto dal PSP con riguardo ad ambedue i profili (autenticazione ed esecuzione delle operazioni di pagamento, nonché colpa grave dell’utilizzatore), da ritenersi necessari e complementari. Pertanto, […] il Collegio giudicante non potrebbe desumere la sussistenza della frode, del dolo o della colpa grave dell’utente soltanto dalla prova della “regolarità formale” dell’operazione. Ne consegue che, nel caso in cui l’intermediario si limiti a produrre semplicemente il “log informatico” relativo all’operazione contestata, senza altra allegazione diretta a comprovare, in via presuntiva, l’apporto causale del ricorrente nel compimento dell’operazione stessa, senza condizionamenti, interferenze, deviazioni, hacker o altre anomalie risultanti dai sistemi antifrode o comunque dai dati conoscitivi in suo possesso, il Collegio dovrà ritenere non assolto l’onere probatorio ai sensi dell’art. 10, comma 2 del decreto e conseguentemente accogliere il ricorso».
Una questione delicata, come quella nel caso sottoposto alla nostra attenzione, riguarda una tipologia di frode diffusasi recentemente e contraddistinta di una condotta di spoofing, con una successiva di smishing misto a vishing.
Sembra opportuno precisare che quando si parla di spoofing si intende fare riferimento a una forma di aggressione informatica che consiste nella manipolazione dei dati relativi al mittente di un sms per far sì che esso appaia provenire da un soggetto differente, mediante la sostituzione del numero originario con un testo alfanumerico riconducibile a quello utilizzato dall’intermediario per i propri messaggi genuini. Lo smishing è una forma di phishing che utilizza i telefoni cellulari come forma di attacco e viene attuato attraverso messaggi di testo o SMS. Invece, il vishing ricorre quando la chiamata telefonica effettuata dal falso operatore appare riferibile ad una utenza della banca, solitamente anche al c.d. numero verde della stessa.
In questa situazione appare necessario valutare con più delicatezza tanto il comportamento tenuto dal cliente quanto quello dell‘intermediario, in particolare la conformità a idonei standard di adeguatezza del servizio offerto.
Nella vicenda sottoposta al nostro esame, scendendo nel dettaglio, si può rilevare che la truffa si è sviluppata seguendo la solita concatenazione: la vittima ha dapprima ricevuto un sms truffaldino, successivamente è stata rintracciata da una chiamata, da parte di un soggetto che si qualificava come presunto operatore, ed è stata indotta a comunicare i suoi dati OTP, facendole credere che occorresse sventare accessi illeciti in corso e aggiornare i dispositivi di sicurezza.
L’intermediario si è adeguatamente difeso ed ha fornito prova circa l’adozione di un adeguato sistema di sicurezza a due fattori e la corretta autenticazione delle operazioni disconosciute dal ricorrente, secondo i criteri e i parametri richiesti dalle prescrizioni normative dettate in materia “Strong Customer Authentication” (SCA).
Per quanto invece attiene alla condotta tenuta dalla ricorrente, questa risulta connotata da colpa grave per avere la stessa prestato fede a comunicazioni con profili di anomalia e aver comunicato le credenziali di sicurezza per l’esecuzione delle operazioni di pagamento non autorizzate. La cliente, infatti, conferma di aver cliccato sul link contenuto nell’SMS civetta e di aver inserito le proprie credenziali nella pagina che veniva visualizzata subito dopo.
In maniera conforme a tale decisione si veda ad esempio quanto affermato dall’ABF, Collegio di Torino con la Decisione n. 2129 de 7 gennaio: “Il Collegio non può che concludere che le operazioni contestate siano scaturite da un fenomeno di vishing realizzato ai danni del cliente, utilizzando il metodo dello spoofing (applicato al numero verde dell’intermediario). La diffusione del fenomeno è tale che i Collegi ABF ormai ritengono da tempo che l’impiego di una media diligenza sia sufficiente a scongiurare il pericolo e ad impedire la truffa.”
Non si puo quindi escludere un profilo di leggerezza da parte della cliente. Non si può però neppure ignorare l’esistenza di fattori che sarebbero potenzialmente destinati ad incidere sul comportamento concretamente esigibile dall’utente, quali ad esempio l’età, l’istruzione, la dimestichezza nell’uso della tecnologia, il contesto di specie nel quale si è consumata la truffa.
Nel tipo di vicenda indicata non è agevole arrivare ad un approdo definitivo. Non può neppure tacersi che la vicenda in esame viene a riflettere talune problematicità anche con riguardo alla organizzazione stessa del servizio prestato dall’intermediario convenuto.
Quello delle frodi informatiche costituisce infatti un rischio tipico dell’attività del prestatore di servizi di pagamento, di cui quest’ultimo può difficilmente spogliarsi del tutto.
Al concetto di rischio tipico allude anche Cass. n. 16417/2022 allorquando precisa che «è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore di servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo».
Nel quadro normativo come sopra delineato, possiamo quindi giungere ad affermare che il comportamento incauto della ricorrente nella custodia dei suoi codici e l’inadeguatezza della prova con riferimento all’aver prestato affidamento ad un contatto telefonico riconducibile all’intermediario, ha portato, quindi, il Collegio a rigettare il ricorso.
___________________________________
[1] Con tale locuzione si intende il fenomeno di apertura del sistema bancario a soggetti diversi dalle banche, realizzato attraverso l’obbligo, rivolto alle banche, di mettere a disposizione e condividere con tali soggetti i dati bancari e finanziari degli utenti
[2] Il menzionato d.lgs. di recepimento è stato corretto ed integrato dal d.lgs. n. 36/2020. Nel Comunicato stampa del Consiglio dei ministri n. 39 del 6 aprile 2020 che ne ha accompagnato la pubblicazione si legge che «il decreto realizza un più chiaro e stretto allineamento tra le disposizioni della direttiva PSD2 e le norme nazionali…».
[3] Al riguardo si rileva che nell’ambito della valutazione in termini di colpa grave della condotta del cliente (avendo l’intermediario fornito idonea dimostrazione in ordine alla corretta esecuzione del pagamento cointestato), l’indicazione da parte del cliente degli elementi di fatto utili a ricostruire la dinamica concreta dell’accaduto può rilevarsi decisiva ai fini dell’accoglimento della domanda di rimborso nei confronti dell’intermediario.
[4] Preme sottolineare che nel concetto di prestazione dovuta dall’intermediario, deve ritenersi incluso non solo il “pagamento” in quanto tale, ma anche il complesso delle procedure attraverso le quali viene assicurata l’offerta del servizio. Il punto è ben colto da Paglietti, Questioni in materia di prova di pagamenti non autorizzati, quando rileva come la diligenza dell’accorto banchiere implichi l’obbligo di adozione di un modello organizzativo adeguato alla tipologia di operazioni realizzata; con l’ulteriore precisazione che, una volta appurato che la banca deve sottostare al canone dell’art. 1176, comma 2 c.c., lo sforzo tecnico protettivo richiesto alla stessa dovrà essere idoneo a prevenire possibili eventi pregiudizievoli. Un riferimento alla figura dell’accorto banchiere è presente anche nella recentissima pronuncia della Cass., n. 16417 del 20 maggio 2022.
[5] Al riguardo si rivela indicativa Cass., 2 marzo-26 maggio 2020, n. 9721, secondo cui in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori) è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell’entrata in vigore del d. lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca (cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere) si considerava tenuta a fornire la prova della riconducibilità dell’operazione al cliente. In senso analogo Cass., 12 aprile 2018, n. 9158.