Servizi di pagamento: bilanciamento di responsabilità tra PSP e utenti.

La pronuncia in esame ha ad oggetto la richiesta di parte attrice di vedere accertata in capo alla banca convenuta (quale PSP – Prestatore di Servizi di Pagamento) la responsabilità da inadempimento per violazione della diligenza professionale per aver dato esecuzione ad operazioni di pagamento non autorizzate dal correntista.

Il giudice, dopo un’attenta e completa analisi della disciplina di settore, ha ritenuto la domanda attorea infondata.

La disciplina in materia di servizi di pagamento ruota intorno al consenso del c.d. “pagatore” di dare avvio ad un’operazione di pagamento (art.5, d.lgs. 11/2010). Detto consenso (preventivo, contestuale o successivo) deve essere distinto dall’ordine di pagamento, sebbene nella normalità dei casi lo presupponga (l’ordine di pagamento infatti è l’istruzione formale data dall’utente al proprio PSP di eseguire l’operazione).

In tema, l’impianto normativo nazionale ed eurounitario prevede che nella sfera giuridica dei PSP (c.d. rischio di impresa) sia posto l’obbligo di assicurare che le credenziali di autenticazione che permettono ai clienti di identificarsi e disporre a distanza gli ordini di pagamento (procedimentalizzando la manifestazione del consenso del pagatore) “non siano accessibili a soggetti diversi dall’utente abilitato a usare lo strumento di pagamento”.             In generale, è quindi configurata una responsabilità aggravata del PSP nel caso abbia dato seguito ad un’operazione non autorizzata, proprio in virtù della sua maggiore capacità di elaborare meccanismi sicuri di gestione e trasmissione del consenso, nonché di tempestiva ed esatta esecuzione degli ordini di pagamento così ricevuti.

Come contraltare di questa disciplina impositiva per i PSP, però, sono stati introdotti degli obblighi di diligenza in capo agli utenti dei servizi di pagamento limitatamente alla loro sfera di influenza. Ciò è stato ritenuto necessario per non estendere eccessivamente la responsabilità, e i relativi obblighi, per i PSP, che si sarebbe tradotto in un irrigidimento e rallentamento del mercato, con danno per i consumatori stessi.

In particolare, gli utenti devono custodire le credenziali di sicurezza personali fornitegli dall’intermediario, impartire quegli ordini che sono la manifestazione procedimentalizzata della propria volontà di procedere ad un pagamento e dare comunicazione al PSP del furto/appropriazione indebita/ uso non autorizzato dello strumento non appena ne vengano a conoscenza (art.7, d.lgs. 11/2010).

Circoscrivendo l’analisi del riparto di responsabilità alle sole operazioni di pagamento non autorizzate (ossia in assenza del consenso del pagatore) ma comunque eseguite dal PSP a seguito di corretta ricezione di un ordine di pagamento, l’art.10 del d.lgs. 11/2010 pone a carico dell’intermediario l’onere di provare che l’operazione sia stata autenticata, correttamente registrata, contabilizzata e che non abbia subito le conseguenze di un malfunzionamento procedurale.

In difetto di tale prova, il PSP dovrà essere ritenuto responsabile; in caso opposto (e prima della comunicazione ex art.7, co.1, lett.b), d.lgs. 11/2010), si possono verificare tre situazioni:

• Il PSP risponde di tutte le operazioni di pagamento non autorizzate a cui ha dato corso (salvo provi il caso fortuito o la forza maggiore oppure che l’evento dannoso si sia verificato a causa dell’adeguamento ad un vincolo derivante da obblighi di legge -art.28, d.lgs. 11/2010-);
• La responsabilità del PSP concorre a quella dell’utente nel caso di colpa lieve di quest’ultimo;
• La responsabilità del PSP è esclusa se dimostra che l’utente ha agito in modo fraudolento o non abbia adempiuto, per dolo o colpa grave, agli obblighi di diligenza e tempestiva comunicazione di cui all’art.7, d.lgs. 11/2010.

Nel caso di specie, il fatto che l’attore abbia divulgato le proprie credenziali necessarie per attivare la Smart App sul dispositivo dei truffatori (cosa che poi ha permesso a questi di operare liberamente sul conto corrente attoreo) ha accertato la colpa grave dell’utente che ha agito negligentemente, violando l’obbligo di adottare “tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate” (art.7, co.2, d.lgs. 11/2010), e vanificato le misure di sicurezza predisposte dall’intermediario.

Per completezza, dal momento che l’attore ha insistito sul dovere dell’istituto bancario di monitorare gli schemi comportamentali del cliente ed avvertire o, addirittura, sospendere le operazioni di pagamento anomale, prima di darne esecuzione, l’organo giudicante si è espresso anche su questo profilo.

L’obbligo di monitoraggio e di sospensione dei pagamenti in caso di anomalia non è sancito esplicitamente da alcuna disposizione. Tuttavia, parte della dottrina ha ritenuto tali obblighi derivabili dal generale obbligo dei PSP di garantire la sicurezza delle credenziali di autenticazione personalizzate, nonché dal generale obbligo di buona fede nell’esecuzione del contratto.

Secondo la sentenza in oggetto, però, tali considerazioni non risultano essere supportate da adeguata base giuridica e, a normativa vigente, confliggono con l’obiettivo di garantire certezza e celerità dei pagamenti, nonché con il delicato bilanciamento normativo di riparto delle responsabilità tra PSP e utenti. A conferma di tale impostazione, è possibile rilevare come ogniqualvolta il legislatore abbia previsto un obbligo di monitoraggio, questo non è mai stato correlato ad un dovere di intervento preventivo, evidentemente per evitare prevedibili, frequenti e potenzialmente pregiudizievoli intoppi del mercato dei servizi di pagamento (cosa che invece accadrebbe seguendo l’interpretazione contestata).

In aggiunta, la tesi che riconduce l’obbligo di sospensione del pagamento all’interno del più generale obbligo di garantire la sicurezza delle credenziali è ulteriormente smentita dall’art. 6 d.lgs. 11/2010 che rimette questo potere all’autonomia delle parti (configurando quindi un’opzione meramente eventuale).

Si consideri infine che una previsione di tal genere, in difetto di specifici parametri di riferimento, comporterebbe una ampia discrezionalità (circa il periodo di osservazione, il livello di anormalità dopo il quale intervenire, ecc…) in capo ai PSP difficilmente compatibile con la ratio del sistema normativo.