1 min read

Nota a Trib. Ancona, Sez. II, 23 maggio 2023.

La controversia in analisi, concernente la domanda di risarcimento danni avanzata dal ricorrente nei confronti dell’Istituto di credito per un bonifico non autorizzato dall’attore, ha dato modo ai giudici di prime cure di esprimersi nuovamente in tema di utilizzi fraudolenti.

Al riguardo, appare necessario, in primo luogo, evidenziare che l’entrata in vigore del D.lgs n.11/2010 ha comportato un aggravamento degli oneri probatori posti a carico degli istituti di credito: per liberarsi dalla responsabilità, oltre alla dimostrazione di avere adottato tutti i sistemi di sicurezza ragionevolmente esigibili, ora occorre anche la prova di una colpa grave dell’utente per non avere utilizzato correttamente lo strumento di pagamento elettronico o per non avere protetto le credenziali di accesso al sistema.

È, invero, orientamento pacifico che l’onere della prova che incombe sull’intermediario possa essere assolto anche attraverso la c.d. presunzione, ossia attraverso l’operazione logica che consente di risalire da un fatto noto ad uno ignoto. La stessa Corte di Cassazione, a tale specifico riguardo, ritiene ammissibile la prova indiziaria della sussistenza della colpa grave[1]. Si deve ricorrere allora ai fatti noti, ovvero ai c.d. indizi, che, per assurgere al rango di prova presuntiva, debbono essere gravi, precisi e concordanti, ai sensi dell’art. 2729 c.c.

Nel caso di specie, la Banca ha dimostrato di avere offerto al cliente un elevato grado di sicurezza attraverso un sistema di autenticazione a due fattori: codice utente, password di accesso statica e password one time (OTP), generata dal token.

L’istituto di credito convenuto ha anche provato di avere dedicato un’intera sessione del proprio sito web alle truffe informatiche, volta a fornire ai propri clienti sia raccomandazioni su come riconoscere ed evitare le truffe, sia indicazioni sulle condotte da tenere per evitare o limitare gli effetti pregiudizievoli di attacchi informatici subiti o comunque temuti.

Si può, così, ritenere assolto l’obbligo previsto dall’art. 8 del D.lgs n. 11/2010 che impone ai fornitori di strumenti di pagamento di “assicurare che le credenziali di sicurezza personalizzate non siano accessibili a soggetti diversi dall’utente abilitato a usare lo strumento di pagamento”.

In aggiunta, nella fattispecie trova applicazione l’art. 12, co. 4, del D.lgs 11/2010, ai sensi del quale le perdite conseguenti ad operazioni di pagamento non autorizzate gravano sul cliente solo se egli abbia agito in modo fraudolento o non abbia adempiuto per colpa grave agli obblighi imposti dall’art. 7 di attenersi ai termini di servizio e proteggere le credenziali di accesso. Considerata la sempre maggiore diffusione di attività fraudolente volte ad interferire con il corretto utilizzo degli strumenti di pagamento, ciò significa che da parte dell’utente, soprattutto se si tratta di un operatore commerciale, abituato a muovere somme anche di una certa consistenza, come nel caso concreto, è richiesta sia una particolare cautela nell’uso degli strumenti di pagamento di cui si discute, sia l’adozione di tutte le misure di sicurezza necessarie a custodire le proprie credenziali ed evitare intromissioni di terzi nei propri sistemi.

Dai documenti in atti si evince che l’operazione disconosciuta è caratterizzata dallo stesso indirizzo IP abitualmente utilizzato dal cliente anche per tutte le altre operazioni di home banking non disconosciute. Gli accessi eseguiti dal medesimo indirizzo IP consentono di affermare che il bonifico contestato sia stato impartito utilizzando il computer della attrice al di fuori della sfera di controllo della banca, e siccome parte attrice nega di avere impartito tale ordine, si può ragionevolmente e plausibilmente presumere che le credenziali siano state utilizzate da un terzo, previa illecita captazione.

Siccome il sistema di sicurezza di cui si è dotata la Banca non ha registrato anomalie o malfunzionamenti, l’origine della distrazione deve necessariamente rinvenirsi nella condotta di parte attrice o nei sistemi informatici dalla stessa adottati.

Come affermato in molteplici decisioni dall’ABF: “una volta che il sistema OTP sia stato chiaramente offerto al cliente e questi se ne sia avvalso, l’eventuale intrusione fraudolenta di un terzo soggetto debba ricadere nella pur ristretta area di rischio che la legge pone a carico dell’utente […]”[2]. Difatti il sistema OTP è ritenuto il più sicuro e tale da assicurare la migliore tutela degli utilizzatori in base all’attuale stato della tecnica, sicché, ove tale sistema risulti adottato, l’intrusione non si sia resa possibile se non attraverso la cooperazione, seppur involontaria, del cliente[3].

Nel caso in esame, secondo il giudice, l’adozione di un sistema a due fattori induce a ritenere, in assenza di ulteriori indici di anomalia dell’operazione, da un lato, che la Banca abbia assolto all’onere di provare l’adempimento degli obblighi su di essa gravanti ai sensi dell’art. 8 del D.lgs n. 11/2010 e, dall’altro lato, che il cliente si sia reso gravemente inadempiente all’obbligo di custodia degli strumenti e dei codici di accesso che consentono l’utilizzo del servizio online e l’invio di ordini di bonifico a valere sul conto allo stesso intestato.

Deve pertanto escludersi la responsabilità della convenuta per la disposizione di pagamento disconosciuta da parte attrice, avendo essa dimostrato sia l’adozione di adeguati sistemi informatici atti a prevenire le frodi, sia, seppure in via presuntiva, l’inosservanza da parte della attrice dello standard di diligenza richiesto dalla situazione concreta e con riferimento alle sue qualità soggettive[4]. Deve, di conseguenza, essere escluso qualsiasi diritto di parte attrice al risarcimento del danno.

 

 

____________________________________

[1] Cfr. Cass. Civ. n. 654/2010.

[2] Cfr., fra le moltissime, ABF, Collegio di Milano nn. 9731/2017, 2103/2012, 2658/2011, 1462/2012.

[3] Cfr. decisione 1599 del 17 gennaio 2019.

[4] Cfr. anche Trib. Napoli sent. n. 10743 del 30.11.2022 e Cass. Civ. n. 7214/2023.

Seguici sui social: