Home banking e app mobile: quando l’accesso è considerato fraudolento.

Con Sentenza n. 3371 del 7 luglio 2023, il Tribunale di Palermo si pronuncia in tema di accertamento della responsabilità del prestatore di servizi di pagamento nel caso in cui il cliente abbia disconosciuto un’operazione eseguita tramite home banking, da terzi ignoti, con mezzi fraudolenti.

Nel caso in esame, l’attrice chiedeva la condanna della propria Banca al risarcimento in suo favore di € 6.683,57 per aver dato esecuzione ad un bonifico, utilizzando le somme giacenti sul suo conto corrente, sebbene la stessa attrice non avesse mai autorizzato tale pagamento.

La responsabilità di tale attività fraudolenta si sarebbe dovuta addebitare alla convenuta per non aver predisposto idonee garanzie atte a fronteggiare indebite intromissioni di terzi nel sistema informatico della banca utilizzato per effettuare l’operazione contestata. Secondo il Tribunale, nei casi in cui il cliente neghi di aver autorizzato un’operazione di pagamento già eseguita, è onere dell’intermediario dover provare l’autenticazione, la corretta registrazione e contabilizzazione delle operazioni disconosciute, l’insussistenza di malfunzionamenti tecnologici o eventuali anomalie (come, ad esempio, l’uso ripetuto della carta presso il medesimo punto vendita o l’esaurimento del plafond giornaliero nell’arco delle 24 ore).  [1]

E’, altresì, onere dell’intermediario fornire la prova di tutti i fatti idonei ad integrare la colpa grave dell’utilizzatore. [2]

In mancanza di tale duplice prova, la Banca sopporta integralmente le conseguenze delle operazioni disconosciute, senza alcuna limitazione o franchigia. Sul tema, la S.C., richiamata dalla decisione in esame, precisa che “è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento (…) la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo” [3]. Ciò premesso, e a seguito di CTU espletata in giudizio, il Tribunale di Palermo ritiene che la Banca abbia dato prova di aver adottato un sistema di autenticazione multifattoriale (c.d. sistema di autenticazione “forte”) consistente nell’inserimento delle credenziali statiche di accesso al canale di home banking, di un codice OTP inviato tramite notifica push, e una ulteriore password – c.d. codice OTS – inoltrata tramite sms sul cellulare certificato dell’attrice; nonché di aver correttamente registrato e contabilizzato l’operazione disconosciuta. In altre parole, le credenziali c.d. “statiche” (nome utente e codice PIN) sono state opportunamente digitate per effettuare l’accesso alla home banking, e le credenziali dinamiche (OTP e OTS) sono state correttamente generate e inserite dal correntista ai fini dell’operazione di bonifico, con conseguente obbligo della banca di darne esecuzione, e con conseguente possibilità di ricostruire il corretto svolgimento di detto bonifico. Inoltre, gli accertamenti peritali escludono un’anomalia operativa o un malfunzionamento del servizio predisposto dall’intermediario e fanno altresì emergere che il bonifico in contestazione è stato effettuato tramite App mobile utilizzando il dispositivo cellulare dell’attrice (identificato in modo incontrovertibile dal numero del device ID che, com’è noto, identifica il singolo apparecchio). Pertanto, considerata la mancanza di spiegazioni alternative in ordine all’accaduto da parte dell’attrice, il Tribunale conclude che, l’omessa custodia del cellulare, qualificabile come colpa grave, deve aver consentito a terzi ignoti di accedere all’home banking, utilizzando le credenziali verosimilmente rimaste salvate nella memoria del dispositivo, e di compiere l’operazione tramite l’inserimento dell’OTS inviato al medesimo dispositivo dalla Banca. [4] La condotta dell’attrice appare incauta e ancor più negligente ove si consideri che la cliente non abbia posto in essere tutte le misure idonee a custodire le credenziali di accesso all’home banking al fine di proteggerle da utilizzi non autorizzati. [5] Per tali motivi, il Tribunale rigetta la domanda risarcitoria ponendo a carico dell’attrice le spese di lite nonché le spese della CTU.

_________________________________

[1] Ex art. 10, D.Lgs. 11/2010, ss.mm. La ratio legis risiede nella auspicata circostanza, per il prestatore di servizi, di dotarsi di elevati standard di trasparenza e sicurezza, in mancanza dei quali le conseguenze sfavorevoli dell’uso fraudolento (o non autorizzato) degli strumenti di pagamento, sono a carico della Banca che appare, quale operatore professionale che gestisce il servizio di pagamento, il soggetto più idoneo, rispetto al risparmiatore/consumatore, a sopportare il rischio delle operazioni non autorizzate.

[2] Ex art. 12, co. 4, D.Lgs. 11/2010, ss.mm. Per un ulteriore approfondimento legislativo sul tema, si richiama la Direttiva 2007/64/CE del Parlamento europeo e del Consiglio, del 13 novembre 2007.

[3] Cfr: Cass. Civ., Sez. I, Sent. 16417 del 20/05/2022; Cass. Civ., Sez. I, Sent. n. 2950 del 03/02/2017. Conforme: Cass. Civ., Sez. VI, n. 26916 del 26/11/2020, con la quale la S.C., considerando raggiunta la prova presuntiva dell’idoneità delle protezioni adottate dal prestatore dei servizi di pagamento contro l’uso non autorizzato della carta cd. prepagata “postepay”, ha cassato con rinvio la decisione di merito che aveva addebitato al cliente l’onere di dimostrare di avere tenuto un comportamento esente da colpa nella custodia della carta e dei codici di accesso per evitare furti o smarrimenti.

[4] Il Tribunale di Palermo ha applicato al caso de quo la regola causalistica di matrice civilistica del “più probabile che non” (Cfr: Cass. n. 26304 del 29/09/2021).

[5] Un breve approfondimento merita il tema della custodia delle credenziali di accesso nella home banking in luoghi privati, specialmente in ambito domestico. Il principio che appare opportuno applicarvi è che ciascuno è responsabile della propria sfera domestica e non può pretendere di addebitare a terzi estranei (nel caso che ci occupa, all’intermediario), le conseguenze dannose di comportamenti lesivi posti in essere da chi sia stato ammesso in tale sfera personalissima (Cfr: ABF, Coll. Milano, Decisione n. 969/2015). Parimenti responsabile è colui che, pur vittima di raggiro, consenta a delle persone estranee di introdursi nella propria abitazione senza adottare una maggiore diligenza nella custodia e vigilanza dei propri beni e valori (Cfr: ABF, Coll. Napoli, Decisione n. 2166/2016). Tuttavia, in alcune ipotesi di furto presso la propria abitazione, si è ritenuto che la natura di tale evento, eccezionale e non prevedibile, possa escludere, in assenza di adeguata prova della colpa grave dell’utente nella custodia dello strumento di pagamento, la responsabilità dell’utente medesimo (ABF, Coll. Roma, Decisione n. 590/2014). Per ulteriore disamina sulla tematica: M.C. PAGLIETTI, “Questioni in materia di prova nei casi di pagamenti non autorizzati”, Roma 3 press, 3/2020, pp. 43-80.