Nota a ABF, Collegio di Torino, 3 aprile 2025, n. 3512.
di Luca Cardi
Banca Popolare di Fondi - Servizi Legali“Ogni progresso fa le sue vittime e,
di fronte a un progresso torrenziale come questo,
chi progetta il progresso si disinteressa delle vittime
e chi difende le vittime non capisce il progresso”
(Domenico De Masi)
Il sociologo Domenico De Masi sottolinea due aspetti essenziali del progresso inteso, ormai, come entità metafisica che indefettibilmente condurrà l’umanità alle magnifiche sorti e progressive che l’attendono (ci si consenta il beneficio del dubbio). Esso è un processo inarrestabile (torrenziale, lo definisce lo studioso) e non è incruento: produce vittime.
Scendendo da così “aeree” considerazioni al più “terreno” mondo del diritto (pur non dovendosi, a nostro avviso, omettere che nulla più del diritto – nelle sue alte e nobili affermazioni di principi e concetti – si presti a valutazioni filosofiche e a un serrato argomentare che della filosofia è il segno distintivo), veniamo a considerare come il progresso tecnologico impatti sul diritto stesso. Nella specie, in un ambito qual è quello dei sistemi di pagamento ove il progresso stesso ha trovato ampia applicazione negli ultimi decenni.
Queste nostre riflessioni traggono le mosse dalla Decisione n. 3512 del 3 aprile 2025 assunta dal Collegio di Torino dell’Arbitro Bancario Finanziario che tratta dell’utilizzo fraudolento di una carta di credito. Ricorriamo alla medesima esposizione del Collegio nella rappresentazione del fatto. “La parte ricorrente, nella denuncia, ha affermato che il 12.08.2024 riceveva, sul proprio cellulare, un messaggio da parte della propria banca che le comunicava l’avvenuto pagamento di € 125,70, operazione effettuata all’estero. Ha quindi riferito di aver provveduto a segnalare la cosa all’intermediario e di essersi accorta, il giorno seguente, che erano stati effettuati altri pagamenti a propria insaputa, rispettivamente di € 125,70, € 126,18, e € 126,18. La parte ricorrente domanda il rimborso della somma sottratta, pari a € 503,76. L’intermediario ha eccepito che il ricorso è carente dei requisiti minimi di specificità, essendosi la parte ricorrente limitata a riferire di non aver mai autorizzato tali pagamenti e che tali carenze non consentono di ricostruire la dinamica dei fatti. Ha quindi precisato che, in ogni caso, le operazioni sono state eseguite tramite autenticazione forte. L’intermediario resistente chiede che il Collegio voglia rigettare le domande del Ricorrente e, in via subordinata, nel merito, nella denegata ipotesi in cui dovesse essere accolta la domanda di controparte, in applicazione dell’art. 1227 c.c., graduare la responsabilità in ragione delle responsabilità imputabili al ricorrente”.
Dunque, il progresso tecnologico che rende possibili pagamenti elettronici. L’utilizzo fraudolento della carta e il danno conseguentemente subito dalla clientela. Resta da capire chi sia la vittima in senso giuridico. In capo a quale soggetto verrà posta la responsabilità dell’utilizzo improprio e non autorizzato della carta? Il progresso, si è detto, non è incruento. Quali sono le scelte effettuate dal legislatore per garantire, a un tempo, la sicurezza dei sistemi di pagamento e la conseguente fiducia in essi da parte degli utilizzatori?
Prima di addentrarci nella trattazione, paghiamo un doveroso debito di riconoscenza intellettuale e culturale. Si parva licet componere magnis, allo stesso modo in cui Leonardo Sciascia confessava di aver scritto le pagine de L’Affaire Moro “in un mareggiare di ritagli di giornali e con il dizionario del Tommaseo solido in mezzo come un frangiflutti”, anche noi dobbiamo riconoscere di aver tenuto accanto, nello scrivere queste righe, il testo dell’Avv. Antonio Zurlo: Internet Banking. La nuova (dis)intermediazione finanziaria, tra servizi, profilatura, informazione e oneri probatori, Pensa Multimedia, 2025). A risolvere dubbi su principi, concetti e definizioni.
Il caso sottoposto all’attenzione del collegio sabaudo ricade sotto la disciplina dettata dal D.lgs. 27 gennaio 2010, n. 11, modificato a seguito dell’entrata in vigore (il 13/01/2018) del D.lgs. 15 dicembre 2017, n. 218, di recepimento della direttiva (UE) 2015/2366 (c.d. PSD2).
L’art. 10 del D. Lgs. 11/2010 rubricato “Prova di autenticazione ed esecuzione delle operazioni di pagamento”, al primo comma, così recita:
“Qualora l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”.
Si assiste, nel caso di specie, a un’inversione dell’onere della prova. In altri termini, a fronte del disconoscimento dell’operazione da parte del cliente, la Banca è chiamata a provare, oltre all’insussistenza di malfunzionamenti nei propri sistemi informatici, l’autenticazione dell’utente, ossia la procedura attraverso cui la Banca stessa verifica l’identità di un utente o la validità dell’uso di uno specifico strumento di pagamento, incluse le relative credenziali di sicurezza personalizzate fornite dalla Banca stessa.
Quanto sopra premesso, occorre analizzare le fattispecie di responsabilità della Banca in caso di operazioni di pagamento non autorizzate/disconosciute (cfr. art. 11 D. Lgs. 11/2010) e di perdita subita dalla clientela a seguito dell’utilizzo di strumenti di pagamento smarriti, sottratti o utilizzati indebitamente (cfr. art. 12 D. Lgs. 11/2010).
“L’utente, venuto a conoscenza di un’operazione di pagamento non autorizzata o non correttamente eseguita […] ha il diritto di ottenerne la rettifica solo se comunica senza indugio tale circostanza al proprio prestatore di servizi di pagamento secondo i termini e le modalità previste nel contratto quadro o nel contratto relativo a singole operazioni di pagamento. La comunicazione deve essere in ogni caso effettuata entro 13 mesi dalla data di addebito, nel caso del pagatore, o di accredito, nel caso del beneficiario” (così l’art. 9 rubricato “Responsabilità del pagatore per l’utilizzo non autorizzato di strumenti o servizi di pagamento”.
Va, altresì, considerato il disposto dell’art. 12 del D. Lgs. 11/2010 rubricato “Responsabilità del pagatore per l’utilizzo non autorizzato di strumenti o servizi di pagamento” che stabilisce che “salvo il caso in abbia agito in modo fraudolento, l’utente non sopporta alcuna perdita derivante dall’utilizzo di uno strumento di pagamento smarrito, sottratto o utilizzato indebitamente” ove abbia dato comunicazione senza indugio, secondo le modalità previste nel contratto quadro, al prestatore di servizi di pagamento o al soggetto da questo indicato lo smarrimento, il furto, l’appropriazione indebita. Al ricorrere di tale casistica, l’utente non supporta alcuna perdita – se non nel limite di importo di € 50 – salvo che non abbia agito in modo fraudolento, con dolo o con colpa grave.
Per “operazione di pagamento” (cfr. art. 1, lett. c, del D. Lgs. 11/2010) deve intendersi “l’attività, posta in essere dal pagatore o dal beneficiario, di versare, trasferire o prelevare fondi”. Pertanto, a fronte della comunicazione – effettuata senza indugio e, comunque, non oltre 13 mesi dalla data di addebito – di un’operazione di pagamento non autorizzata, il cliente ha diritto ad ottenere il tempestivo rimborso della stessa nella giornata lavorativa successiva a quella in cui l’intermediario prende atto dell’operazione o riceve una comunicazione in merito. La norma, dunque, prevede che il diritto al rimborso discenda dalla circostanza che sia stata effettuata un’operazione di pagamento priva di autorizzazione ovvero derivante dall’utilizzo di uno strumento di pagamento smarrito, sottratto o utilizzato indebitamente. Per l’individuazione del perimetro oggettivo di applicazione del dato normativo occorre, di conseguenza, delineare il concetto di “operazione di pagamento”, di “strumento di pagamento” e di “autorizzazione”.
Per “operazione di pagamento” (cfr. art. 1, lett. c, del D. Lgs. 11/2010) deve intendersi “l’attività, posta in essere dal pagatore o dal beneficiario, di versare, trasferire o prelevare fondi”.
Uno “strumento di pagamento” (cfr. art. 1, lett, s, del D.Lgs. 11/2010) è “qualsiasi dispositivo personalizzato e/o insieme di procedure concordate tra l’utente e il prestatore di servizi di pagamento e di cui l’utente di servizi di pagamento si avvale per impartire un ordine di pagamento” ove l’“ordine di pagamento” è definito, alla lett. o dell’art. 1 del D. Lgs. 11/2010 come “qualsiasi istruzione data da un pagatore o da un beneficiario al proprio prestatore di servizi di pagamento con la quale viene chiesta l’esecuzione di un’operazione di pagamento”.
L’operazione di pagamento si considera autorizzata a fronte del consenso prestato alla stessa da parte del pagatore. “Il consenso del pagatore – come previsto dall’art. 5 del D. Lgs. 11/2010 – è un elemento necessario per la corretta esecuzione di un’operazione di pagamento. In assenza del consenso, un’operazione di pagamento non può considerarsi autorizzata. Il consenso ad eseguire un’operazione di pagamento o una serie di operazioni di pagamento è prestato nella forma e secondo la procedura concordata nel contratto quadro o nel contratto relativo a singole operazioni di pagamento”. Pertanto, un’operazione di pagamento può considerarsi non autorizzata qualora sia carente il consenso del pagatore, prestato nella forma e secondo la procedura concordata nel contratto quadro PSD. Qualora l’operazione sia priva del consenso dell’utente, essa non è autorizzata e – a fronte del disconoscimento – si impone il subitaneo rimborso. Diversamente, qualora sussista il consenso dell’utente, ossia in caso di operazione autorizzata, non si integra il presupposto per l’applicazione del rimborso “immediato” per come previsto dall’art. 11 del D. Lgs. 11/2010.
“In presenza del disconoscimento di un’operazione di pagamento da parte dell’utente, grava sulla Banca l’onere di dimostrare che la stessa è stata correttamente autenticata registrata e contabilizzata. È quindi sufficiente che la banca non assolva il detto onere della prova, affinché sorga il diritto del cliente ad ottenere il rimborso dell’operazione contestata in conformità a quanto previsto dagli artt. 10 e 11, D. Lgs. 27 gennaio 2010, n. 11 […]. Il disconoscimento dell’operazione di pagamento ribalta sul prestatore del servizio di pagamento l’onere della prova dell’autenticazione forte della stessa”[1]. Fatto salvo il caso in cui il PSP riesca a sottrarsi a siffatta responsabilità dimostrando che la condotta del cliente sia stato contraddistinta da frode, dolo o colpa grave.
Il D. Lgs. 11/2010, all’art. 1 lett. q e q bis, definisce rispettivamente l’”autenticazione” e l’”autenticazione forte” (SCA – strong customer authentication) per come segue
- “autenticazione”: “la procedura che consente al prestatore di servizi di pagamento di verificare l’identità di un utente di servizi di pagamento o la validità dell’uso di uno specifico strumento di pagamento, incluse le relative credenziali di sicurezza personalizzate fornite dal prestatore;
- “autenticazione forte del cliente”: un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione[2].
Premesso tale quadro normativo e considerato che, nel caso di specie, la consumazione della frode è avvenuta tramite pagamenti con wallet provider e ritenuto che l’autenticazione forte deve essere relativa a ciascuna delle fasi che consentono l’utilizzo dello strumento di pagamento, occorrerà considerare se l’associazione della carta al wallet provider sia avvenuta con utilizzo della SCA. In altri termini, “la strong customer authentication è richiesta dall’intermediario tanto con riferimento all’accesso al conto (pin, quale elemento di conoscenza, e OTP inserita tramite APP, quale elemento di possesso, quanto per l’enrollment, ovverosia la registrazione) di un nuovo dispositivo device”[3]. Quindi la stessa tokenizzazione (registrazione) della carta nel wallet provider deve essere effettuata con doppio fattore di autenticazione ed essere provata dall’intermediario per andare esente da responsabilità.
“Per quanto riguarda la prima fase – rileva il collegio arbitrale – sono possibili due modalità di tokenizzazione della carta o direttamente dal wallet, catturando i dati della carta dalla fotocamera o inserendoli con input manuale (come avvenuto nel caso di specie) oppure dall’App di Mobile Banking: in questo caso la carta risulta già registrata e l’utente può aggiungere la carta al wallet. Quanto alla seconda fase, l’autenticazione del pagamento avviene direttamente nel Mobile Wallet presente sullo smartphone, ove gli elementi necessari per la SCA sono il possesso dello smartphone con App e Token a bordo e uno a scelta tra un elemento di inerenza ed un elemento di conoscenza. In caso di operazioni presso un esercente fisico, al momento del pagamento la combinazione di questi due fattori genera il codice univoco di autenticazione (cfr. RTS, art. 4[4]) che viene inviato al POS. Le transazioni sono pertanto proposte al POS dal wallet come “già autenticate” e perciò il POS non chiede il PIN Nel caso di specie, parte resistente non ha prodotto evidenze sulla prova della SCA per la tokenizzazione della carta. In ogni caso, poi, per la tokenizzazione risultano, per stessa dichiarazione dell’intermediario, essere stati utilizzati i seguenti fattori: 1. elemento di possesso: OTP inviato tramite Sms; 2. dati della carta e altri dati personali del cliente (elemento inidoneo a costituire fattore di autenticazione – cfr. l’Opinion dell’EBA “on the elements of strong customer authentication under PSD2” del 21 giugno 2019, citata nella decisione del Collegio di coordinamento n. 21285/2021[5]). In tale contesto si deduce, quindi, che il sistema di autenticazione per l’effettuazione delle operazioni di pagamento on-line è a un fattore. Sul punto occorre rammentare che l’EBA, in merito alle carte di pagamento, ha precisato, nella sua Opinion del 21/06/2019, che le credenziali della carta non possono costituire né un elemento di conoscenza né un elemento di possesso. Ne consegue che, nel caso in esame, l’intermediario non prova l’esistenza di un sistema di autenticazione forte per l’esecuzione delle operazioni. Sotto tale profilo, in aderenza alla disciplina dell’art. 10 del d.lgs. 11/2010 che prevede, in merito all’onere della prova gravante sul prestatore dei servizi di pagamento (PSP), una precisa e graduata sequenza, in base alla quale il PSP è tenuto a dimostrare l’autenticazione (che rappresenta un antecedente logico rispetto alla prova della colpa grave e/o del dolo dell’utente) nonché – per l’appunto – il comportamento gravemente colposo (o fraudolento e/o doloso) dell’utilizzatore, il ricorso deve essere accolto, in considerazione del fatto che la mancanza anche parziale della prova di autenticazione è risolutiva e dirimente rispetto alla valutazione di eventuali profili di colpa ascrivibili al cliente.
Il ricorso viene accolto dal Collegio in quanto la mancata prova dell’avvenuta autenticazione forte, rappresentando ex lege un antecedente logico della fattispecie in decisione, non consente ulteriori esami circa la condotta colposa eventualmente tenuta dalla clientela.
___________________________________________
[1] Andrea Genovese, L’utilizzo fraudolento degli strumenti di pagamento da Diritto Bancario, II. Informazione, trasparenza e tutela, trattato diretto da Fernando Greco e Gianfranco Liace, Lefebvre Giuffrè, 2025, Capitolo 17, pagg.658-659.
[2] Antonio Zurlo, Internet Banking. La nuova (dis)intermediazione finanziaria, tra servizi, profilatura, informazione e oneri probatori, Pensa Multimedia, 2025, pag. 26: “L’autenticazione forte (o strong customer authentication – SCA) introdotta obbligatoriamente con la direttiva PSD2, è senza dubbio la principale misura di sicurezza prevista a tutela del cliente. Trattasi di una procedura rafforzata per convalidare l’identificazione dell’utente, basata sull’utilizzo simultaneo di due (o più) elementi di autenticazione, (difatti, è anche detta “autenticazione a due fattori”), indipendenti tra di loro appartenenti ad almeno due categorie tra le seguenti: – conoscenza (ovverosia, una password o un PIN); – possesso (un token, in passato; una APP generativa di OTP, attualmente); – inerenza (alla persona dell’utente: impronta digitale o riconoscimento facciale). I tre elementi devono essere caratterizzati da indipendenza, in quanto la violazione di uno non deve compromettere contestualmente l’affidabilità degli altri, nonché da riservatezza (ça va sans dire). Nell’Opinion of the European Banking Authority on the elements of strong customer authentication under PSD2 del 21 giugno2019, l’EBA ha chiarito che l’OTP ricevuta tramite SMS integra un elemento di possesso idoneo ai fini della strong customer authentication.
La one-time password inviata tramite sms, o alternativamente, generata tramite token o push notification rientra nella categoria del “possesso”, sì come il codice PIN è sussumibile in quella di “conoscenza”. Al contrario, secondo l’EBA, i dati riportati sulla carta, quali numero, scadenza, e CCV, non costituiscono né un valido elemento di “possesso”, né, tantomeno, un valido elemento di conoscenza”.
[3] Antonio Zurlo, op. cit. pag. 29.
[4] Regolamento delegato (UE) 2018/389 della Commissione, del 27 novembre 2017, che integra la direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione per l’autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri (Testo rilevante ai fini del SEE).
[5] Cfr. Collegio di coordinamento, Decisione N. 21285 del 11 ottobre 2021, che enuncia il seguente principio: “L’utilizzo di un wallet affidato a un terzo gestore per l’esecuzione di operazioni di pagamento non esime l’intermediario, in qualità di prestatore di servizi di pagamento, dall’onere di fornire prova dell’autenticazione forte delle operazioni compiute. La prova non può limitarsi alla fase di c.d. tokenizzazione della carta nel wallet, ma deve riguardare anche la fase esecutiva delle singole operazioni, non potendosi ritenere implicito che le transazioni siano state correttamente autenticate dal fatto che le stesse risultino autorizzate o comunque dalla sola evidenza che siano state effettuate in modalità contactless”.