Nota a ABF, Collegio di Roma, 20 febbraio 2025, n. 1975.
di Luca Cardi
Banca Popolare di Fondi - Servizi Legali“La privacy è talvolta collegata all’anonimato,
al desiderio di passare inosservati
e non farsi riconoscere in pubblico.
Solitamente, quando si considera «privato» qualcosa,
è perché ciò ha per noi un’importanza intrinsecamente speciale,
o ci tocca personalmente”
(Zygmunt Bauman)
Il sociologo e filosofo della “società liquida” ben descrive, nella citazione riportata in epigrafe, il senso più profondo (intimo, diremmo) del diritto alla privacy. Ciò che, per la nostra esistenza e per il nostro sentire, ha un’importanza intrinsecamente speciale o ci tocca personalmente. Ecco, dunque, che legittimamente aspiriamo alla “privatezza” (all’esclusione degli altri) dalla conoscenza di quell’informazione (che deve essere nostra e solo nostra al pari di una proprietà privata che si estende, come ci ricorda l’antico brocardo, “usque ad sidera, usque ad inferos”.
Ma nel medesimo modo in cui il diritto di proprietà privata si arresta (necessariamente deve arrestarsi) di fronte a contrapposti interessi ritenuti preminenti, così pure il diritto alla privacy non può essere invocato a “coprire” forme di anonimato che finiscono per contrastare con diversi e superiori diritti dei consociati. Il diritto è arte di sottili equilibri tra contrapposti interessi, il cui attento e sapiente contemperamento è affidato al legislatore e, ove possibile e consnetito, al prudente apprezzamento del giudice.
Il Collegio capitolino dell’Arbitro Bancario Finanziario, nella propria Decisione n.1975 del 20 febbraio 2025, si trova per l’appunto ad affrontare siffatta delicata questione. Può una banca, senza violare la tutela della riservatezza della propria clientela, comunicare i dati anagrafici ovvero societari del titolare di un conto corrente su cui sia stato versato un assegno, ove la richiesta provenga dal traente del titolo negoziato? Questo il fatto, per come rappresentato dal medesimo Collegio: “Con ricorso del 27.6.2024, parte attrice agisce in qualità di procuratrice del coniuge, vittima di un grave incidente stradale in data 7.5.2013. Conferiva mandato ad una società (P* s.r.l.) per gestire e far liquidare dall’assicurazione e dai soggetti civilmente responsabili il risarcimento del danno per l’incidente stradale. Il 2.5.2016 il ricorrente riceveva un’offerta transattiva di € 750.000,00 (al netto di € 100.000,00 già liquidati). Percepita la somma, il soggetto incaricato della società lo invitava a saldare il compenso per l’attività prestata in suo favore, quantificata in € 250.000,00. Il ricorrente, sebbene perplesso su tale quantificazione ed ignaro del fatto che già erano stati liquidati alla società € 50.000,00 da parte della compagnia assicurativa, emetteva n. 10 assegni di € 25.000,00 privi di data e di indicazione del beneficiario. In seguito, effettuava alcune verifiche e appurava che i n. 10 assegni da lei emessi non erano stati incassati dalla società, ma da diversi soggetti, che li versavano su conti in diverse banche, tra cui quella resistente. Il ricorrente ha intenzione di agire giudizialmente contro la società per far dichiarare illegittimo il compenso ed ottenere il rimborso delle somme pagate sine titulo […] Chiede a parte resistente gli estremi anagrafici ed ogni altra informazione utile alla identificazione della sig.ra B.S., beneficiaria” di tre degli assegni in questione. La Banca resistente si oppone alla richiesta, sostenendo che essa “risulta connotata da profili di irritualità, irregolarità ed equivocità e, quindi, debba considerarsi non accoglibile, avuto riguardo alla delicatezza degli interessi coinvolti, con particolare riferimento al necessario bilanciamento tra l’interesse alla riservatezza dei dati personali e la loro acquisizione ai fini del diritto di difesa. La richiesta della ricorrente è irrituale, in quanto indirizzata direttamente dal traente degli assegni, anziché per il tramite della propria banca; le banche non possono fornire informazioni o documentazione a soggetti estranei al rapporto intestato al proprio cliente, non sussistendo tra la banca ed il terzo estraneo uno specifico rapporto contrattuale, rispetto al quale la banca sia obbligata ad operare secondo le regole del mandato”. Oltre a obiettare che i titoli, in questione, per stessa ammissione di parte ricorrente, sarebbero stati rilasciati privi di data e di identificazione del beneficiario “e, quindi, affetti da nullità per carenza degli elementi essenziali; il ricorrente, ottenuta copia dei titoli, avrebbe potuto attivarsi presso la propria banca per la revoca degli ordini di pagamento e/o le conseguenti richieste da inoltrare nei confronti della banca del beneficiario; la richiesta non è connotata da elementi atti a dimostrare che sia necessaria per l’esercizio del diritto di difesa in sede giudiziaria nei confronti di chi ha incassato gli assegni; dal contenuto della esposizione dei fatti riportata nella richiesta di controparte, si evince come il rapporto sottostante, da cui deriverebbe la necessità di tutela in sede giudiziaria, riguardava esclusivamente il ricorrente e la società intermediaria, non risultando esplicitato in alcun modo il ruolo che avrebbe assunto il correntista della banca (se non per la postuma intestazione degli assegni a suo nome, senza alcuna indicazione in merito ad un suo eventuale coinvolgimento diretto)”.
La questione sottoposta alla decisione pare, dunque, doversi dirimere sotto il profilo del diritto della ricorrente a vedersi comunicati i dati della beneficiaria/negoziatrice dei titoli da parte della Banca nella misura in cui tali dati siano necessari all’esercizio del diritto di difesa della ricorrente medesima.
Ebbene, già il Collegio di coordinamento (con propria Decisione n. 6886 del 3 maggio 2022), nel dirimere una controversia interpretativa sorta tra i Collegi territoriali, aveva riconosciuto il diritto dell’ordinante di un bonifico disposto in favore di soggetto terzo non legittimato a riceverlo a conoscere i dati anagrafici di quest’ultimo soggetto, enunciando i seguenti principi di diritto:
“1. quando a causa dell’erroneità dell’IBAN l’ordine di bonifico sia stato eseguito a vantaggio di un terzo non legittimato a riceverlo, il pagatore ha il diritto di conoscere dal prestatore di servizi di pagamento dell’accipiens i dati anagrafici o societari di quest’ultimo;
2. in tal caso, il prestatore di servizi di pagamento dell’accipiens non può invocare la tutela della privacy al fine di giustificare il suo rifiuto di comunicare al pagatore i dati anagrafici o societari del proprio correntista”[1].
Il medesimo Collegio di coordinamento richiama, nella propria decisione, la giurisprudenza di legittimità sul punto (cfr. Cass., 13.12.2021, n. 39531[2]), là dove ha affermato che l’interesse alla riservatezza dei dati personali deve cedere a fronte della tutela di altri interessi giuridicamente rilevanti, tra i quali l’interesse, ove autentico e non surrettizio, all’esercizio del diritto di difesa in giudizio”.
Come pure non va sottaciuto il quadro normativo di riferimento costituito dall’art. 126-quater del Testo Unico Bancario il quale rubricato “Informazioni relative alle operazioni di pagamento e ai contratti” attribuisce alla Banca d’Italia la competenza a disciplinare «contenuti e modalità delle informazioni e delle condizioni che il prestatore dei servizi di pagamento fornisce o rende disponibili all’utilizzatore dei servizi di pagamento, al pagatore e al beneficiario» Sulla base di tale disposizione legislativa, le Disposizioni di trasparenza della Banca d’Italia (sez. VI, § 6) hanno previsto che: «Per ogni operazione di pagamento eseguita, rientrante o meno in un contratto-quadro, l’intermediario consegna tempestivamente al pagatore e al beneficiario una ricevuta contenente rispettivamente le seguenti informazioni: a) per il pagatore, un riferimento che gli consenta di individuare ogni operazione di pagamento e, se del caso, le informazioni relative al beneficiario». Inoltre, l’art. 24 del decreto legislativo n. 11 del 2010 statuisce – e sia pure con riguardo allo specifico profilo della spendita in operazioni di pagamento di identificativi univoci inesatti – che: “…Il prestatore di servizi di pagamento del beneficiario è tenuto a collaborare, anche comunicando al prestatore di servizi di pagamento del pagatore ogni informazione utile…” ulteriormente specificando che “… il prestatore di servizi di pagamento del pagatore, su richiesta scritta del pagatore, è tenuto a fornirgli ogni informazione disponibile che sia utile ai fini di un’azione di tutela…”.
Sulla scorta delle considerazioni sopra esposte il Collegio accoglie il ricorso e “accerta il diritto della parte ricorrente a conoscere gli estremi anagrafici dei beneficiari degli assegni”[3].
Mentre scriviamo, peraltro, in forza del Regolamento (UE) 2024/886 del Parlamento Europeo e del Consiglio del 13 Marzo 2024 (cosiddetto Instant Payments Regulation, in sigla “IPR”), è all’orizzonte (a far data dal 9 ottobre 2025) l’obbligo per I PSP che offrono ai propri USP un servizio di pagamento di invio e ricezione di bonifici di offrire altresì a tutti i loro USP un servizio di pagamento di invio e ricezione di bonifici istantanei (obbligo originariamente operante per i soli bonifici in euro disposti verso Paesi che adottano l’euro quale valuta nazionale). In tale ambito, e al fine di prevenire frodi, il legislatore ha introdotto un ulteriore obbligo per i prestatori di servizi di pagamento.
L’art. 5 quater rubricato” Verifica del beneficiario in caso di bonifici” stabilisce che:
“1. Il PSP di un pagatore offre al pagatore un servizio di verifica del beneficiario al quale il pagatore intende inviare un bonifico (servizio di verifica). Il PSP del pagatore effettua il servizio di verifica immediatamente dopo che il pagatore ha fornito le informazioni pertinenti relative al beneficiario e prima che al pagatore sia offerta la possibilità di autorizzare tale bonifico. Il PSP del pagatore offre il servizio di verifica indipendentemente dal canale di disposizione di ordine di pagamento utilizzato dal pagatore per impartire un ordine di pagamento per il bonifico. Il servizio di verifica è prestato conformemente a quanto segue:
a) qualora il pagatore abbia inserito nell’ordine di pagamento per il bonifico l’identificativo del conto di pagamento […] e il nome del beneficiario, il PSP del pagatore presta un servizio per la verifica della corrispondenza tra l’identificativo del conto di pagamento […] e il nome del beneficiario. Su richiesta del PSP del pagatore, il PSP del beneficiario verifica se l’identificativo del conto di pagamento […] e il nome del beneficiario indicati dal pagatore corrispondono. In caso di mancata corrispondenza, il PSP del pagatore, sulla base delle informazioni fornite dal PSP del beneficiario, ne dà notifica al pagatore e lo informa del fatto che l’autorizzazione del bonifico potrebbe comportare il trasferimento dei fondi su un conto di pagamento non detenuto dal beneficiario indicato dal pagatore. Se il nome del beneficiario fornito dal pagatore e l’identificativo del conto di pagamento […] presentano una quasi-corrispondenza, il PSP del pagatore indica al pagatore il nome del beneficiario associato all’identificativo del conto di pagamento […] fornito dal pagatore;
b) se il beneficiario è una persona giuridica e il PSP del pagatore offre un canale di disposizione di ordine di pagamento che consente al pagatore di impartire un ordine di pagamento fornendo l’identificativo del conto di pagamento […] insieme a dati diversi dal nome del beneficiario che identifichino quest’ultimo in modo inequivocabile, quali un codice fiscale […] o un LEI, e se quegli stessi dati sono disponibili nel sistema interno del PSP del beneficiario, quest’ultimo PSP, su richiesta del PSP del pagatore, verifica se l’identificativo del conto di pagamento […] e il dato fornito dal pagatore corrispondono. Se l’identificativo del conto di pagamento […] e il dato fornito dal pagatore non corrispondono, il PSP del pagatore, sulla base delle informazioni fornite dal PSP del beneficiario, ne dà notifica al pagatore;
c) se un conto di pagamento identificato mediante un identificativo del conto di pagamento […] fornito dal pagatore, è detenuto da un PSP per conto di più beneficiari, il pagatore può fornire al proprio PSP informazioni supplementari che consentano di identificare in modo inequivocabile il beneficiario. Il PSP che mantiene tale conto di pagamento per conto di più beneficiari o, se del caso, il PSP che detiene tale conto di pagamento conferma, su richiesta del PSP del pagatore, se il beneficiario indicato dal pagatore figura tra i beneficiari per conto dei quali è mantenuto o detenuto il conto di pagamento. Qualora il beneficiario indicato dal pagatore non figuri tra i beneficiari per conto dei quali è mantenuto o detenuto il conto di pagamento, il PSP del pagatore ne dà notifica al pagatore”.
Ove ci pare evidente – e sia pure in prima approssimazione e fatti salvi ulteriori approfondimenti – che si sia introdotto un nuovo fronte nella dibattuta questione del contemperamento della privacy con diversi e opposti diritti. Nel caso di specie, la privacy cede il passo alla sicurezza dei sistemi di pagamento… o auspicata tale.
____________________________________________________________
[1] Cfr. Collegio di coordinamento, Decisione n. 6886 del 3 maggio 2022: “Si deve infatti rilevare che, ai sensi dell’art. 9, paragrafo 2, lett. f), GDPR, il trattamento di “categorie particolari di dati personali” non è vietato quando esso sia «necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali». È vero che i dati anagrafici o societari di cui qui si tratta non rientrano nelle “categorie particolari di dati personali” che sono definite dall’art. 9, paragrafo 1, GDPR (ossia, quelli «che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona»). Sembra tuttavia possibile interpretare tale disposizione derogatoria sulla base di un argomento a fortiori, secondo il quale nei limiti in cui essa si applica ai dati personali che rientrano delle suddette “categorie particolari” si deve a maggior ragione ritenere applicabile a quelli che, non essendo sensibili, pongono minori esigenze di tutela dell’interessato. In ogni caso, va rilevato che, pur mancando il consenso dell’interessato, il trattamento di dati personali è generalmente lecito quando «è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore» (art. 6, paragrafo 1, lett. f), GDPR). In particolare, il considerando 47 del GDPR chiarisce che, a tal fine, rientra nel legittimo interesse del titolare del trattamento interessato «trattare dati personali strettamente necessari a fini di prevenzione delle frodi». Ai sensi dell’art. 21, paragrafo 1, GDPR, peraltro, l’interessato non ha il diritto di opporsi al trattamento dei dati personali che lo riguardino quando il titolare del trattamento «dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria». Secondo quanto affermato dalla giurisprudenza di legittimità, pertanto, «l’interesse alla riservatezza dei dati personali deve cedere a fronte della tutela di altri interessi giuridicamente rilevanti, tra i quali l’interesse, ove autentico e non surrettizio, all’esercizio del diritto di difesa in giudizio» (Cass., 13 dicembre 2021, n. 39531). Si deve dunque concludere nel senso che, nel caso di cui si tratta, il prestatore di servizi di pagamento dell’accipiens non possa invocare la disciplina del trattamento dei dati personali al fine di giustificare il suo rifiuto di comunicare al pagatore i dati anagrafici o societari del proprio correntista”.
[2] Cfr. Cassazione civile Sez. I ordinanza n. 39531 del 13 dicembre 2021: “È legittima l’ostensione dei dati personali del beneficiario di una posizione previdenziale presso un fondo pensione quando il richiedente dimostri un interesse concreto e non pretestuoso ad intraprendere un’azione giudiziale nei confronti del soggetto designato dall’aderente al fondo, in particolare quando la richiesta provenga dal legittimario del de cuius. Il diritto alla riservatezza dei dati personali deve infatti cedere di fronte alla tutela di altri interessi giuridicamente rilevanti, tra cui il diritto di difesa in giudizio garantito dall’art. 24 Cost., secondo il bilanciamento operato dal legislatore nel D.Lgs. 196/2003, art. 24 comma 1 lett. f). Non è necessario che al momento della richiesta di accesso ai dati sia già pendente un giudizio, essendo sufficiente che la domanda non appaia manifestamente pretestuosa o inammissibile. Il giudice adito ex art. 152 D.Lgs. 196/2003 deve limitarsi a verificare la plausibilità della richiesta e l’esistenza in astratto di una posizione di diritto soggettivo sostanziale collegata all’esigenza di conoscenza dei dati, senza entrare nel merito della fondatezza delle azioni che il richiedente intende intraprendere né accertare preventivamente la qualità di erede o la natura del diritto del beneficiario designato, questioni riservate al giudice dell’eventuale successivo giudizio di merito. Tale principio si applica anche quando i dati richiesti non riguardino una parte del futuro giudizio, purché il trattamento sia pertinente alla tesi difensiva, non eccedente le sue finalità e limitato a quanto strettamente necessario per l’esercizio del diritto di difesa”.
[3] Sul punto, cfr. altresì ABF, Collegio di Roma, Decisione N. 1974 del 20 febbraio 2025.