Prelevamento fraudolento a seguito di furto della carta bancomat: regime probatorio e rimborso dell’importo sottratto da parte della Banca.

    “Voce dal sen fuggita

  poi richiamar non vale:

  non si trattien lo strale,

  quando dall’arco uscì.”

         (Pietro Metastasio)

I versi del Metastasio sottolineano l’irrimediabilità delle parole e delle azioni. Con Plauto potremmo aggiungere “Factum infectum fieri nequit”. E quest’ultima espressione, divenuta brocardo, ci pare aver avuto anche una sua giuridica rilevanza. Nel mondo delle idee e dei principi (dei formanti e dei criptotipi, diremmo con Rodolfo Sacco), tale assunto diviene ancor più vero. Tali idee e principi plasmano la forma mentis del giurista e lo inducono, consapevolmente o inconsapevolmente, a definire un percorso logico-giuridico che, come lo strale del Metastasio, attinge il bersaglio, traducendosi in decisione giurisprudenziale.

A questo ci è capitato di pensare nel leggere un inciso di una pronuncia del Collegio di coordinamento dell’Arbitro Bancario Finanziario (Decisione n. 3498 del 26 ottobre 2012) citato – non a caso diremmo – dal Collegio di Torino dell’Arbitro Bancario Finanziario nella propria Decisione n. 9927 del 13 novembre 2025. «In tale contesto normativo, secondo la posizione consolidata dell’ABF, la disciplina […] prevede un regime probatorio di favore per l’utente di strumenti e servizi di pagamento, essendo “ispirata al principio del “rischio d’impresa”, e cioè all’idea secondo la quale è razionale far gravare i rischi statisticamente prevedibili legati ad attività oggettivamente “pericolose”, che interessano un’ampia moltitudine di consumatori o utenti, sull’impresa, in quanto quest’ultima è in grado, attraverso la determinazione dei prezzi di vendita dei beni o di fornitura del servizio, di ribaltare sulla massa dei consumatori e degli utenti il costo dell’assicurazione dei rischi”».

Limpido e cristallino. In termini di politica di allocazione del rischio, il rischio medesimo va allocato, quale “rischio d’impresa”, sul soggetto “più forte” (la Banca) “in quanto quest’ultima è in grado, attraverso la determinazione dei prezzi di vendita dei beni o di fornitura del servizio, di ribaltare sulla massa dei consumatori e degli utenti il costo dell’assicurazione dei rischi”. Assunto che, pur a non volerne considerare le conseguenze e gli effetti in termini di interpretazione non condivisibile – a nostro personale parere, beninteso – dell’apparato normativo che disciplina la materia, finisce per tradursi in un’aporia logica. È giusto che a pagare siano le Banche perché esse potranno “attraverso la determinazione dei prezzi di vendita dei beni o di fornitura del servizio, […] ribaltare sulla massa dei consumatori e degli utenti il costo dell’assicurazione dei rischi”. Ora, poiché, non ci pare che nell’oggetto sociale delle Banche rientrino – almeno primariamente – scopi di pia beneficenza, v’è da credere che allocare costantemente su di esse rischi – anche non dovuti – si traduca in un aumento dei costi dei prodotti e dei servizi per i consumatori. Palese esempio di eterogenesi dei fini.

Questi i fatti. Parte ricorrente resta vittima del furto della propria borsa contenente il bancomat, la carta di credito e il telefono. Nonostante il blocco delle carte, risulta effettuato un prelevamento fraudolento di € 200,00 di cui l’intermediario rifiuta il rimborso. Di qui il ricorso all’Arbitro Bancario Finanziario. La disciplina normativa in materia si rinviene nella Direttiva 2015/2366/UE (Payment Services Directive 2, cosiddetta PSD2), recepita in Italia dal D. Lgs. 15 dicembre 2017 n. 218[1] modifica il D. Lgs.27 gennaio 2010 n. 11[2] (di recepimento della direttiva 2007/64/CE, cosiddetta PSD).

Per il profilo, che qui interessa, occorre analizzare quanto previsto dall’anzidetta normativa in merito al disconoscimento delle operazioni di pagamento e alle conseguenze che ne discendono.

L’art. 10 del D. Lgs. 11/2010 rubricato “Prova di autenticazione ed esecuzione delle operazioni di pagamento”, al primo comma, così recita: “Qualora l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”. Si assiste, nel caso di specie, a un’inversione dell’onere della prova. In altri termini, a fronte del disconoscimento dell’operazione da parte del cliente, la Banca è chiamata a provare, oltre all’insussistenza di malfunzionamenti nei propri sistemi informatici, l’autenticazione dell’utente, ossia la procedura attraverso cui la Banca stessa verifica l’identità di un utente o la validità dell’uso di uno specifico strumento di pagamento, incluse le relative credenziali di sicurezza personalizzate fornite dalla Banca stessa.

L’art. 11 del D. Lgs. 11/2010 rubricato “Responsabilità del prestatore di servizi di pagamento per le operazioni di pagamento non autorizzate” stabilisce, al comma 1, che: “[…] nel caso in cui sia stata eseguita un’operazione di pagamento non autorizzata, il prestatore di servizi di pagamento rimborsa al pagatore l’importo dell’operazione medesima immediatamente e in ogni caso al più tardi entro la fine della giornata operativa successiva a quella in cui prende atto dell’operazione o riceve una comunicazione in merito. Ove per l’esecuzione dell’operazione sia stato addebitato un conto di pagamento, il prestatore di servizi di pagamento riporta il conto nello stato in cui si sarebbe trovato se l’operazione di pagamento non avesse avuto luogo, assicurando che la data valuta dell’accredito non sia successiva a quella dell’addebito dell’importo”; ulteriormente precisando, comma 3, che: “Il rimborso […] non preclude la possibilità per il prestatore di servizi di pagamento di dimostrare, anche in un momento successivo, che l’operazione di pagamento era stata autorizzata. In tal caso, il prestatore di servizi di pagamento ha il diritto di chiedere direttamente all’utente e ottenere da quest’ultimo la restituzione dell’importo rimborsato […]”. “L’utente, venuto a conoscenza di un’operazione di pagamento non autorizzata o non correttamente eseguita […] ha il diritto di ottenerne la rettifica solo se comunica senza indugio tale circostanza al proprio prestatore di servizi di pagamento secondo i termini e le modalità previste nel contratto quadro o nel contratto relativo a singole operazioni di pagamento. La comunicazione deve essere in ogni caso effettuata entro 13 mesi dalla data di addebito, nel caso del pagatore, o di accredito, nel caso del beneficiario” (così l’art. 9 rubricato “Responsabilità del pagatore per l’utilizzo non autorizzato di strumenti o servizi di pagamento”).

Pertanto, a fronte della comunicazione – effettuata senza indugio e, comunque, non oltre 13 mesi dalla data di addebito – di un’operazione di pagamento non autorizzata, il cliente ha diritto ad ottenere il tempestivo rimborso della stessa nella giornata lavorativa successiva a quella in cui l’intermediario prende atto dell’operazione o riceve una comunicazione in merito. La norma, dunque, prevede che il diritto al rimborso discenda dalla circostanza che sia stata effettuata un’operazione di pagamento priva di autorizzazione ovvero derivante dall’utilizzo di uno strumento di pagamento smarrito, sottratto o utilizzato indebitamente. Per l’individuazione del perimetro oggettivo di applicazione del dato normativo occorre, di conseguenza, delineare il concetto di “operazione di pagamento”, di “strumento di pagamento” e di “autorizzazione”.

Per “operazione di pagamento” (cfr. art. 1, lett. c, del D. Lgs. 11/2010) deve intendersi “l’attività, posta in essere dal pagatore o dal beneficiario, di versare, trasferire o prelevare fondi”.

Uno “strumento di pagamento” (cfr. art. 1, lett, s, del D.Lgs. 11/2010) è “qualsiasi dispositivo personalizzato e/o insieme di procedure concordate tra l’utente e il prestatore di servizi di pagamento e di cui l’utente di servizi di pagamento si avvale per impartire un ordine di pagamento” ove l’“ordine di pagamento” è definito, alla lett. o dell’art. 1 del D. Lgs. 11/2010 come “qualsiasi istruzione data da un pagatore o da un beneficiario al proprio prestatore di servizi di pagamento con la quale viene chiesta l’esecuzione di un’operazione di pagamento”.

L’operazione di pagamento si considera autorizzata a fronte del consenso prestato alla stessa da parte del pagatore. “Il consenso del pagatore – come previsto dall’art. 5 del D. Lgs. 11/2010 – è un elemento necessario per la corretta esecuzione di un’operazione di pagamento. In assenza del consenso, un’operazione di pagamento non può considerarsi autorizzata. Il consenso ad eseguire un’operazione di pagamento o una serie di operazioni di pagamento è prestato nella forma e secondo la procedura concordata nel contratto quadro o nel contratto relativo a singole operazioni di pagamento”. Pertanto, un’operazione di pagamento può considerarsi non autorizzata qualora sia carente il consenso del pagatore, prestato nella forma e secondo la procedura concordata nel contratto quadro PSD. Qualora l’operazione sia priva del consenso dell’utente, essa non è autorizzata e – a fronte del disconoscimento – si impone il subitaneo rimborso. Diversamente, qualora sussista il consenso dell’utente, ossia in caso di operazione autorizzata, non si integra il presupposto per l’applicazione del rimborso “immediato” per come previsto dall’art. 11 del D. Lgs. 11/2010.

Al fine di garantire che l’autorizzazione, ovvero il consenso dell’utente, all’effettuazione dell’operazione di pagamento si svolga con i più elevati standard di sicurezza, si è previsto che l’autenticazione dell’utente all’utilizzo dello strumento di pagamento sia un’autenticazione cosiddetta “forte” Il D. Lgs. 11/2010, all’art. 1 lett. q e q bis, definisce rispettivamente l’”autenticazione” e l’”autenticazione forte” (SCA – strong customer authentication) per come segue

• “autenticazione”: “la procedura che consente al prestatore di servizi di pagamento di verificare l’identità di un utente di servizi di pagamento o la validità dell’uso di uno specifico strumento di pagamento, incluse le relative credenziali di sicurezza personalizzate fornite dal prestatore;
• “autenticazione forte del cliente”: un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione.

Premesso tale articolato quadro normativo e atteso il combinato disposto delle norme sopra citate, vien fatto di chiedersi ove vada fissata la linea di demarcazione che consente di stabilire se una frode subita dalla clientela, attraverso – poniamo caso – un prelevamento fraudolento effettuato dopo il furto della carta bancomat, involga una responsabilità della Banca e comporti un suo obbligo di rimborso. La normativa fissa tale limen, tra l’altro, nella condotta tenuta dal cliente. Ove questi abbia agito con dolo o colpa grave o in modo fraudolento, la Banca resta esonerata da ogni responsabilità.

Nel caso di specie, è assumibile che non vi sia stata una condotta gravemente colposa della clientela essendo stato effettuato il prelevamento, a poco più di quindici minuti, dal furto e con esatta digitazione del PIN associato alla carta? Non può, in altri termini, ragionevolmente presumersi che il PIN (uno dei due fattori necessari all’autenticazione forte, essendo l’altro il CHIP) sia stato incautamente custodito dalla clientela unitamente al bancomat con ciò violando, non solo, un’elementare regola di diligenza, ma altresì – vi è da ritenere – una precisa norma contrattuale (l’obbligo di separata e distinta custodia della carta e del relativo PIN è usualmente un obbligo stabilito in tutti i contratti bancari della specie).

«In particolare – è il medesimo Collegio sabaudo a sottolinearlo – l’art. 10 del d.lgs. 11/2010 prevede, in merito all’onere della prova gravante sul prestatore dei servizi di pagamento (PSP), una precisa e graduata sequenza, in base alla quale il PSP è tenuto a dimostrare:

1. l’autenticazione, la corretta registrazione e contabilizzazione della o delle operazioni contestate e l’assenza di malfunzionamenti delle procedure necessarie per la sua esecuzione o di altri inconvenienti che si configura come antecedente logico rispetto alla prova della colpa grave (o dolo) dell’utente;
2. il comportamento gravemente colposo (o fraudolento o doloso) dell’utilizzatore (anche per presunzioni)».

È possibile, allo stato delle attuali conoscenze tecniche, estrarre il PIN dal CHIP con tecniche informatiche in un circoscritto intervallo di tempo (ribadiamo: poco più di quindici minuti)?

Ebbene, precedenti e recenti decisioni dell’ABF paiono negare siffatta circostanza.

Cfr., ex multis:

• Collegio di Bologna, Decisione n. 4864 del 24 aprile 2024: «La parte resistente sottolinea infatti che la tecnologia EMV, di cui è dotato lo strumento di pagamento in questione, non consente di estrarre il PIN se non con l’uso di tecniche sofisticate, con costi e tempi molto lunghi (parecchie ore o giorni), incompatibili con la concreta dinamica della presente fattispecie, ove tra il furto e le prime operazioni sarebbero trascorsi solo pochi minuti. É altresì fatto noto, allo stato attuale della tecnica, che “da una carta Bancomat smarrita o rubata non è possibile con tempo e risorse limitate riuscire ad estrarre da essa il PIN contenuto nel chip. L’operazione è teoricamente possibile ma richiede un laboratorio sofisticato (chimico ed elettronico) e quindi ha un costo molto elevato e richiede comunque tempi molto lunghi (parecchie ore o giorni)” (cfr., ex multis, ABF, Collegio di Roma, decisione n. 33/2015). É parimenti escluso che il PIN possa essere estrapolato dalla banda magnetica, in quanto la stessa non contiene tale informazione (v. Circolare del Conciliatore Bancario e Finanziario del 31 marzo 2015, Prot. n. 200413/AS)»;
• Collegio di Torino, Decisione N. 2323 del 09 marzo 2023 ove parte resistente rileva come «un’indagine scientifica commissionata al Politecnico di Torino aveva appurato che “data una carta Bancomat smarrita o rubata non è possibile con tempo e risorse limitate riuscire ad estrarre da essa il PIN contenuto nel chip. L’operazione è teoricamente possibile ma richiede un laboratorio sofisticato (chimico ed elettronico) e quindi ha un costo molto elevato … e richiede comunque tempi molto lunghi (parecchie ore o giorni). Sosteneva che nel caso di specie, quindi, si doveva verificare se la sequenza temporale tra il furto della carta e il successivo utilizzo fraudolento, posto in stretta successione, fosse idonea a fondare la presunzione della colpa grave in capo all’utilizzatore. Richiamava che il Collegio di Coordinamento aveva chiaramente indicato che “la successione temporale degli eventi può, insomma, far desumere con un elevato grado di probabilità che il PIN fosse conservato unitamente alla carta e ad essa immediatamente associabile, al punto da renderne particolarmente agevole la digitazione per porre in essere le operazioni oggi contestate. Tale comportamento ascrivibile al ricorrente evidenzia, allora, una violazione gravemente colposa degli obblighi di conservazione e di sicurezza sullo stesso gravanti, sia in relazione alle disposizioni di legge, sia in relazione alle disposizioni contrattuali”. Eccepiva che l’onere di ordinaria diligenza posto a carico dei clienti era da estendersi anche a quei comportamenti positivi attraverso cui il danno poteva essere evitato o comunque diminuito, che in questo caso consisteva nel non conservare il codice segreto PIN unitamente alla carta».

Si rileva che, in entrambi i precedenti citati, gli argomenti riportati vengono esposti, non dal Collegio, ma dalla parte resistente, ma risultano dal Collegio stesso condivisi nella propria decisione.

Ma dirimente, ci appare un’ulteriore Decisione dell’ABF ove si evidenzia – a nostro avviso – l’aporia logico-giuridica in cui è incorso il Collegio torinese. L’eventuale colpa grave della clientela va valutata non rispetto all’evento delittuoso che ha determinato la sottrazione dello strumento di pagamento (poco significativo appare dunque concentrarsi sulla circostanza che il furto sia stato compiuto con destrezza o meno), ma piuttosto – ci verrebbe da dire – sull’oggetto della sottrazione. Nel caso di specie, la borsa ove – atteso il tempo intercorso tra il furto e il prelevamento – è da ritenersi, in forza di una ragionevole presunzione, che la carta fosse custodita unitamente al PIN. In questo, e in questo solo, sta la condotta colposa della clientela che avrebbe dovuto indurre al rigetto del ricorso e non al suo accoglimento.

Cfr. Collegio di Bologna, Decisione n. 6404 del 22 giugno 2023: «Secondo il consolidato orientamento dei collegi e la decisione n. 5304/2013, in cui il Collegio di coordinamento ha osservato come gli utilizzi fraudolenti erano avvenuti con successo dopo “soli quindici minuti” dall’ora del furto, concludendo che la successione temporale degli eventi poteva far desumere con un elevato grado di probabilità che il PIN fosse conservato unitamente alla carta e ad essa immediatamente associabile, con conseguente violazione gravemente colposa, ascrivibile al ricorrente, degli obblighi di conservazione e di sicurezza dello strumento di pagamento e del relativo codice di sicurezza. Conf. Collegio di Bologna 1722 del 21 febbraio 2023. Quanto alla fattispecie di cui all’articolo 625 cp, questo Collegio ha ancora di recente stabilito che (2153 del 06 marzo 2023 relativa ad una fattispecie simile a quella in esame) “Contrariamente a quanto argomentato dalla resistente, il Collegio ritiene che in caso di furto di una borsa che non risulta lasciata incustodita ma sottratta improvvisamente dall’autovettura si configuri un furto con destrezza, ipotesi in cui, di per sé, non può ritenersi sussistere una colpa grave dell’utente nella conservazione dello strumento. Tuttavia, in base agli orientamenti dei Collegi, nel caso in esame appare violato il dovere di custodia dei codici che consentono l’utilizzo dello strumento stesso. In conformità con i principi espressi in materia dal Collegio di Coordinamento, non può pretendersi che le persone tengano a mente tutti i codici identificativi di cui possono necessitare, senza possibilità di annotazione, purché il codice non risulti “immediatamente associabile allo strumento” (Collegio di Coordinamento decisione n. 6168/13). Nel caso in esame, dalla documentazione prodotta, tra il furto e l’utilizzo della carta appare trascorso un lasso di tempo sufficiente (meno di 15 minuti), secondo l’orientamento condiviso dei Collegi, a ritenere che l’associazione tra il PIN e la carta sia stata “immediata” e, pertanto, la custodia del codice gravemente colposa.”».

Il punto, a nostro avviso, sta nell’aver voluto concentrarsi sulla spiacevole vicenda (furto con destrezza ai danni di una persona anziana) e nell’averne voluto trarre la conseguenza che a subire gli effetti dannosi della perdita fosse il soggetto “forte”: la Banca. Al netto, s’intende, di eventuali “errori” o “lacune” che pure potrebbero aver contraddistinto la rappresentazione della vicenda al Collegio il quale, in un qualche modo, si sarebbe limitato a trarne le conseguenze.

Ma resta, a volteggiare nell’aere, quel pensiero con cui abbiamo inteso principiare queste nostre righe. Quella “voce dal sen fuggita” e lo strale che aveva preso, ormai, una direzione che conduceva a ineluttabile bersaglio.

__________________________________________________

[1] Decreto Legislativo 15 dicembre 2017, n. 218. Recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE, nonché adeguamento delle disposizioni interne al regolamento (UE) n. 751/2015 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta.

[2] Decreto Legislativo 27 gennaio 2010, n. 11. Attuazione della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno, recante modifica delle direttive 97/7/CE, 2002/65/CE, 2005/60/CE, 2006/48/CE, e che abroga la direttiva 97/5/CE.