Induzione truffaldina del cliente a disporre bonifico con inserimento volontario delle credenziali e irresponsabilità della Banca.

      «Non tocca a noi dominare tutte le maree del mondo,

         il nostro compito è di fare il possibile per la salvezza degli anni nei quali viviamo,

     sradicando il male dai campi che conosciamo.»

   (J.R.R. Tolkien)

La normativa nazionale e comunitaria, dettata in materia di sistemi di pagamento, predispone idonei presidi atti a garantire la genuinità delle operazioni di pagamento e prevede, al fine di preservare la fiducia del pubblico negli strumenti di pagamento, che al ricorrere di determinate condizioni siano riconosciute forme di tutela rafforzate ai loro utilizzatori.

I riferimenti normativi si rinvengono nella Direttiva 2015/2366/UE (Payment Services Directive 2, cosiddetta PSD2), recepita in Italia dal D. Lgs. 15 dicembre 2017 n. 218[1] che modifica il D. Lgs.27 gennaio 2010 n. 11[2] (di recepimento della direttiva 2007/64/CE, cosiddetta PSD).

Per il profilo, che qui interessa, occorre analizzare quanto previsto dall’anzidetta normativa in merito al disconoscimento delle operazioni di pagamento e alle conseguenze che ne discendono.

L’art. 10 del D. Lgs. 11/2010 rubricato “Prova di autenticazione ed esecuzione delle operazioni di pagamento”, al primo comma, così recita: “Qualora l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”. Si assiste, nel caso di specie, a un’inversione dell’onere della prova. In altri termini, a fronte del disconoscimento dell’operazione da parte del cliente, la Banca è chiamata a provare, oltre all’insussistenza di malfunzionamenti nei propri sistemi informatici, l’autenticazione dell’utente, ossia la procedura attraverso cui la Banca stessa verifica l’identità di un utente o la validità dell’uso di uno specifico strumento di pagamento, incluse le relative credenziali di sicurezza personalizzate fornite dalla Banca stessa.

L’art. 11 del D. Lgs. 11/2010 rubricato “Responsabilità del prestatore di servizi di pagamento per le operazioni di pagamento non autorizzate” stabilisce, al comma 1, che:

“[…] nel caso in cui sia stata eseguita un’operazione di pagamento non autorizzata, il prestatore di servizi di pagamento rimborsa al pagatore l’importo dell’operazione medesima immediatamente e in ogni caso al più tardi entro la fine della giornata operativa successiva a quella in cui prende atto dell’operazione o riceve una comunicazione in merito. Ove per l’esecuzione dell’operazione sia stato addebitato un conto di pagamento, il prestatore di servizi di pagamento riporta il conto nello stato in cui si sarebbe trovato se l’operazione di pagamento non avesse avuto luogo, assicurando che la data valuta dell’accredito non sia successiva a quella dell’addebito dell’importo”; ulteriormente precisando, comma 3, che: “Il rimborso […] non preclude la possibilità per il prestatore di servizi di pagamento di dimostrare, anche in un momento successivo, che l’operazione di pagamento era stata autorizzata. In tal caso, il prestatore di servizi di pagamento ha il diritto di chiedere direttamente all’utente e ottenere da quest’ultimo la restituzione dell’importo rimborsato […]”. “L’utente, venuto a conoscenza di un’operazione di pagamento non autorizzata o non correttamente eseguita […] ha il diritto di ottenerne la rettifica solo se comunica senza indugio tale circostanza al proprio prestatore di servizi di pagamento secondo i termini e le modalità previste nel contratto quadro o nel contratto relativo a singole operazioni di pagamento. La comunicazione deve essere in ogni caso effettuata entro 13 mesi dalla data di addebito, nel caso del pagatore, o di accredito, nel caso del beneficiario” (così l’art. 9 rubricato “Responsabilità del pagatore per l’utilizzo non autorizzato di strumenti o servizi di pagamento”).

Pertanto, a fronte della comunicazione – effettuata senza indugio e, comunque, non oltre 13 mesi dalla data di addebito – di un’operazione di pagamento non autorizzata, il cliente ha diritto ad ottenere il tempestivo rimborso della stessa nella giornata lavorativa successiva a quella in cui l’intermediario prende atto dell’operazione o riceve una comunicazione in merito. La norma, dunque, prevede che il diritto al rimborso discenda dalla circostanza che sia stata posta in essere un’operazione di pagamento priva di autorizzazione ovvero derivante dall’utilizzo di uno strumento di pagamento smarrito, sottratto o utilizzato indebitamente. Per l’individuazione del perimetro oggettivo di applicazione del dato normativo occorre, di conseguenza, delineare il concetto di “operazione di pagamento”, di “strumento di pagamento” e di “autorizzazione”.

Per “operazione di pagamento” (cfr. art. 1, lett. c, del D. Lgs. 11/2010) deve intendersi “l’attività, posta in essere dal pagatore o dal beneficiario, di versare, trasferire o prelevare fondi”.

Uno “strumento di pagamento” (cfr. art. 1, lett, s, del D.Lgs. 11/2010) è “qualsiasi dispositivo personalizzato e/o insieme di procedure concordate tra l’utente e il prestatore di servizi di pagamento e di cui l’utente di servizi di pagamento si avvale per impartire un ordine di pagamento” ove l’“ordine di pagamento” è definito, alla lett. o dell’art. 1 del D. Lgs. 11/2010 come “qualsiasi istruzione data da un pagatore o da un beneficiario al proprio prestatore di servizi di pagamento con la quale viene chiesta l’esecuzione di un’operazione di pagamento”.

L’operazione di pagamento si considera autorizzata a fronte del consenso prestato alla stessa da parte del pagatore. “Il consenso del pagatore – come previsto dall’art. 5 del D. Lgs. 11/2010 – è un elemento necessario per la corretta esecuzione di un’operazione di pagamento. In assenza del consenso, un’operazione di pagamento non può considerarsi autorizzata. Il consenso ad eseguire un’operazione di pagamento o una serie di operazioni di pagamento è prestato nella forma e secondo la procedura concordata nel contratto quadro o nel contratto relativo a singole operazioni di pagamento”. Pertanto, un’operazione di pagamento può considerarsi non autorizzata qualora sia carente il consenso del pagatore, prestato nella forma e secondo la procedura concordata nel contratto quadro PSD. Qualora l’operazione sia priva del consenso dell’utente, essa non è autorizzata e – a fronte del disconoscimento – si impone il subitaneo rimborso. Diversamente, qualora sussista il consenso dell’utente, ossia in caso di operazione autorizzata, non si integra il presupposto per l’applicazione del rimborso “immediato” per come previsto dall’art. 11 del D. Lgs. 11/2010.

Al fine di garantire che l’autorizzazione, ovvero il consenso dell’utente, all’effettuazione dell’operazione di pagamento si svolga con i più elevati standard di sicurezza, si è previsto che l’autenticazione dell’utente all’utilizzo dello strumento di pagamento sia un’autenticazione cosiddetta “forte” Il D. Lgs. 11/2010, all’art. 1 lett. q e q bis, definisce rispettivamente l’”autenticazione” e l’”autenticazione forte” (SCA – strong customer authentication) per come segue

• “autenticazione”: “la procedura che consente al prestatore di servizi di pagamento di verificare l’identità di un utente di servizi di pagamento o la validità dell’uso di uno specifico strumento di pagamento, incluse le relative credenziali di sicurezza personalizzate fornite dal prestatore;
• “autenticazione forte del cliente”: un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione.

Premesso tale articolato quadro normativo e atteso il combinato disposto delle norme sopra citate, vien fatto di chiedersi ove vada fissata la linea di demarcazione che consente di stabilire se una frode subita dal cliente, attraverso – poniamo caso – una disposizione di bonifico impartita tramite internet banking, involga una responsabilità della Banca e comporti un suo obbligo di restituzione. La normativa fissa tale limen, tra l’altro nella condotta tenuta dal cliente. Ove questi abbia agito con dolo o colpa grave o in modo fraudolento, la Banca resta esonerata da ogni responsabilità. Ma è altra la fattispecie che qui si vuole considerare. Essa risulta relativa alla circostanza che il sistema informatico della Banca sia stato utilizzato deliberatamente e consapevolmente dal cliente, sia pure all’esito di una truffa o di un raggiro dallo stesso subita. In altri termini, quid iuris? nel caso di specie.

La questione è affrontata dalla Decisione n. 12842 del 13 dicembre 2024 del Collegio Di Milano dell’Arbitro Bancario Finanziario

La controversia sottoposta all’esame del Collegio, e dal Collegio stesso così sintetizzata, “riguarda due operazioni fraudolente entrambe eseguite in data 07/05/2024: la prima alle ore 14:10 per l’importo di € 990,00 e la seconda alle ore 14:23 per l’importo di € 8.431,00. Per il complessivo importo dunque di € 9.421,00. Secondo la ricostruzione dei fatti di cui in denuncia e nel ricorso, parte ricorrente dopo aver cliccato in un link presente in un sms ricevuto alla sua utenza telefonica, veniva contattato da un numero riconducibile all’intermediario, da un sedicente operatore. Seguendo pedissequamente le istruzioni ricevute telefonicamente da costui, parte ricorrente ha personalmente ed interamente eseguito due bonifici istantanei, nell’erronea convinzione di porre in essere una procedura di storno di operazioni fraudolente di terzi operanti a Lugano. Dunque, in base a quanto ammesso dallo stesso ricorrente, risulta che egli sia stato vittima di una tipologia di truffa denominata social hacking, fondata sull’impartire telefonicamente istruzioni manipolative al titolare della carta, lasciando che sia lo stesso titolare a disporre e autenticare i singoli pagamenti, senza che il frodatore venga mai a conoscenza dei codici di accesso. In questo si distingue da una più comune ipotesi di c.d. vishing, in cui è il truffatore a disporre e autenticare le operazioni, sulla base dei codici di accesso carpiti con l’inganno dall’ignaro interlocutore telefonico. Ne deriva che, nel caso di specie, le operazioni, sia pure a causa di un raggiro perpetrato da un terzo, sono state autorizzate dalla parte ricorrente”.

Come sottolineato dal Collegio di Bari, con propria Decisione n. 11402 del 30 ottobre 2024: “Con riguardo alle operazioni “autorizzate” dal cliente, si osserva che secondo le più recenti posizioni condivise dai Collegi, solo quando la transazione è eseguita per intero dal pagatore (con inserimento della disposizione di pagamento e di tutti i fattori di autenticazione), la stessa può considerarsi autorizzata e non è quindi soggetta al regime di responsabilità previsto dalla disciplina di tutela di cui agli artt. 10 e 12, del d.lgs. n. 11/2010; rientrano in questa fattispecie le operazioni eseguite dal pagatore seguendo le indicazioni del frodatore senza la consapevolezza di disporre una transazione. Diversamente, ove il concorso causale dell’utente in fase dispositiva e/o autorizzativa è parziale, la transazione non deve intendersi, per ciò solo, autorizzata”.

In altri termini, ove l’utente abbia deliberatamente utilizzato lo strumento di pagamento, sia pure coartato nella propria volontà ad agire da una truffa o da un raggiro, è da ritenersi che non siano integrati gli estremi della fattispecie normativa di cui al D.Lgs. 11/2010 e che, di conseguenza, non si configuri una responsabilità della Banca per l’utilizzo dei propri sistemi informatici. Nel caso di specie, è l’utente ad autenticarsi e ad autorizzare l’operazione contestata. Egli “spende” le proprie credenziali, sia pure a seguito di una truffaldina induzione da parte di terzi. La genesi della frode, verrebbe da dire, si consuma in forza di un fatto delittuoso distorsivo della volontà della clientela verificatosi “a monte” dell’utilizzo del sistema informatico della Banca e, in considerazione di ciò, la Banca stessa è da ritenersi irresponsabile e non può essere chiamata a rispondere di condotte consumate oltre la propria sfera di controllo e, anzi, anteriormente e a prescindere da essa.

Argomenta, difatti, il Collegio giudicante che la fattispecie “non può ricondursi a quella delle operazioni non autorizzate ex art. 10 D.lgs. n. 11/2010, dovendo, piuttosto, essere inquadrata nel contesto delle operazioni autorizzate dall’utilizzatore ex art. 5 D.lgs. n. 11/2010 (cfr. Collegio di Bologna, decisione n. 8425/2024, Collegio di Milano, decisione n. 432/2023, Collegio Roma, decisione n. 8538/2021). Difatti, secondo l’orientamento condiviso tra i Collegi in queste circostanze, dal momento che la coartazione della volontà avviene a monte dell’esecuzione del bonifico, che viene portato a termine direttamente dal cliente, non si applicano le disposizioni del D.lgs. 11/2010 sui pagamenti non autorizzati, essendo qualificati come tali, ex art. 5 D.lgs. 11/2010, solo quelli effettuati senza il consenso del pagatore (cfr. Collegio di Milano, decisione 115/2023; Collegio di Bologna, decisioni n. 1895/2024, n. 11161/2022 e n. 273/2023).

Considerare fattispecie, quale quella in esame, sussumibili nell’ambito delle normativa posta a protezione della clientela equivarrebbe – in maniera ultronea ed eccessiva – a porre in capo agli intermediari qualsiasi vizio del consenso della clientela in qualsivoglia modo determinatosi con ciò pervenendo a un risultato che il medesimo Collegio meneghino – richiamando la giurisprudenza arbitrale – non esita a definire, sotto il profilo giuridico di individuazione della responsabilità, “aberrante”.

“In proposito – sostiene l’ABF – i Collegi hanno osservato che “diversamente opinando, si avrebbe il risultato aberrante di ritenere rilevanti tutti i vizi del consenso di colui che abbia autorizzato una operazione di pagamento, e così non solo il dolo, come nel caso di specie, ma anche la violenza e l’errore, imputando tali vizi direttamente all’intermediario incolpevole. Di conseguenza, ad esempio, in caso di errore ex art. 1429 c.c., l’intermediario che abbia prestato un servizio di pagamento relativo ad un contratto viziato sarebbe tenuto alla restituzione delle somme alla parte in errore; così come, in caso di pagamento imposto con violenza al cliente nel corso di una rapina nella sua abitazione, sarebbe sempre l’intermediario a dover risarcire il cliente medesimo” (Collegio di Bologna, decisioni n. 7966/2024 e n. 8021/2024). Sul punto, in fattispecie analoga, è stato pertanto concluso che “per quanto la volontà del cliente di effettuare tale operazione sia stata viziata per effetto del raggiro subìto dal terzo ignoto, il previo consenso autorizzativo dell’istante appare dirimente per escludere la natura indebita del pagamento e, correlativamente, l’esistenza di un obbligo restitutorio in capo alla convenuta” (Collegio di Roma, decisione n. 1907/2021). Nel caso in esame non emergono, inoltre, elementi che possano configurare una responsabilità concorrente dell’intermediario resistente, sulla base delle evidenze disponibili e secondo le norme di diritto comune (cfr. Collegio di Palermo, decisione n. 9120/2024). Per tutto quanto sopra esposto il Collegio, constatato che i bonifici sono stati effettuati interamente e direttamente dalla parte ricorrente, sia pure sotto dettatura del frodatore, non può che dichiarare il non accoglimento della domanda di restituzione degli importi, trattandosi di operazioni volontariamente disposte”.

_________________________________________________________________________________

[1] Decreto Legislativo 15 dicembre 2017, n. 218. Recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE, nonché adeguamento delle disposizioni interne al regolamento (UE) n. 751/2015 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta. 

[2] Decreto Legislativo 27 gennaio 2010, n. 11. Attuazione della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno, recante modifica delle direttive 97/7/CE, 2002/65/CE, 2005/60/CE, 2006/48/CE, e che abroga la direttiva 97/5/CE.