Cosa succede nel momento in cui un utente di servizi bancari online incontra un problema legato al malfunzionamento dei sistemi di digital banking o mobile banking? A chi vanno attribuite le responsabilità e con quale approccio? Ci sono casi cui fare riferimento che possono fornire un orientamento? PagamentiDigitali.it ospita una analisi su questo tema di Claudio Telmon, Information & Cyber Security Advisor P4I e di Maria Cristina Daga, Avvocato, Senior Legal Consultant P4I. In particolare, Telmon e Daga affrontano un caso concreto di un utente di servizi bancari che a fronte di un problema di malfunzionamento ha subito un danno economico e ha deciso di denunciare il problema. Su questo tema si è poi pronunciato il Tribunale di Parma.
Per affrontare questo tema è importante portare prima di tutto l’attenzione sulla questione del raggiungimento dell’onere probatorio dell’istituto di credito secondo i giudici di merito e di legittimità.
Il fatto – Con sentenza n. 1268/2018 il Tribunale di Parma condanna la Banca alla restituzione dell’importo pari all’ammontare della somma disconosciuta dal cliente a seguito di operazioni bancarie (nelle specie, bonifici bancari) effettuate tramite il sistema di Home Banking.
I giudicanti parmigiani, in linea con la più recente giurisprudenza di legittimità e di merito, hanno confermato l’orientamento secondo cui “spetta alla banca fornire la prova del corretto funzionamento del proprio sistema e, quindi, della riconducibilità dell’operazione al correntista che l’abbia disconosciuta.” In applicazione dei principi consolidati in materia di responsabilità contrattuale (principi ampiamente richiamati dalla succitata giurisprudenza), l’istituto di credito è tenuto ad una diligenza valutabile non sulla base del criterio del pater familias, bensì tenendo conto del modello dell’operatore professionale, qual è l’accorto banchiere (bonus nummarius).
Peraltro, la corretta operatività del servizio bancario mediante collegamento telematico rientra a pieno titolo nel rischio d’impresa, con la conseguenza che grava sulla banca una responsabilità di tipo oggettivo o semioggettivo, da cui la stessa va esente solo provando “quantomeno in via presuntiva che le operazioni contestate dal cliente sono allo stesso riconducibili”.
Tuttavia, a parere di chi scrive, il tema della responsabilità in materia di operazioni bancarie fraudolente e dell’onere probatorio nell’ambito dei servizi di pagamento, sembra rimanere annodato su principi formalistici e astratti, risulta certamente non affrontato e approfondito da un punto di vista tecnico/informatico dai giudici di merito e di legittimità e si fonda su responsabilità, come quella dell’accordo banchiere, che in concreto non sono analizzate dai giudici in relazione all’effettivo e corretto funzionamento dei sistemi informativi in conformità alle normative bancarie emanate dagli organismi di vigilanza italiano ed europeo.
In altre parole, dalla lettura delle sentenze di merito e di legittimità, pare emergere il richiamo a norme civilistiche e a principi astratti in tema di responsabilità contrattuali e una totale assenza dell’applicazione di principi concretamente e tecnicamente perseguibili anche a seguito e/o attraverso l’ausilio di perizie tecniche d’ufficio.
L’analisi della responsabilità oggettiva o semioggettiva
Sempre a parer di chi scrive, l’analisi della responsabilità oggettiva o semioggettiva, nell’ipotesi di controversie per operazioni fraudolente, dovrebbe essere valutata solo all’esito:
1) di un attento esame delle componenti informatiche del sistema informativo della Banca, come ad esempio l’esame dei sistemi di log di accesso e di utilizzo delle credenziali di autenticazione, analisi a confronto dell’indirizzo IP utilizzato per dare seguito all’operazione disconosciuta, comunicazione di credenziali di autenticazione a seguito di email fraudolente (phishing) che potrebbero aver generato l’appropriazione da parte di terzi;
2) nonché l’esame dei fatti che, seppur in via presuntiva, devono, se del caso, far emergere eventuali responsabilità e/o l’eventuale corresponsabilità dell’utilizzatore per le possibili violazioni dei suoi obblighi contrattuali ed ex lege di diligente custodia delle credenziali di autenticazione e di comunicazione immediata dell’operazione fraudolenta (art. 7 d.lgs. n. 11 del 2010).
Il tema della fiducia degli utenti nella sicurezza del sistema
Il Tribunale di Parma, richiamando la recente sentenza della Corte di Cassazione n. 9158 del 12.04.2018, ha ribadito il principio secondo cui “in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell’entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire la prova della riconducibilità dell’operazione al cliente” (nel medesimo senso cfr Cass. 3 febbraio 2017, n. 2950).
Entrambi i precedenti richiamati – così come la pronuncia in commento – collocano nell’ambito del rischio dell’imprenditore bancario l’eventualità dell’esecuzione di un’operazione fraudolenta a mezzo del servizio di home banking, facendone discendere una responsabilità, in capo alla banca, che viene qualificata espressamente come di tipo “oggettivo” o “semioggettivo”.
Ne discende che non solo la valutazione della responsabilità dell’istituto di credito debba essere valutata con maggior rigore, ma anche che, in sostanza, viene completamente addossato alla banca l’onere della prova relativo alla effettiva riconducibilità dell’operazione al correntista.
Non può decisamente condividersi l’orientamento in esame dal momento che il rischio dell’imprenditore bancario fa discendere una responsabilità in capo alla banca di natura oggettiva e che la stessa è tenuta a dover dimostrare effettiva riconducibilità dell’operazione al correntista.
In questo modo, infatti, si giunge a far gravare sull’imprenditore bancario una vera e propria probatio diabolica. D’altronde se l’intermediario bancario è tenuto a dimostrare l’effettiva riconducibilità al correntista, come potrebbe raggiungere l’onere probatorio se si ritiene connaturato un rischio al collegamento telematico (Home Banking) e, se al contempo, l’intermediario è tenuto a dimostrare l’effettiva riconducibilità dell’operazione al correntista? Ciò equivale a dire che l’analisi degli elementi di fatto sull’utilizzo del corretto dei servizi di pagamento digitale e del corretto funzionamento del sistema di pagamento, da effettuarsi anche e soprattutto in via presuntiva, non porterebbe mai i giudici a considerare raggiunto l’onere probatorio per l’intermediario.
Pertanto, se è vero che l’operatività del servizio bancario mediante collegamento telematico rientra a pieno titolo nel “rischio d’impresa” è altrettanto vero che gli Istituti di credito devono poter esercitare a pieno titolo il proprio “diritto di difesa” attraverso l’esercizio di un onere probatorio che non dovrebbe essere reso impossibile dagli stessi giudicanti.
Le buone pratiche dell’accorto banchiere per garantire il corretto funzionamento del sistema
Come detto, sembra fondamentale individuare concretamente quale sono le misure e le tecniche che l’accorto banchiere è tenuto ad intraprendere per garantire il corretto funzionamento del sistema. Il tema di quali siano i meccanismi adeguati di prevenzione delle frodi nell’accesso online ai servizi offerti dalle banche è molto attuale ed in continua evoluzione. La definizione del comportamento dell’accorto banchiere passa necessariamente dall’individuazione di quali siano le buone pratiche nell’erogazione di questi servizi. Senz’altro, un riferimento importante sono gli obblighi posti dalle varie normative in termini di autenticazione dei servizi bancari. Questi obblighi non necessariamente esauriscano il tema delle buone pratiche, rappresentandone comunque un limite inferiore. Le prassi diffuse nell’ambito dei sistemi bancari possono però prevedere misure di sicurezza migliori di quanto richiesto dalla norma, e anche al di fuori dell’ambito bancario, sistemi con rischi e criticità simili potrebbero essere un riferimento di cosa può essere un comportamento “accorto”. La difficoltà sta naturalmente anche nell’individuare quali fossero le buone pratiche ai tempi dell’incidente, in questo caso il 2010, ovvero se il solo uso della password, anziché di meccanismi di autenticazione forte [1], fosse allora una buona pratica o solo una prassi ancora consentita dalla norma. Senza indagare ulteriormente quale potesse essere la situazione allora, è interessante considerare invece quale possa essere la situazione adesso. Un riferimento importante è certamente il Regolamento Delegato (Ue) 2018/389 27 novembre 2017 relativo alle “norme tecniche di regolamentazione per l’autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri”[Si legga QUI per maggiori informazioni] , che affronta il tema dell’autenticazione forte del cliente nell’ambito dei servizi di pagamento (Direttiva PSD2), e che sarà applicabile dal settembre 2019. Si tratta di una norma che tiene conto dell’evoluzione delle tecnologie e degli scenari di rischio, in particolare in riferimento alla forte apertura richiesta al sistema bancario verso altri soggetti che operano nel contesto dei sistemi di pagamento online, anche con strumenti innovativi. Questa evoluzione porta con sé nuovi rischi e complessità, e la normativa risponde con una serie di indicazioni che prevedono nello specifico di:
- Utilizzare in generale meccanismi di autenticazione forte
- Per l’avvio di operazioni di pagamento, usare un’autenticazione che comprenda elementi che colleghino in maniera dinamica l’operazione a uno specifico importo e a un beneficiario specifico (art. 5, “collegamento dinamico”)
- Poter rinunciare all’autenticazione forte quando l’operazione presenti determinate caratteristiche che ne limitano il rischio (ad esempio, bonifici ricorrenti o a beneficiari di fiducia) e nello stesso tempo il tasso di frode complessivo su tali tipologie di pagamenti si mantenga al di sotto di una certa soglia
L’autorizzazione forte per una specifica transazione
È utile chiarire meglio in particolare il secondo e il terzo punto. L’evoluzione degli scenari di attacco ai sistemi di pagamento, e ai meccanismi di autenticazione in generale, ha reso meno efficace la sola autenticazione forte. La norma prevede quindi l’utilizzo di una versione più evoluta che richiede che l’informazione di autenticazione sia legata univocamente ad una specifica transazione, ovvero ad un importo e ad un beneficiario che l’utente possa verificare. In questo modo, l’utente autorizzerà quella specifica transazione, e il furto delle informazioni di autenticazione (ad esempio, password e sms) non potrà essere usato per autorizzare transazioni diverse. Si tratta di una logica molto avanzata, ma non semplice da implementare e soprattutto di notevole impatto sulla cosiddetta “user experience”, in particolare quando si vogliano favorire i pagamenti semplici e veloci con strumenti innovativi. Per questo motivo, le banche possono rinunciare al collegamento dinamico quando, monitorando le transazioni (art. 21) e confrontandole ad esempio con le abitudini dell’utente, nonché sulla base del tipo di transazione, valutino che il rischio di una frode sia basso (art. 18). Queste logiche sono in linea con le buone pratiche attuali nella gestione della sicurezza, che la vedono come uno strumento di mitigazione del rischio ad un livello adeguato (la stessa logica si trova nel GDPR) pur senza pretendere che i rischi siano del tutto eliminati, cosa che non sarebbe realistica.
La norma entra nel dettaglio delle attività di monitoraggio e valutazione del rischio, e soprattutto indica chiaramente che qualora il tasso accettabile di frodi venisse superato, l’esenzione all’utilizzo del collegamento dinamico cesserebbe (art. 20). Questo punto rappresenta una leva molto forte per assicurare che le banche mantengano basso il tasso di frode ed efficaci i meccanismi di autenticazione senza poter ribaltare la responsabilità sui clienti, perché la cessazione dell’esenzione rende di fatto impraticabile erogare quei servizi di pagamento semplici, veloci e innovativi, con un impatto enorme sulla banca. Questo forte deterrente rende quindi concreto e misurabile (attraverso la definizione dei tassi di frode accettabili) quel comportamento “accorto” richiesto alla banca.
Claudio Telmon, Information & Cyber Security Advisor
Maria Cristina Daga, Avvocato, Senior Legal Consultant
[1] Tipicamente, un’autenticazione basata sull’uso contestuale sia di una password che un secondo meccanismo basato sul possesso, come ad esempio un token OTP (le “chiavette” che generano numeri monouso), SMS o altri meccanismi simili