Il sempre più rapido processo di digitalizzazione dei sistemi di pagamento, se da un lato semplifica e agevola le transazioni commerciali, dall’altro accresce i rischi connessi alle truffe telematiche, effettuate mediante appropriazione indebita a seguito dell’accesso illegale ai sistemi home banking. La normativa comunitaria, costituita dalla direttiva europea 2015/2366 (la c.d. PSD2: Payment Services Directive) e la legislazione nazionale di recepimento hanno imposto a carico degli istituti di credito specifici obblighi di protezione, per garantire la sicurezza dei dati personali e delle operazioni di pagamento.
Nel caso di un’operazione disconosciuta dal cliente, in particolare, ci si chiede quale sia il confine tra l’onere della prova, a carico del PSP (Payment Service Provider) e l’onere di allegazione, a carico del cliente.
In questo articolo si tenta di delineare i punti salienti sul tema di distribuzione degli oneri tra le due parti, perché la responsabilità dell’intermediario per utilizzo abusivo degli strumenti di pagamento implica un delicato bilanciamento tra gli interessi, contrapposti, degli utenti e prestatori del servizio.
Indice degli argomenti
Pagamenti non autorizzati: i profili di responsabilità
Va premesso che sia l’ABF, sia la giurisprudenza di merito, ormai sostanzialmente concordano nel ritenere che, nel verificare i profili di responsabilità imputabili a ciascuna delle parti coinvolte, sia necessario innanzitutto verificare se il PSP abbia adottato un sistema di autenticazione “forte” (Strong Customer Authentication: SCA) per l’identificazione a distanza del cliente, prevedendo l’utilizzo congiunto di credenziali statiche e dinamiche per accedere al servizio e per trasmettere ordini di pagamento. Tuttavia, l’uso di un sistema di SCA non è comunque sufficiente ad escludere la responsabilità (semi-oggettiva) della banca, in esito al compimento di un’operazione che il cliente assuma non essere autorizzata.
In prima battuta, il PSP deve provare che l’operazione è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti; quindi, è necessario un elemento soggettivo di natura dolosa, o qualificabile in termini di colpa grave, da parte del cliente, del quale deve essere data la prova da parte del PSP.
Per quanto riguarda gli utilizzi non circostanziati, i collegi ABF sono sostanzialmente unanimi nel ritenere che le mancate allegazioni del cliente sulle circostanze di fatto della frode rappresentano un elemento da cui trarre il necessario convincimento, insieme ad altre circostanze, circa la colpa grave del cliente medesimo. Infatti, la domanda che si risolve nel semplice, formale disconoscimento delle operazioni, senza alcuna concreta e ulteriore contestualizzazione fattuale, rivelandosi carente sotto il profilo delle allegazioni, impedisce la successiva indagine sull’assolvimento dell’onere della prova della colpa grave da parte dell’intermediario; se non è in discussione che l’onere della prova del dolo o della colpa grave del cliente incombe sull’intermediario, è altrettanto vero che il cliente deve delimitare il perimetro su cui misurare detto onere.
Vediamo nel dettaglio ogni singolo aspetto.
Gli obblighi dell’utente e del prestatore dei servizi di pagamento
Un’operazione di pagamento a distanza richiede il mezzo dello strumento di pagamento per poter essere iniziata, non essendovi la possibilità di riconoscimento fisico dell’ordinante. La gravità del rischio consistente nell’impossessamento dello strumento di pagamento richiede quindi un bilanciamento degli obblighi di custodia tra utente e prestatore.
Per la normativa vigente, l’utente è tenuto a utilizzare lo strumento ricevuto in conformità con i termini indicati nel contratto quadro stipulato con il Prestatore di Servizi; comunicare tempestivamente, con le modalità indicate in contratto, lo smarrimento, il furto, la sottrazione o l’uso non autorizzato dello strumento, appena ne viene a conoscenza; adottare infine tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate.
Le prime due categorie di obblighi riguardano la fase fisiologica dell’utilizzo dello strumento di pagamento; l’inosservanza della messa in sicurezza del mezzo di pagamento, dei dispositivi che consentono di utilizzarlo (il token o lo smartphone) e dei relativi codici di identificazione (come il pin), rappresentano tuttora la principale causa di imputabilità all’utente del rischio conseguente al loro uso fraudolento.
Rientra invece nella fase cosiddetta patologica dell’utilizzo dello strumento di pagamento la previsione dell’obbligo di comunicare, senza indugio, «lo smarrimento, il furto, l’appropriazione indebita o l’uso non autorizzato» dello strumento di pagamento al Prestatore dei Servizi o altro organo indicato nel contratto quadro.
La tempestiva comunicazione dell’evento illecito è espressamente prevista per consentire al prestatore il blocco immediato dello strumento, evitando all’utente ulteriori perdite economiche.
Controverso è invece l’inserimento, tra gli obblighi dell’utente, della verifica periodica del proprio conto corrente: sul punto è stato osservato che se da un lato la previsione di un obbligo di costante monitoraggio consentirebbe di accertare in tempo reale il corretto impiego dello strumento di pagamento, dall’altro minerebbe la fiducia dei clienti verso l’utilizzo di strumenti di pagamento elettronici.
Gli obblighi del prestatore dei servizi di pagamento
Dal canto suo, il PSP deve, in particolare
- assicurare che le credenziali di sicurezza personalizzate non siano accessibili a soggetti diversi dall’utente;
- astenersi dall’inviare strumenti di pagamento non richiesti;
- assicurare che siano sempre disponibili strumenti adeguati affinché l’utente possa effettuare la comunicazione di cui sopra e chiedere il blocco dello strumento di pagamento;
- consentire all’utente di rendere la dichiarazione suddetta a titolo gratuito;
- impedire qualsiasi uso dello strumento di pagamento, una volta comunicato lo smarrimento, il furto, la sottrazione o l’uso non autorizzato.
Come noto, già prima delle innovazioni introdotte dalla normativa europea con la direttiva PSD2 era pacifico che gli istituti di credito dovessero ottemperare a obblighi di sicurezza e di affidabilità dei servizi nei confronti dei clienti.
Il dibattito sorto intorno ai canoni di condotta esigibili dalle aziende di credito nell’erogazione dei loro servizi alla clientela è sostanzialmente condensato nella locuzione nota come «diligenza del buon banchiere», istituto che, nel tempo, ha assunto una fisionomia talmente connotata da indurre una parte della dottrina ad elaborare una figura di “responsabilità da status” in capo alla banca. Appare oggi consolidata l’opinione secondo la quale la diligenza cui la banca è tenuta è quella professionale, e non semplicemente quella media.
Pagamenti non autorizzati: gli obblighi nel contratto di home banking
In particolare, nel contratto di home banking, l’azienda di credito avrebbe la descritta veste di contraente professionale, che, tenuto conto delle modalità di frode da tempo note nel settore, è tenuto ad adeguarsi all’evoluzione dei nuovi sistemi di sicurezza. Di contro, non potrebbe ascriversi a responsabilità del cliente il fatto di non essere stato al corrente di tali eventi e, di conseguenza, di essere incorso nella captazione dei suoi codici di accesso al sistema.
Ciò ricomprende la predisposizione di mezzi ulteriori rispetto a quelli indicati dal diritto europeo, quali ad esempio i sistemi di sms alert, destinati ad avvisare l’utente consentendogli, in caso di operazioni sospette, di bloccare tempestivamente l’uso del dispositivo.
La valutazione circa l’adeguatezza dei modelli predisposti, dall’istituto bancario o dall’intermediario, si rivela particolarmente delicata quando si esamina poi anche il profilo della «grave negligenza» dell’utente, parametro connotato da mutamenti interpretativi, soprattutto in ragione del rapido e dinamico contesto tecnologico di cui si discute.
