Pagamenti non autorizzati: il riparto dell’onere della prova. Pacifica la configurabilità di un concorso colposo del pagatore, l’onere di provarne la negligenza (o la colpa grave o la frode) incombe sull’intermediario. Secondo quanto dispone la normativa, qualora l’utilizzatore di servizi di pagamento disconosca la paternità di un’operazione economica già eseguita a sua insaputa, spetta al prestatore dimostrare, per un verso, che l’operazione di pagamento sia stata autenticata, registrata e contabilizzata correttamente e che la stessa non abbia subito gli effetti pregiudizievoli di un malfunzionamento delle procedure necessarie per la sua esecuzione; per altro verso, è tenuto a provare che l’utente non abbia impedito la verificazione della transazione illecita disattendendo ai suoi doveri comportamentali (i.e. la colpa grave o il dolo) o, persino, che l’abbia egli stesso eseguita.
È pacifico che si sia in presenza di un’inversione dell’onere della prova, non derogabile dall’autonomia privata (la norma è imperativa).
Di contro, l’utente resta gravato soltanto dall’onere di allegare l’abusiva utilizzazione dello strumento di pagamento in suo danno, non essendo tenuto nemmeno a dimostrare la corretta custodia dei codici di accesso.
La disciplina istituita con il D.Lgs. n. 11/2010 (che ha recepito la direttiva PSD2) e successive modifiche pare aver quindi configurato una responsabilità contrattuale, nei casi di servizi e strumenti che si avvalgono di mezzi di pagamento elettronici, connotata da un «regime di speciale protezione e di altrettanto favor probatorio» per l’utente e, al contempo, particolarmente gravoso per il professionista; lo sbilanciamento dell’assetto probatorio sul lato dell’intermediario deriva essenzialmente dal fatto che la diligenza richiesta al prestatore nell’erogazione dei suoi servizi ha natura tecnica (c.d. diligenza dell’accorto banchiere) e viene valutata in maniera più rigorosa.
La ratio è da rintracciarsi nell’inquadramento giuridico della responsabilità del prestatore sempre più in termini di «rischio di impresa» che, per quanto non rappresenti una novità nel settore bancario, ha di recente subito (in particolare nelle pronunce dell’Arbitro Bancario Finanziario) una significativa diffusione: in sostanza, il rischio professionale, rappresentato anche dalle perdite subite dai clienti nei casi di frode o manomissione di terzi, deve allocarsi in via prevalente sul soggetto che è in grado di sopportarlo economicamente (e, pertanto, sull’intermediario).
Indice degli argomenti
Le presunzioni di colpa grave e la valutazione del comportamento dell’utente
Questo rigore probatorio viene però mitigato dalle applicazioni giurisprudenziali, soprattutto quando ha a oggetto la dimostrazione della condotta gravemente colposa del cliente.
All’intermediario – che non ha accesso a informazioni relative all’organizzazione dei propri clienti e alle modalità di custodia dei dispositivi, ulteriori rispetto a quelle dichiarate dai clienti stessi in sede di denuncia e, eventualmente, di giudizio – è, quindi, consentito provare il dolo o la colpa grave dell’utente tramite presunzioni (ex art. 2729 c.c.), purché abbia adeguatamente dimostrato di aver adottato tutte le procedure di sicurezza più efficaci per contrastare intromissioni fraudolente da terzi non autorizzati (in primis, di aver attivato i meccanismi di autenticazione “a due fattori”).
Tali presunzioni, tipizzate dalla giurisprudenza, sono ravvisabili nella decettività del messaggio di abboccamento e nel livello di sofisticazione della frode informatica perpetrata; nel caso di utilizzi fraudolenti, sono individuabili nella dotazione del microchip; nel lasso temporale intercorrente tra il furto e il primo prelievo contestato; nell’alternanza tra operazioni legittime e illegittime; nella tempestività/tardività della richiesta di blocco e della verifica del conto corrente.
Una riflessione sull’individuazione di ulteriori indizi dai quali dedurre la negligenza ha riguardato l’attitudine dell’indirizzo IP (Internet Protocol) a costituire prova che l’ordine di pagamento sia stato impartito dal computer dell’utente, potendosi ben verificare l’ipotesi che, con un furto di identità, il malfattore si appropri anche dell’indirizzo IP della vittima.
Phishing, disattenzione e “colpevole credulità”
Con riguardo all’home banking, posto che il fenomeno maggiormente diffuso è quello del phishing, l’intermediario deve provvedere a fornire evidenza tanto del grado di accortezza tenuto (o meno) dall’utente, quanto della presenza dei necessari sistemi di sicurezza prescritti.
La divulgazione dei dati riservati che abilitano all’utilizzo del proprio conto configura una condotta gravemente colposa, considerando il phishing ormai noto anche ai navigatori meno esperti. In sostanza, si ritiene che la consapevolezza del rischio di attacchi informatici e che gli istituti di credito non richiedano informazioni personali via mail, siano divenuti ormai parte del bagaglio culturale di ognuno, assurgendo al rango di fatto notorio, tanto che l’ABF giunge a qualificare tale contegno del cliente come «colpevole credulità».
Pacifica, sarà la colpa grave dell’utente che ammetta di aver fornito riscontro all’email o all’sms civetta, mentre nel caso di negazione dell’abboccamento, la colpa grave andrà provata dall’intermediario, sia tramite la prova del grado di sofisticazione con cui la truffa sarebbe stata perpetrata, sia evidenziando la manifesta decettività del messaggio o l’anomalia e inusualità della richiesta.
Si presume, quindi, ricorra la colpa grave in tutti quei casi in cui l’agire dell’utente risulti connotato da imperdonabile disattenzione ed evidente inescusabilità: l’aver conservato il codice pin unitamente allo strumento di pagamento (salvo che in modalità criptata) che ha consentito la quasi contestualità tra furto e prelievo; l’aver abbandonato lo strumento di pagamento in un luogo incustodito alla mercé di chiunque magari, come spesso accade, nella borsa lasciata distrattamente in auto.
L’uso dei log e le condizioni tecniche delle operazioni disconosciute
In sede di giudizio, l’intermediario ricorre alla produzione dei Log (trascrizione di tracce informatiche) delle operazioni disconosciute che consentono di dimostrare la breve sequenza temporale (idonea a fondare la presunzione della sussistenza della colpa grave in capo all’utente) e la corretta e regolare autenticazione delle transazioni (idonea ad assolvere l’onere probatorio relativo alla funzionalità del sistema).
Altri indici di grave negligenza vengono ravvisati nella (in)tempestività del blocco una volta presa coscienza del furto o dello smarrimento nonché nella circostanza che la carta sia dotata di microchip (il che rende l’ipotesi di una clonazione così complessa sul piano tecnico e statistico, da considerarla, se non di impossibile evenienza, almeno altamente improbabile): essa, tuttavia, non è sufficiente, da sola, a configurare una responsabilità in capo all’intermediario, se questi offre evidenza della sussistenza, a latere dell’adozione della tecnologia a microchip, di ulteriori indici idonei ad escludere l’eventualità dell’utilizzo fraudolento.
In ogni caso, non esistono indici di presunzioni assolute di negligenza dell’utente, ai fini della configurazione della quale deve svolgersi una valutazione complessiva tutte le circostanze del caso concreto.
Pagamenti non autorizzati, riparto dell’onere della prova: l’onere di allegazione in capo al cliente
Si è detto che a fronte di un onere probatorio così rigoroso in capo all’intermediario, sia la giurisprudenza che la dottrina hanno ritenuto necessario individuare dei “correttivi” volti ad agevolare la prova, da parte della banca, del dolo o della colpa grave della controparte.
In generale, parte della dottrina propone di considerare assolto l’onere probatorio da parte dell’intermediario che dimostri di aver adottato le misure di sicurezza più idonee, ritenendo altrimenti praticamente impossibile provare la condotta negligente dell’utente, e che l’operazione contestata sia effettivamente stata eseguita dal correntista; altri ritengono invece che l’utente non potrebbe limitarsi ad affermare di non aver autorizzato l’ordine di pagamento, ma dovrebbe anche provare, seppur tramite presunzioni, tale circostanza: ciò anche al fine di scongiurare disconoscimenti pretestuosi delle operazioni di pagamento o vere e proprie frodi ai danni degli intermediari.
Con specifico riferimento all’orientamento dell’ABF, alcuni Collegi hanno ritenuto che «l’adozione da parte dell’intermediario di valide ed efficaci misure di sicurezza di tutela degli interessi dell’utilizzatore (n.d.r. ossia l’utilizzo di un sistema di sicurezza “a due fattori”) […] vale sicuramente a elevare in modo significativo il livello delle allegazioni richieste al cliente, al fine di rendere adeguatamente verosimigliante il carattere fraudolento dell’operazione».
In quest’ottica, si ritiene tendenzialmente dirimente la circostanza che il correntista non sia in grado di ricostruire con precisione il quadro delle operazioni fraudolente e, quindi, di disconoscerle esplicitamente, come previsto dalla normativa.
Sicché, se la domanda viene ritenuta contraddittoria, o eccessivamente generica, unitamente alla verifica di sistemi di sicurezza di secondo livello, non sarebbe possibile affermare la responsabilità dell’intermediario per le operazioni disconosciute.
È stato quindi osservato che, a fronte della prova della corretta autenticazione dell’operazione contestata, la domanda del cliente non può risolversi «nel semplice, formale disconoscimento delle operazioni, senza alcuna concreta e ulteriore contestualizzazione fattuale», poiché ciò impedirebbe la successiva indagine sull’assolvimento dell’onere della prova della colpa grave da parte dell’intermediario.
Le mancate (o contraddittorie) allegazioni del cliente sulla frode, rappresentano un elemento da cui dedurre la sussistenza, con altre circostanze, della colpa grave del ricorrente, nel caso in cui l’intermediario abbia offerto la prova dell’autenticazione delle transazioni disconosciute, il sistema di pagamento risulti conforme alla Strong Customer Authentication e non risultino indici di anomalia delle operazioni.
In sintesi, un mero disconoscimento da parte del cliente non può valere, senza opportuna contestualizzazione fattuale, a radicare la speciale responsabilità dell’intermediario.
Tale indirizzo è stato ripreso anche dalla giurisprudenza di merito, essendo stato osservato che «la prova della colpa grave può ricavarsi anche dal contegno processuale della parte ricorrente, laddove dedotta la frode perpetrata a suo danno da parte di terzi, non abbia provveduto a fornire alcun elemento utile alla ricostruzione dell’accaduto».
“L’ignoto tecnologico” e l’intervento del Collegio di Coordinamento dell’ABF
Un ulteriore problema riguarda la distribuzione del rischio tra il prestatore e l’utente nelle ipotesi in cui, sebbene l’intermediario abbia adottato elevati sistemi di protezione, e nonostante non possa ravvisarsi alcuna colpa grave nella condotta dell’utente, si verifichi comunque una frode, a causa dell’intrusione di terzi non autorizzati nei sistemi informatici.
Si tratta, senza ombra di dubbio, della fattispecie più problematica non solo sul piano della ricostruzione del fatto – poiché non si riesce a comprendere come si sia verificata l’illegittima intrusione da parte di terzi – ma anche sul piano dell’inquadramento giuridico.
L’Arbitro Bancario Finanziario, sul punto, ha sostenuto che l’inserimento contestuale sia delle credenziali di accesso statiche che dinamiche deve ritenersi gioco forza determinato dalla loro negligente custodia da parte del cliente, sul quale grava quindi, in via esclusiva, la perdita.
Questo automatismo deduttivo è stato tuttavia fortemente criticato, in quanto l’impiego di un sistema di autenticazione con password e OTP, seppur di innegabile portata protettiva, non lascia inevitabilmente supporre che vi sia stata una condotta colpevole del custode ma, al più, potrebbe imporre all’interprete di valutare con maggiore rigore la condotta.
Tra le ragioni, vi è in primo luogo il fatto di ritenere tale linea interpretativa in contrasto con un articolo della normativa, per cui «l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utilizzatore medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi».
Inoltre, la contropartita per l’incremento di profitto (se non altro in termini di risparmio economico che consegue alla riduzione dell’attività di sportello), che l’intermediario trae dalla diffusione di tali mezzi di pagamento, sarebbe l’assunzione del rischio del compimento di operazioni truffaldine e delle conseguenti perdite economiche.
Inoltre, non si è mancato di evidenziare come l’orientamento citato sia incoerente con la tendenza unanime dell’ABF di limitare, invece, il ricorso alle presunzioni nelle ipotesi di utilizzo fraudolento di carte di pagamento ugualmente dotate di presidi di sicurezza.
In tali casi, infatti, non basta che l’intermediario dimostri l’esistenza del microchip per desumere il comportamento malaccorto del cliente e tacciarlo di aver imprudentemente conservato il codice di accesso assieme alla carta, ma occorrono altri elementi per giungere a tale conclusione tra cui, unanimemente, il ridotto lasso di tempo tra il furto e i prelievi illeciti.
L’intervento del Collegio di Coordinamento dell’ABF
Nel tentativo di dirimere le questioni è intervenuto il Collegio di Coordinamento dell’ABF che ha sostanzialmente superato l’idea di una colpa grave in re ipsa, imputabile all’utente per difettosa custodia in ragione del solo fatto che l’operazione contestata risulta regolarmente disposta mediante un sistema di autorizzazione a “due fattori”, mentre resta impregiudicata l’eventualità che le credenziali dell’utente «siano state apposte da un hacker o effettivamente dal cliente».
Aderendo alle argomentazioni, il Collegio di Coordinamento ha criticato l’indirizzo in passato prevalente tra i Collegi territoriali ritenendolo non in linea con il regime dell’onere della prova stabilito dall’art. 10, comma 2 del d.lgs. n. 11/2010, che tende a limitare, come si è visto, l’efficacia probante della regolare autenticazione delle operazioni.
Si esclude, in sostanza, che dalla prova della regolare autenticazione si possa desumere automaticamente la sussistenza della colpa grave.
Il che è del resto incoerente con la ratio di fondo della disciplina dei servizi di pagamento, che è quella di istituire un «regime di speciale protezione e di altrettanto speciale favor probatorio a beneficio degli utilizzatori».
Tra gli elementi che il prestatore è tenuto ad allegare per assolvere al proprio onere probatorio, ci sono:
- l’assenza di tentativi (errati) di digitazione del codice di accesso;
- la ricezione della password provvisoria sul cellulare o altro dispositivo dell’utente;
- l’accertata assenza di malware.
Il primo elemento probatorio non rappresenta sicuramente una novità mentre la dimostrazione dell’avvenuta ricezione (e non solo dell’invio) sul dispositivo dell’utente del codice OTP «in assenza di deviazioni ed intrusioni nel device» è destinata, invece, a diventare la “prova regina” per presumere la colpevolezza dell’utente.
Il terzo elemento non è di immediata intelligibilità, poiché non si comprende, da un lato, se «l’accertata assenza di malware» sia da riferirsi all’apparecchio elettronico utilizzato dall’utente o ai sistemi informatici dell’intermediario, né se l’onere di provare tale circostanza ricada sul PSP o sul cliente.
Se spettasse all’intermediario, si tratterebbe di una prova diabolica, non avendo possibilità di accedere al pc dell’utente e di verificarne lo standard di sicurezza. Di contro, come si potrebbe richiedere all’utente di dimostrare la presenza di un malware? Con una mera dichiarazione da rendere in denuncia oppure con una perizia tecnica (che comunque graverebbe l’utente di costi e non sarebbe garanzia di imparzialità)?
Peraltro, nonostante l’intervento del Collegio di Coordinamento, si rintracciano ancora pronunce arbitrali che, nel solco del filone tradizionale, continuano a ricorrere al ragionamento deduttivo per presumere la colpa grave del cliente sul quale unicamente grava il rischio da ignoto tecnologico.
Risulta in linea con il Collegio di Coordinamento, invece, la posizione prevalente della giurisprudenza di merito più recente: «Nell’ipotesi in cui all’esito del giudizio non emergano in maniera chiara le modalità fraudolente, la responsabilità ricadrà comunque sulla Banca. Ciò è conforme alla regola di ripartizione di responsabilità posta dall’art. 10 e alla ratio legis risultando equo oltreché economicamente efficiente, anche al fine di promuovere negli utenti la fiducia nell’utilizzo degli strumenti di pagamento elettronici, ricondurre nell’area del rischio professionale del PSP i casi di utilizzo fraudolento degli strumenti di pagamento non riconducibili al dolo o alla colpa del titolare, né a una grave carenza dei presidi di sicurezza predisposti dall’intermediario».
La banca è infatti, molto più che il singolo utente, in grado di valutare la dimensione del rischio, adottare i presidi di sicurezza più evoluti ed efficaci per contenerlo e tradurlo in un costo economicamente sostenibile (stipulando ad esempio contratti di assicurazione).
