Abuso dei mezzi di pagamento: questioni irrisolte

Con due recenti pronunce del Collegio territoriale di Napoli, l’Arbitro bancario finanziario ha definito con chiarezza i contorni della tutela dell’abuso dei mezzi di pagamento, salvo lasciare in ombra alcuni interrogativi sull’onere probatorio, che in alcuni casi pare essere assolto con il mero ricorso ad alcuni semplici indici presuntivi, in altri casi invece comporta un maggiore sforzo nella fase di raccolta e allegazione delle prove da parte dell’onerato.  

Simona Toscano
Simona-Toscano

1. Introduzione

Le riflessioni che seguono prendono spunto da due decisioni del Collegio Napoletano dell’Arbitro Bancario Finanziario (n. 9228/2017; n. 8946/2017) che affrontano la questione, particolarmente delicata, dell’uso non autorizzato di strumenti di pagamento, la cui disciplina è dettata dal d.lgs. 27 gennaio 2010, n. 11, attuativo della Direttiva 2007/64/CE riguardante, più in generale, i servizi di pagamento nel mercato interno europeo (c.d. Direttiva PSD).

Le due decisioni citate, nonostante il tempo oramai trascorso dalla loro emanazione, si presentano meritevoli di analisi in quanto è con esse che giunge a piena maturazione l’orientamento dell’organo arbitrale con riguardo all’utilizzo fraudolento di carte di credito e debito. D’altronde il contenuto delle decisioni che ci si appresta ad esaminare viene senza rilevanti scostamenti riproposto nelle pronunce successive *. Appare dunque proficuo, anche in vista di possibili futuri cambiamenti degli orientamenti arbitrali a seguito dell’operatività della Direttiva PSD2, fare il punto e delineare i contorni dello stato dell’arte.

Ciò posto, obiettivo di questa brevissima disamina sarà quello di evidenziare il modo in cui l’Arbitro bancario decide su casi concreti occasionati da furti, sottrazioni e, più in generale, dall’utilizzo indebito di strumenti di pagamento effettuati anche tramite l’accesso illegittimo al sistema informatico (es. accesso all’home banking), finalizzati ad effettuare sia pagamenti sia prelievo di denaro contante, esaminando i passaggi che svolge l’Arbitro per addivenire a decisioni differenti, che pure originano da casi simili.

La prima delle decisioni in esame origina da un episodio di furto di un portafoglio e susseguente utilizzo fraudolento di carta di credito tramite prelievo ATM; il ricorrente richiede il rimborso dell’importo prelevato senza autorizzazione.  

Nella seconda decisione, invece, il ricorrente lamenta la sottrazione non autorizzata dal proprio conto, per il tramite di un utilizzo fraudolento della propria carta prepagata, collegata a suddetto conto e rimasta, peraltro, in suo possesso. Avendo disconosciuto tempestivamente l’operazione e sporto querela presso l’autorità competente, si rivolge all’Arbitro chiedendo la restituzione del controvalore dell’importo sottratto.

2. Esame della normativa rilevante

Prima di procedere all’analisi di queste pronunce, è opportuno descrivere, sia pur brevemente, la normativa di riferimento nella parte in cui essa detta la disciplina relativa alle fattispecie oggetto delle decisioni.

Con riguardo alla suddivisione delle responsabilità per operazioni di pagamento non autorizzate, il d.lgs. 11/2010 richiede che si valuti, da un lato il comportamento del cliente rispetto agli obblighi di diligenza nella custodia dello strumento di pagamento e dei dispositivi ad esso collegati, dall’altro la condotta dell’intermediario, tenuto ad adempiere al proprio mandato con la diligenza professionale (e qualificata) dell’art. 1176, comma 2, c.c., attraverso la predisposizione di misure di sicurezza adeguate ai più evoluti standard tecnici. La legge mira, invero, sia a responsabilizzare l’utente dei servizi di pagamento, inducendolo al rispetto di canoni comportamentali idonei ad impedire eventuali abusi ad opera dei terzi, sia ad obbligare gli intermediari ad adottare i presidi di sicurezza più adeguati a prevenire possibili frodi.

Più precisamente, la normativa in esame disciplina, all’art. 12, la responsabilità del titolare dello strumento di pagamento in ipotesi di uso non autorizzato, conseguente a smarrimento, sottrazione o indebito utilizzo. Questa disposizione stabilisce, in particolare, che il titolare debba sopportare tutte le perdite derivanti da operazioni fraudolente poste in essere prima della comunicazione all’emittente dell’avvenuto furto o dello smarrimento, qualora egli abbia agito in modo fraudolento o non abbia adempiuto, con dolo o colpa grave, ad uno o più obblighi di cui all’art. 7, e cioè di utilizzare lo strumento di pagamento in conformità alle disposizioni contrattuali che ne regolano l’emissione e l’uso. 

È obbligo del titolare quello di: comunicare senza indugio al prestatore di servizi di pagamento, o al soggetto da questo indicato, lo smarrimento, il furto, l’appropriazione indebita o l’uso non autorizzato dello strumento; adottare le misure idonee a garantire la sicurezza dei dispositivi personalizzati che consentono l’utilizzo dello strumento.

Resta fermo, d’altra parte, l’obbligo dell’intermediario di dimostrare la correttezza delle operazioni di pagamento sotto il profilo tecnico e contabile, il dolo e la colpa grave del proprio cliente, nonché, più in generale, l’affidabilità del servizio erogato, gravando sul prestatore di servizi di pagamento, come sopra accennato, la responsabilità di eventuali ‘falle’ nella sicurezza dei prodotti e degli strumenti forniti alla clientela.

Volendo soffermarsi, in primo luogo, sull’analisi della disciplina dei rischi connessi alla utilizzazione degli strumenti di pagamento, va posto in luce come il legislatore preveda un regime di ripartizione, tra prestatore del servizio di pagamento e pagatore, segnata da uno spartiacque temporale, costituito dalla comunicazione al prestatore. Tale ripartizione va comunque esclusa laddove vi sia frode da parte del pagatore (artt. 11ss. del d.lgs. 27 gennaio 2010, n. 11).

Gli utilizzi di uno strumento di pagamento smarrito, sottratto, o utilizzato indebitamente, successivi al furto, allo smarrimento o all’appropriazione ricadono nella sfera economica dell’utilizzatore o del prestatore del servizio, a seconda che l’operazione di pagamento con addebito in contocorrente (prelievo, bonifico, pagamento elettronico), effettuata tramite lo strumento di pagamento sia, a sua volta, anteriore ovvero successiva alla comunicazione che il pagatore deve fare al prestatore non appena sia venuto a conoscenza della perdita della disponibilità dello strumento medesimo (art. 7 , co., lett. b) d.lgs.11/2010). 

Se, infatti, la comunicazione della perdita di disponibilità dello strumento di pagamento viene fatta prima che le operazioni non autorizzate siano eseguite, la perdita economica sul conto graverà integralmente in capo all’istituto bancario prestatore; se la comunicazione è successiva alle operazioni, la perdita sarà subita dall’utilizzatore stesso (normalmente il titolare della carta di credito rubata). 

In quest’ultimo caso è, tuttavia, prevista un’eccezione: se le operazioni non autorizzate si sono verificate anteriormente alla comunicazione al prestatore dell’avvenuto furto, smarrimento o appropriazione dello strumento di pagamento e la condotta del cliente rispetto allo strumento possa considerarsi solamente negligente (non sia cioè, né dolosa, né gravemente colposa), l’utilizzatore risponderà fino ad un massimale complessivo di euro 150. In tal caso si verifica, quindi, un concorso dell’utilizzatore con il prestatore che incide sull’ammontare del rimborso cui ha diritto l’utilizzatore. Nessuna franchigia è, invece, prevista per il prestatore per le operazioni successive alla comunicazione.

Questa ripartizione della responsabilità tra utilizzatore e prestatore soffre, come accennato in precedenza, di alcune eccezioni e limiti esterni. Nel caso di utilizzo non autorizzato anteriore alla comunicazione, ove l’utilizzatore abbia agito con dolo o colpa grave e non abbia garantito la sicurezza dei dispositivi di utilizzo dello strumento di pagamento (es. custodia dei codici pin), è chiamato a subire per intero il danno derivante dall’utilizzo abusivo, senza alcuna limitazione. Al contrario, per le utilizzazioni successive alla comunicazione è responsabile solo in caso di frode (art. 12, commi 1-4).

In ogni caso, la prova è a carico del prestatore del servizio di pagamento (art. 10 d.lgs.). Inoltre, la semplice contestazione dell’esecuzione di una operazione non autorizzata da parte dell’utilizzatore fa scattare immediatamente in capo al prestatore un obbligo di rimborso all’utilizzatore pari all’importo dell’operazione contestata, salvo il diritto di ottenere la restituzione in caso di prova dell’utilizzo autorizzato con dolo o colpa grave, ed in ogni caso ad esclusione di casi di motivato sospetto di frode (art. 11).

Quindi, in base a questo criterio di ripartizione predefinita del pregiudizio economico, determinato dall’utilizzo non autorizzato dello strumento di pagamento (anche se anteriore alla comunicazione di cui all’art. 7 del decreto 11/2010), è attribuito all’intermediario l’onere di sopportare il rischio di perdite per la parte eccedente l’importo di euro 150,00 sempre che non sia in grado di provare il dolo o la colpa grave del cliente.

La previsione della franchigia, in realtà, corrisponde ad una vera e propria forma di responsabilità oggettiva dell’utilizzatore dello strumento di pagamento, così come sostenuto da un Collegio di coordinamento nella decisione n. 6168/13, in particolare, con la precisazione secondo cui “al di là delle ipotesi in cui l’utilizzatore abbia agito in modo fraudolento o con grave negligenza, la responsabilità dello stesso è fondata secondo un rigido criterio oggettivo: l’art. 12, comma 3, infatti configura una responsabilità oggettiva e circoscritta nei limiti della franchigia, che espone in via ordinaria l’utilizzatore a sopportare il danno conseguente all’utilizzo fraudolento di uno strumento di pagamento smarrito o sottratto avvenuto prima della comunicazione all’intermediario, per un importo di euro 150. Di qui la necessità più che l’opportunità di attenersi ad un importo fisso eguale per tutti i concorrenti, importo che non può non coincidere con quello indicato dispositivamente ex lege”.

Sempre a tale ultimo proposito va dato anche conto di un altro orientamento, seguito dal Collegio Napoli **, secondo cui la perdita dei 150 euro che l’utilizzatore deve sopportare, si applica soltanto se prevista dal contratto relativo allo strumento di pagamento. In particolare il consesso napoletano con la decisione n. 1940/2017 ha affermato che “non può essere accolta la domanda dell’intermediario di ripartire il danno tra le parti in misura proporzionale alle rispettive responsabilità, non essendo stata provata alcuna responsabilità dell’utilizzatore, né di porre a carico di quest’ultimo la franchigia di euro 150, non ricorrendone le condizioni di legge, previste dall’art. 12, comma 4 del d. lgs. 11/2010 (consistenti nella condotta fraudolenta dell’utilizzatore ovvero nel doloso o colposo inadempimento agli obblighi di cui all’art. 7) né essendo essa oggetto di previsione contrattuale.

In senso opposto, il Collegio di Bologna fa riferimento alle previsioni contrattuali ma nel senso della possibilità di una pattuizione che escluda una forma di responsabilità oggettiva dell’utilizzatore: In particolare con la decisione n. 8124/2017 afferma che la richiesta di rimborso della franchigia non può essere accolta in quanto è opinione dei Collegi Abf che la franchigia rappresenti una forma di responsabilità oggettiva posta in capo all’utilizzatore, come previsto dall’art. 12 comma 3, del d. lgs . 11/2010, salvo che esista una diversa pattuizione contrattuale migliorativa per il cliente stesso.

Sul punto anche il Collegio di Bari, che con la decisione 9529/2017 afferma che “ancorché non sia presente agli atti il contratto di conto corrente da cui poter evincere la previsione della franchigia invocata da parte resistente, ma tenuto conto di quanto previsto nell’art 12 comma 3, del d. lgs. 11/2010 e inoltre del fatto che parte ricorrente non ha replicato sollevando eccezioni su quanto controdedotto dall’intermediario, il Collegio, richiamando un proprio orientamento secondo cui le dichiarazioni rese dall’intermediario hanno natura di ricognizione di debito e dunque di assunzione dell’obbligo di pagamento, ritiene che non siano ravvisabili impedimenti all’accoglimento della richiesta formulata da parte resistente.”

Anche gli altri Collegi, invece, applicano tout court la franchigia in virtù della disposizione del d. lgs. 11/2010, in particolare il Collegio Roma con la decisione n. 3727/2017 afferma che in considerazione della norma in discorso e alla luce delle risultanze istruttorie, la banca appare aver correttamente rimborsato al ricorrente l’importo oggetto dell’operazione disconosciuta, al netto  della franchigia ex art. 12, comma 3, d. lgs. 11/2010. 

Così anche il Collegio Torino, che con la decisione 726/2017 afferma che l’intermediario ha correttamente corrisposto l’importo detratto della franchigia, posto che la normativa in materia prevede che la franchigia di euro 150 resti a carico del cliente.

In conclusione non risulta ancora chiaro se la franchigia per essere applicata debba essere necessariamente prevista in contratto o se sia sufficiente la previsione normativa. È quindi auspicabile che l’Arbitro Bancario Finanziario intervenga con un Collegio di Coordinamento che faccia chiarezza sul punto.  

3. Le pronunce arbitrali del Collegio di Napoli nn. 9228/2017 e 8946/2017

Nelle decisioni in esame le operazioni di prelievo delle quali i ricorrenti chiedono il rimborso sono state effettuate, l’una a seguito di furto della carta, l’altra ad opera, presumibilmente, di pirati informatici in grado di entrare fraudolentemente nel sistema di home banking dell’utilizzatore e di ordinare un pagamento internazionale al prestatore. Le valutazioni effettuate dall’Arbitro bancario si basano su circostanze di fatto che prendono in considerazione tutti gli elementi da cui presumere la colpa grave del cliente (quali, ad esempio, l’orario in cui il furto è avvenuto, l’orario del prelievo abusivo) arrivando a ritenere, nel primo caso, che il ricorrente ha violato l’obbligo, previsto dalle condizioni di contratto, di mantenere segreto il PIN e di non custodirlo insieme alla carta; nel secondo caso, invece, che l’intermediario non ha fornito gli elementi gravi, precisi e concordanti tali da provare la negligenza dell’utilizzatore.

Nella decisione n. 9228/2017 l’Arbitro ritiene assolto l’onere della prova considerando sufficientemente provata la colpa grave dell’utilizzatore, sulla base di indici presuntivi che i Collegi di Coordinamento hanno di volta in volta individuato.

Così ad esempio, la colpa grave viene ricavata dalla violazione di specifici obblighi contrattuali, fermo restando il rispetto delle regole sul riparto probatorio. Essendo pacifico, sulla base del dettato legislativo, che l’onere di provare lo stato soggettivo dell’utilizzatore incombente sul prestatore, possa essere assolto anche tramite presunzioni.

Ed è quindi dalla idoneità riconosciuta a determinati comportamenti dell’utente alla formazione della presunzione di aver violato specifici obblighi che si fa dipendere la qualificazione giuridica della condotta. 

Proprio con riferimento a quest’ultimo punto, la decisione n. 8946/2017 ritiene non sufficientemente assolto l’onere probatorio cui è tenuto il prestatore, che si è limitato ad allegare la disposizione di bonifico, sostenendo di aver fornito al cliente presidi di elevata capacità di protezione.

Orbene, se nella prima decisione in commento (n. 9228/2017), l’Arbitro ritiene sussista la colpa grave in capo all’utilizzatore, presumendo che il codice pin sia stato conservato unitamente alla carta, considerato lo stretto arco temporale tra il furto e il prelievo, non può non rilevarsi che le raffinatissime tecnologie ad oggi esistenti, potrebbero consentire di individuare il codice pin della carta agli hacker più esperti.

In realtà la riflessione che emerge dalle due pronunce può, anche alla luce degli orientamenti dal Collegio di Coordinamento, così sintetizzarsi.

Partendo dagli obblighi cui è tenuto il soggetto legittimato all’utilizzo di strumenti di pagamento (mettere in sicurezza, sin dal ricevimento e per tutto il periodo di detenzione dello strumento, i dispositivi e i codici che consentono di utilizzarlo; utilizzare lo strumento secondo quanto previsto dal contratto quadro; comunicare senza indugio al numero verde il venir meno della detenzione, ovvero l’uso non autorizzato dello strumento, evidentemente al fine di consentire il blocco dello strumento), i confini della colpa grave possono essere sintetizzati secondo la seguente classificazione.

Modalità di custodia della carta e relativo codice di identificazione art.  7, comma 1, lett. a) e comma 2, del d.lgs. 11/2010 ed eventuali clausole contrattuali.

La conservazione dello strumento di pagamento unitamente al pin non è ritenuta integrare colpa grave dell’utilizzatore, solo se il codice segreto è trascritto in forma criptata o dissimulata (ad es. memorizzato nella rubrica del cellulare sotto forma di numero telefonico).  Tuttavia, in presenza della mancata custodia della borsa o comunque del bene in cui è conservato lo strumento di pagamento, cui può anche aggiungersi il ritardo nella denuncia del fatto rilevante ex art. 7 comma 1, lett. b, oppure ancora in caso di conservazione congiunta di carta e codice di identificazione, si sarebbe di fronte ad un indice di indubbia inescusabile superficialità ed inescusabile trascuratezza.

A quest’ultimo riguardo, il Collegio di Coordinamento ha circoscritto, in modo peculiare, la fattispecie. Chiarendo, secondo l’insegnamento tradizionale, che le condotte gravemente negligenti sono solo quei comportamenti, commissivi o omissivi, che appaiano del tutto sproporzionati ed ingiustificabili alla luce del contegno che può essere normalmente richiesto agli utilizzatori, ha ritenuto che lasciare nascosto in un luogo non visibile, come ad esempio il bagagliaio di un auto, per alcune ore fuori dalla sfera di controllo dell’utilizzatore (condotta questa che di per sé è considerato essere comportamento negligente) il borsello nel quale era contenuto lo strumento di pagamento, non esclude la responsabilità del prestatore, a meno che quest’ultimo dimostri che il terzo utilizzatore sia risalito al codice PIN a causa della conservazione di una sua trascrizione (che non sia stata occultata con cautela) congiuntamente alla carta. 

Su tali aspetti, l’onere probatorio a carico del prestatore, ricollegabile a elementi di prova a carattere indiziario, ha ad oggetto di regola la sequenza temporale delle operazioni in relazione alle caratteristiche dello strumento di pagamento.

Tempistica delle operazioni non autorizzate. 

È orientamento ormai consolidato, nelle decisioni ABF, che l’utilizzo dello strumento di pagamento da parte del terzo in tempi ravvicinati rispetto al furto non possa provare, esso solo, in via presuntiva la conservazione del PIN unitamente alla carta (ai fini della colpa grave da parte dell’utilizzatore), e quindi la colpa grave dell’utilizzatore nella messa in sicurezza dello strumento.

Carte dotate di microchip.

In questa ipotesi, le tesi difensive degli istituti bancari o emittenti strumenti di pagamento si sono concentrate sulle caratteristiche delle carte, al fine di dimostrare l’impossibilità di una loro duplicazione (nelle ipotesi in cui è avanzata dai ricorrenti la clonazione) come pure di estrazione dalle medesime, in breve tempo, del relativo codice PIN. Anche in questo caso, l’elemento è funzionale alla dimostrazione della colpa dell’utilizzatore oltre alla diligenza del proprio operato (art. 8, comma, lett. a) d.lgs. 11/2010).

La questione sul punto è stata più volte dibattuta ed è dovuto intervenire più volte il Collegio di Coordinamento ***, affermando che: 1) il mero fatto che la carta con la quale viene effettuata l’operazione non autorizzata sia dotata di microchip (ovvero della tecnologia che garantisce il maggior standard di sicurezza) non esime il prestatore da responsabilità; e pertanto, in punto di prova; 2) non è sufficiente da parte di quest’ultimo la mera allegazione e descrizione della carta; 3) nonostante il contrasto di orientamenti tra i collegi, si ritiene che sia onere del prestatore dimostrare, ad esempio, l’utilizzo del microchip nelle operazioni contestate, e che lo stesso non sia effettivamente clonabile o, in ogni caso, è necessario che, per affermare la responsabilità dell’utilizzatore, emergano, accanto all’adozione dei più avanzati dispositivi di sicurezza messi a disposizione dell’evoluzione tecnologica, ulteriori circostanze di fatto tali da escludere con sufficiente persuasività una possibile clonazione dello strumento di pagamento e da attestare una non diligente custodia dello stesso.

Infine, tra i principali profili della responsabilità nelle operazioni di pagamento non autorizzate, non è affatto esclusa la necessità di verificare la condotta diligente dei prestatori, posto che la violazione degli obblighi previsti dalla legge può determinarne la responsabilità esclusiva, anche in presenza di colpa grave dell’utilizzatore (art. 12, comma 2, che richiama art. 8, comma 1, lett. C) d. lgs. 11/2010), ovvero un giudizio di responsabilità in termini di concorso colposo nella causazione dell’evento, nei casi in cui non ricorra una delle fattispecie tipiche di sopportazione delle perdite in capo al prestatore.

4. Questioni aperte

All’esito di questa breve ricostruzione è forse utile ben mettere in evidenza alcune non marginali problematiche, con le quali, stando a quanto è emerso dall’analisi delle decisioni esaminate, l’arbitro bancario non sembrerebbe essersi cimentato.

Meritevole di ulteriore approfondimento, e forse anche di ripensamento, è l’utilizzo di indici presuntivi al fine di provare la colpa grave dell’utilizzatore dello strumento di pagamento, che, a dir così, alleggerendo l’onere probatorio gravante in capo al prestatore del servizio, appare in distonia rispetto quanto meno alla ratio, ma forse anche alla lettera, dalla normativa speciale che regola le fattispecie indagate. Ed infatti, la normazione in parola appare chiaramente volta ad imputare in misura maggiore al prestatore il rischio connesso allo svolgimento di attività fraudolente in danno dell’utilizzatore, e ciò al fine precipuo di promuovere la fiducia degli utenti nell’utilizzo dei mezzi di pagamento elettronici, politica questa ritenuta strategica per lo sviluppo dell’economia nonché per il controllo del flusso dei pagamenti.

Non va, infatti, sottaciuto che, com’è sin troppo agevole ipotizzare, l’aumento in termini di costo a carico dell’intermediario, quale conseguenza dell’aumento del rischio che su esso viene così a gravare, verrà comunque, almeno in larga misura, fatto gravare, attraverso il calcolo attuariale e l’inclusione della percentuale così definita nel prezzo dei servizi bancari e finanziari, sulla totalità della clientela bancaria.

Ove riguardato alla luce delle osservazioni appena rassegnate, l’orientamento assunto nelle decisioni esaminate, volto ad utilizzare lo ‘strumento presuntivo’ al fine di verificare la sussistenza in capo all’utilizzatore della colpa grave, finisce per sottoporre ad un costo eccessivo per gli utilizzatori il ricorso agli strumenti di pagamento elettronici.

Dunque, particolarmente apprezzabile, in quanto conforme alla ratio ma anche alla lettera del D.Lgs. n. 11/2010, appare la decisione n. 8946/2017, che non considera sufficiente, ai fini della prova della colpa grave dell’utilizzatore, la mera dimostrazione da parte dell’intermediario finanziario di avere predisposto i più «evoluti e raffinati strumenti informatici», in grado di garantire il cliente da eventuali abusi.

In tale fattispecie, sembra evidente che l’organo decidente, non accontentandosi della allegazione di indici generici – che tra l’altro neppure presentavano i caratteri di precisione e concordanza richiesti dall’art. 2729 c.c. – da cui desumere la grave negligenza dell’utilizzatore, bensì richiedendo un maggiore sforzo probatorio che giustifichi l’imputabilità della colpa grave in capo al cliente, finisce con il ridurre l’originario squilibrio del rapporto con il prestatore dei servizi elettronici di pagamento.

*Si vedano Coll. ABF Napoli n. 1846 del 22 gennaio 2019; n. 25152 del 28 novembre 2018;n. 25141 del 28 novembre 2018; n. 10188 del 10 maggio 2018; n. 9979 del 9 maggio 2018; n. 9977 del 9 maggio 2018; n. 9477 del 3 maggio 2018; n. 7271 del 5 aprile 2018.

**  Cfr. Collegio Napoli n. 1940/2017, n. 7663/2016, n. 8219/2016, n. 5769/2016.

***  Nel 2013, con le decisioni 6170 del 29 novembre e 17 ottobre 2013, n. 5304 e 29 novembre 2013, n. 6168. Nel 2014: 14 febbraio 2014, n. 897; 21 febbraio 2014, n. 991; 24 giugno 2014, n. 3947.