1. Furto, sottrazione, appropriazione indebita.

La questione di più importante rilievo consiste, in sede di disciplina degli strumenti di pagamento ex d. lgs. n. 11/2010 di attuazione della direttiva 64/2007, nella definizione di criteri idonei a prefigurare la colpa grave del cliente (o “utilizzatore”) nei casi di operazioni non autorizzate, indebiti utilizzi dello strumento di pagamento, frodi anche informatiche, sottrazioni, smarrimenti, furti di carte di credito et similia con conseguente accertamento del diritto alla restituzione o no dell’importo indebitamente sottratto.

Poiché il relativo onere probatorio ricade in capo all’intermediario (v., in particolare, art. 10, u.c., d. lgs. n. 11/2010, cit.), essa si traduce nell’individuazione di presidi di sicurezza tecnologici predisposti da questi, idonei a evitare fenomeni della specie, da un lato; nella rilevanza di specifiche ipotesi circostanziali di colpa inescusabile a carico del cliente, dall’altro. 

Muovendo da quest’ultimo profilo, è appena il caso di ricordare che la colpa grave [sovente assimilata alla fattispecie del dolo eventuale la cui sussistenza deve essere provata in concreto (ad es., Cass. n. 11362/2010)] non è certo equiparabile alla mera negligenza. Infatti, “non ogni contegno imprudente può far ritenere integrato questo grado di colpa, ma solo quello che appaia abnorme e inescusabile” (Coll. Coord., n. 5304/2013).

Nell’ambito della casistica maggiormente ricorrente, esclusa l’estensione dell’onere della prova alla puntuale acquisizione delle circostanze di fatto dimostrative della condotta gravemente colposa del cliente in ordine all’obbligo di custodia del Pin in luogo diverso rispetto alla carta di credito (incompatibile con la sola istruttoria documentale di parte che caratterizza il procedimento ABF), la soluzione è consistita nella applicazione della presunzione qualificata relativa alla violazione di siffatto obbligo nel caso di negligente custodia dello strumento di pagamento (con conseguente suo indebito utilizzo).

Soccorrono, al riguardo, elementi circostanziali relativi a tempi e luoghi dell’utilizzo ravvicinati rispetto alla sottrazione, dove la successione temporale degli eventi può far desumere con un elevato grado di probabilità che il Pin fosse stato conservato unitamente alla carta e a essa immediatamente associabile.

Premesso che lo stesso giudice di legittimità ritiene ammissibile la prova indiziaria della colpa grave (v. Cass., 18 gennaio 2010, n. 654), la “giurisprudenza” ABF precisa che il rapporto tra il fatto noto (consistente nel furto della carta e nel suo immediato impiego con successo nel compimento dell’utilizzo fraudolento) e quello ignoto (consistente nella conservazione del Pin unitamente alla carta) non costituisce una presumpio de presunto (e cioè una inammissibile doppia presunzione di conservazione congiunta, da un lato; della sussistenza della colpa grave, dall’altro) quanto piuttosto una presunzione unica della colpa grave riveniente da un comportamento dell’utilizzatore in contrasto con obblighi specifici (di separata custodia) derivanti dalla legge e dal contratto.

È peraltro appena il caso di soggiungere che la colpa grave non può ritenersi provata sulla scorta dei soli utilizzi fraudolenti in tempi ravvicinati rispetto al furto, dovendo ricorrere ulteriori elementi di fatto gravi, precisi e concordanti che denotino l’elevato grado di probabilità che detti utilizzi fraudolenti siano ascrivibili alla condotta gravemente colposa dell’utilizzatore, il quale col proprio comportamento abbia eziologicamente contribuito al verificarsi dell’evento. Circostanza questa manifestamente esclusa laddove, ad esempio, il Pin venga carpito durante il legittimo utilizzo della carta di pagamento da parte del titolare (si pensi all’impiego della carta all’interno di un esercizio commerciale particolarmente affollato o anche presso Atm collocati in prossimità, tali da consentire l’indebita acquisizione visiva del Pin da parte di terzi), ovvero in fattispecie di furto avvenuto in luogo privato (abitazione, proprietà terriera etc.). 

Negli indicati termini, l’ABF ha fatto puntuale applicazione del principio di precauzione (o di autoresponsabilità) dell’utilizzatore (correttamente inteso quale assunzione delle conseguenze dei propri atti o comportamenti verso i terzi ma anche verso sé stessi) ai fini indicati, per fare in modo che l’onere probatorio a carico del prestatore di servizi di pagamento non si traduca in una probatio “diabolica” e, per questa via, in una inammissibile responsabilità oggettiva.

La bontà di tale percorso interpretativo sembra validata da un arresto della Suprema Corte che ha confermato il grave inadempimento dell’utilizzatore agli obblighi contrattuali per non avere diligentemente custodito lo strumento di pagamento e verificato il perdurante possesso del medesimo (Cass., 7 aprile 2016, n. 6751).  

Sotto il diverso, complementare versante dei presidi di sicurezza la cui predisposizione grava sull’intermediario, è noto che fin dall’attuazione della richiamata prima direttiva comunitaria vengono richiesti requisiti di sicurezza dinamici a due fattori. La successiva, la recente direttiva n. 2015/2366 (c.d. direttiva PSD2), recepita in Italia con il d. lgs. n. 218/2017 espressamente contempla l’obbligo di “autenticazione forte” del  cliente, definita come “autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente) che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione” (art. 1, lett. q – bis, d. lgs. cit.).

L’assenza o l’inadeguatezza di tali variabili tecnologiche interrompe il nesso di causalità relativo alla colpa grave del cliente e, di conseguenza, conduce all’imputazione della responsabilità dell’evento all’intermediario. Del pari, fra i doveri di protezione dell’utente gravanti sull’intermediario, rientra l’onere di fornire il servizio di sms alert o assimilabili, da cui l’intermediario può essere esonerato solo dimostrando l’esplicito rifiuto dell’utente ad avvalersene. Ciò, come precisa il Collegio di coordinamento (decisione n. 8553/2019), sulla scorta del dovere in capo al prestatore dei servizi di pagamento di “assicurare che siano sempre disponibili strumenti adeguati affinché l’utente dei servizi di pagamento possa eseguire la comunicazione” dello smarrimento, furto, appropriazione indebita prevista dall’art. 7 d. lgs. n. 11/2010 (v. art. 8, co. 1, lett c). In mancanza, sarà posta a carico dell’utente la sola prima operazione fraudolenta (o le prime, se compiute a distanza di pochi minuti l’una dall’altra), stante l’evidente impossibilità del sistema di sms alert di poterne escludere la realizzazione.

Ancora, seppure in guisa di concorso di colpa, è imputabile all’intermediario non aver tenuto conto di significative anomalie nell’utilizzo dello strumento di pagamento sia in termini di operatività difformi da quella consueta sia soprattutto laddove siano stati pretermessi gli indicatori del rischio di frode contemplati dal d. m. n. 112/2007, di attuazione della l. 17 agosto 2005, n. 166 in tema di prevenzione delle frodi sulle carte di pagamento. In quest’ultimo caso, in particolare, rileva la fattispecie delle sette o più richieste di autorizzazione nelle 24 ore per una stessa carta di pagamento (art. 8 d. m. cit.), determinando la sussistenza di tale indice di rischio di frode il rimborso delle operazioni fraudolente a partire dalla settima (Collegio di coordinamento, n. 24366/2019).  

2. Principali frodi relative a operazioni di home banking.

i) Navigando in internet, l’utilizzatore di servizi di pagamento può incappare in siti malevoli che nascondono nelle pagine web applicazioni fraudolente le quali, una volta caricate, si istallano nel browser e sono in grado di riconoscere l’accesso a siti di internet banking, intercettando dati e credenziali. Con riferimento a tali fattispecie fraudolente, il Collegio di coordinamento (decisione n. 3498/2012) precisa che mentre nel caso di phishing classico il cliente è vittima di colpevole credulità, in questi (c.d. man in the browser) “il subdolo meccanismo di aggressione ha luogo attraverso un sofisticato metodo d’intrusione caratterizzato da effetto sorpresa capace di spiazzare l’utilizzatore, grazie alla perfetta inserzione nell’ambiente informatico originale e nella perfetta simulazione di un messaggio che a chiunque non potrebbe apparire che genuino, posto che l’unica differenza consta nell’acronimo del protocollo di trasferimento, individuato come un normale “http” e non già come un “https” protetto. Simile variazione, che compare solo nella stringa di intestazione della video schermata, mischiata ad almeno cinquanta o sessanta ulteriori caratteri, barre e altri segni di punteggiatura informatica, sfugge normalmente all’attenzione di chiunque si accosti a una pagina della rete”. Da ciò la esclusione del giudizio di colpa grave del cliente il quale tuttavia, a fronte di circostanze di fatto sintomatiche di condotte negligenti o imprudenti, ben può rispondere a titolo di concorso di colpa ex art. 1227 cod. civ.

ii) Altra ricorrente frode informatica (c.d. sim swap fraud) consiste nell’acquisizione dei dati dell’utente e delle credenziali di home banking tramite tecniche di hacking; successivamente, anche attraverso l’impiego di documenti identificativi falsificati, i truffatori sostituiscono la sim card della vittima richiedendo all’operatore telefonico una nuova sim e, tramite il rinnovato numero telefonico, ottengono l’accesso a operare on line sul conto della vittima. In tale circostanza, avendo presente che, a seguito della direttiva c.d. PSD2 l’affidamento parziale a soggetti terzi (le compagnie telefoniche) della procedura di autenticazione delle operazioni di pagamento (attraverso invio dell’OTP con sms su cellulare) determina il passaggio da un rapporto di coppia a un menage a trois, l’intermediario – in ragione del rischio d’impresa – si trova a rispondere dell’occorso, in ragione dell’assenza di profili di colpa grave dell’utente.

iii) Da ultimo, viene in considerazione la contraffazione di siti web bancari con invio al cliente di email o sms contenenti un link del sito contraffatto con le quali viene chiesto di fornire informazioni personali o dati sensibili. In proposito, il Collegio di coordinamento precisa che “appare significativa la segnalazione degli stessi organismi gestori dei servizi di pagamento di possibili intrusioni truffaldine tramite messaggi sms spoofed, attraverso i quali…il messaggio truffaldino viene visualizzato negli smartphone insieme a precedenti messaggi legittimi….aumentando la probabilità che il messaggio stesso venga considerato genuino” (decisione n. 22745/2019). Ferme rimanendo le riferite valutazioni sull’eventuale concorso di colpa, ciò ha evidenti riflessi sulla esclusione della colpa grave del cliente.  

* Relazione al “Salone dei pagamenti 2020”, Convegno webinar ABI, 6 novembre 2020