Illecita sottrazione di fondi dal conto corrente tramite operazioni online non autorizzate: responsabilità tra la Banca e l’utente.

Il Tribunale di Lanciano si pronuncia in merito ad una illecita sottrazione di fondi dal conto corrente di due soggetti, tramite operazioni online non autorizzate, eseguite con una carta di credito e una carta prepagata.

Innanzitutto, le obbligazioni del prestatore di servizi di pagamento si conformano a un modello di diligenza qualificata professionale o perizia, nel caso di specie la perizia dell’“accorto banchiere”; le obbligazioni dell’utente si conformano a un modello di diligenza media, come diligenza del buon padre di famiglia (art. 1176, c. 1, c.c.).

Ante omnia, è necessario premettere che l’utente, non appena abbia ricevuto uno strumento di pagamento, adotta tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate, ai sensi dell’art. 7 del d.lgs. 11/2010, nel testo risultante dalle modifiche del 2017.

Mentre, il prestatore dei servizi di pagamento che emette uno strumento di pagamento ha l’obbligo di assicurare che le credenziali di sicurezza personalizzate non siano accessibili a soggetti diversi dall’utente abilitato a usare lo strumento di pagamento (art. 8).

Ebbene, a tal proposito, l’art. 12 del d. lgs. n. 11/2010 regola il regime della responsabilità a fronte dell’utilizzo non autorizzato di strumenti e servizi di pagamento. La disposizione, con un evidente favor nei confronti dell’utilizzatore, opera uno spostamento della responsabilità in capo al prestatore dei servizi di pagamento in caso di utilizzo fraudolento, estendendola a tutte le ipotesi di violazione degli obblighi di custodia e sicurezza non qualificate da frode, dolo o colpa grave.

Deve, inoltre, richiamarsi l’art. 10 bis, comma 1, del d. lgs. n. 11/2010, il quale, recependo l’art. 98 della direttiva UE 2015/2399, sancisce l’obbligo per i prestatori di servizi di pagamento di applicare ‘l’autenticazione forte del cliente’ nei casi in cui questi acceda al proprio conto di pagamento on line, effettui un’operazione o qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi.

In virtù di quanto sopra, la prova della corretta autenticazione a doppio fattore da parte della banca, non è di per sé sufficiente per attribuire le conseguenze patrimoniali della frode al titolare dello strumento di pagamento, dovendosi valutare la sussistenza o meno della colpa grave del titolare dello strumento(ABF Bologna, 4868/2024); al contrario, la mancata prova, da parte dell’intermediario, dell’autenticazione forte è risolutiva e dirimente rispetto alla valutazione di eventuali profili di colpa ascrivibili all’utente, sicché l’operazione di pagamento disconosciuta dovrà essere rimborsata per intero dall’intermediario bancario (ABF Milano, 9152/2024).

Nel caso in questione, si ritiene che sussistano profili di colpa grave del cliente – consistente nell’avere dato seguito alle istruzioni del frodatore, nonostante la capillare campagna informativa posta in essere dall’intermediario – e che essi siano tali da contribuire alla causazione dell’evento dannoso; tuttavia, si ritiene altresì che la loro efficienza causale non sia esclusiva.

Il Tribunale bilancia la responsabilità tra utente e Banca, riconoscendo le carenze tecniche nei sistemi di sicurezza dell’intermediario e l’incauta condotta dell’utente, ritenendo che non sia sufficiente all’intermediario la prova della “corretta autenticazione a doppio fattore”; e peraltro predicabile di colpa grave il comportamento dell’utente (per “avere dato seguito alle istruzioni del frodatore nonostante la capillare campagna informativa” ormai generalizzata).

Ebbene, il Tribunale determina nella misura della metà l’incidenza del concorso (gravemente) colposo dell’utente; anche sulla considerazione che se non vi fosse stato l’allegato spegnimento del cellulare conseguito allo smishing-spoofing si sarebbe verosimilmente potuto avvedersi prima dell’uso non autorizzato in corso e quindi comunicarlo prima all’intermediario.

Pertanto, il prestatore dei servizi dovrà provvedere a riportare il conto nello stato in cui si sarebbe trovato se l’operazione di pagamento non avesse avuto luogo, assicurando che la data valuta dell’accredito non sia successiva a quella dell’addebito dell’importo (per la misura della metà dell’importo delle operazioni non autorizzate).

Pertanto, alla luce delle argomentazioni riportate, il Tribunale di Lanciano condanna la Banca a riaccreditare sul conto dei soggetti la metà dell’importo sottratto, con condanna alle spese.