Indice dei Contenuti
- 1 Il Tribunale di Pesaro, con la sentenza 7 settembre 2021, ha condannato la banca alla restituzione di un bonifico non autorizzato
- 1.1 IL CASO
- 1.2 LA RICOGNIZIONE DELLE NORME DA PARTE DEL TRIBUNALE DI PESARO
- 1.2.1 Uso di OTP non è prova assoluta di autorizzazione da parte del correntista
- 1.2.2 La diligenza professionale “qualificata” della banca nei pagamenti con strumenti elettronici
- 1.2.3 Rischio di impresa dell’esercente attività bancaria
- 1.2.4 Limite del rischio per dolo o condotta gravemente incauta del correntista
- 1.3 LA DECISIONE DEL TRIBUNALE DI PESARO
Il Tribunale di Pesaro, con la sentenza 7 settembre 2021, ha condannato la banca alla restituzione di un bonifico non autorizzato
IL CASO
La tesi del correntista
L’intestataria di un conto corrente bancario, che consentiva l’effettuazione di disposizioni di pagamento on-line, contestava alla propria banca di avere dato esecuzione a una richiesta di bonifico di una rilevante somma – dalla stessa non autorizzato e con addebito sul suo conto – in favore di un soggetto sconosciuto.
L’operazione veniva eseguita senza che venisse attivato alcun sistema di alert.
Il correntista si rivolgeva pertanto al Tribunale di Pesaro per vedere accertata la responsabilità contrattuale della banca e per sentirla condannare al pagamento in proprio favore della somma addebitata sul suo conto a titolo di risarcimento del danno derivante da un’operazione di bonifico eseguita in assenza di una sua legittima disposizione di pagamento.
La difesa della Banca
La banca si costituiva in giudizio e, contestando la domanda di condanna della correntista, ne chiedeva il rigetto.
Secondo l’istituto di credito l’operazione era stata eseguita, attraverso il portale di home banking, dall’indirizzo IP della stessa correntista e con l’uso del suo dispositivo personale OTP (One-Time Password o “password usa e getta”) ovvero utilizzando il sistema di credenziali personali rilasciate alla stessa.
Imputabilità della operazione al titolare delle credenziali personali rilasciate
L’esecuzione dell’operazione, quindi, era imputabile non a una responsabilità dell’istituto di credito bensì a un difetto di custodia o allo smarrimento del dispositivo OTP da parte della correntista oppure ad un’azione di sottrazione da parte di terzi, con mezzi fraudolenti, delle credenziali di accesso al sistema, attività anche nota come phishing.
Cos’è il phishing
ll phishing è una particolare tecnica truffaldina che si attua con l’invio di una e-mail – o di un’altra comunicazione fraudolenta come SMS o messaggio WhatsApp – che ha tutta l’apparenza di provenire da un mittente affidabile e che ha lo scopo di persuadere il destinatario, facendo affidamento sulla identità contraffatta del mittente, a fornire a un terzo informazioni riservate, quali ad esempio delle credenziali di accesso a un servizio di pagamento.
Queste informazioni vengono poi utilizzate per appropriarsi dell’identità di chi dace dell’inganno.
Mancata attivazione del Sistema di alert con SMS su cellulare
La banca sosteneva inoltre che la correntista, in maniera “imprudente”, non aveva attivato il servizio di “sms alert” pure previsto dal contratto, ovvero un sistema che avrebbe consentito la tempestiva segnalazione, tramite messaggistica telefonica, della richiesta di effettuazione di disposizioni sul conto corrente associato all’utenza telefonica del correntista stesso.
A fronte della difesa della banca, che imputava alla controparte un difetto di diligenza nella custodia del codice di accesso al sistema o un errore nell’esecuzione dell’operazione, il Tribunale procedeva in primo luogo a richiamare le norme che regolano la materia.
LA RICOGNIZIONE DELLE NORME DA PARTE DEL TRIBUNALE DI PESARO
Il Tribunale di Pesaro ha in primo luogo precisato che nel caso sottoposto al suo giudizio doveva applicarsi, in considerazione della data di esecuzione del bonifico, la normativa di attuazione della direttiva comunitaria 2007/64/CE – la cd. prima Direttiva europea sui servizi di pagamento – nel testo vigente prima delle modifiche apportate dal D.lgs. 15 dicembre 2017, n. 218.
In particolare trovava applicazione la norma secondo la quale nei casi nei quali un correntista – quale utilizzatore di un servizio di pagamento – neghi di aver autorizzato un’operazione di pagamento già eseguita dalla banca – che è il prestatore di servizi di pagamento – è onere di quest’ultima provare, da una parte, che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e, quindi, in definitiva, dimostrare il corretto funzionamento del sistema di pagamento.
Uso di OTP non è prova assoluta di autorizzazione da parte del correntista
La medesima norma prevede che l’utilizzo di uno strumento di pagamento fornito dal prestatore di servizi di pagamento – ad esempio l’uso di un home-banking con le credenziali assegnate al correntista – non è però necessariamente sufficiente, di per sé sola, a dimostrare che l’operazione sia stata effettivamente autorizzata dal correntista medesimo.
La diligenza professionale “qualificata” della banca nei pagamenti con strumenti elettronici
Con riguardo all’utilizzazione di servizi e/o strumenti di pagamento con l’ausilio di mezzi meccanici o elettronici, la giurisprudenza ha precisato che la banca, nell’adempiere correttamente un contratto in essere con un correntista, è tenuta al rispetto di una diligenza “qualificata” dovuta alla sua particolare natura di soggetto professionista del settore e tenuto conto dei “rischi tipici della sfera professionale di riferimento (Cass. 2007 n. 13777; v. anche Cass. 2016 n. 806).
Questa particolare diligenza – definite dalla giurisprudenza quella del cosiddetto “accorto banchiere” – si traduce nell’obbligo, per la banca prestatrice dei servizi di pagamento, di adottare misure idonee a garantire la sicurezza del servizio, ivi comprese quelle misure necessarie ad accertare la effettiva autorizzazione del cliente al compimento di una operazione.
Rischio di impresa dell’esercente attività bancaria
La possibilità della sottrazione dei codici del correntista, ancora di più attraverso tecniche fraudolente, rientra nell’area del rischio di impresa proprio dell’esercente l’attività bancaria.
E’ quindi onere e dovere della banca – come precisato dalla sentenza n. 2950/2017 della Cassazione -fronteggiare il suddetto rischio attraverso l’adozione di misure che consentano di verificare – prima di dare corso all’operazione apparentemente richiesta dal proprio cliente correntista – se essa sia effettivamente attribuibile a quest’ultimo.
Questo dovere di particolare e rafforzata di diligenza richiesta alla banca si rende necessaria, rammenta il Tribunale marchigiano, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema dei pagamenti, che rappresenta del resto un interesse degli stessi operatori.
Limite del rischio per dolo o condotta gravemente incauta del correntista
Pertanto, secondo il Tribunale di Pesaro, appare del tutto ragionevole ricondurre la possibilità di una utilizzazione dei codici “personali” assegnati al correntista da parte di terzi non autorizzati nell’area del rischio professionale del prestatore di servizi di pagamento
Tale rischio imprenditoriale trova un limite solo nei casi in cui la utilizzazione “fraudolenta” da parte di terzi dei codici personali assegnati al correntista sia attribuibile un comportamento doloso del titolare degli stessi o a suoi comportamenti talmente incauti da non poter essere fronteggiati con nessun mezzo.
LA DECISIONE DEL TRIBUNALE DI PESARO
Nel caso concreto sottoposto al suo esame il Tribunale di Pesaro rileva che, a fronte dell’incontestato difetto di autorizzazione da parte della correntista riguardo all’operazione di bonifico comunque effettuato, la banca non aveva fornito alcuna prova, nemmeno indiziaria, su un comportamento particolarmente incauto della titolare del conto nel avere consentito la sottrazione dei codici, omettendo di adottare le misure idonee a garantire la sicurezza dei dispositivi per l’uso del mezzo di pagamento.
E – per espresso disposto dell’art 10 comma 2 d.lgs. n. 11/2010 – la prova dell’utilizzo di un dispositivo personale OTP non costituisce prova sufficiente a dimostrare che l’operazione sia stata autorizzata dalla titolare del medesimo e né, tantomeno, che quest’ultima abbia agito in modo incauto.
Sistema di alert è solo forma di controllo aggiuntivo
Secondo il Tribunale di Pesaro non poteva costituire ragione di esonero da responsabilità per la banca neppure la mancata attivazione, da parte della correntista, del servizio di notifica via sms o mail della disposizione di operazione online.
Tale servizio, infatti, costituiva una forma di controllo aggiuntivo che in alcun modo era sostitutivo del dovere per la banca di adottare idonee misure atte a verificare la riconducibilità delle operazioni alla effettiva volontà del cliente.
Condanna della banca alla rifusione della somma addebitata sul conto del correntista
In definitiva, secondo il giudice, ricorrevano nel caso di specie le condizioni di cui all’art. 11 d.lgs. n. 11 del 2010.
Secondo questa norma, il prestatore di servizi di pagamento deve rimborsare immediatamente al pagatore l’importo di una operazione effettuata in mancanza di autorizzazione.
E se la banca, per l’esecuzione dell’operazione, ha addebitato un importo su un conto, la stessa deve riportare il conto nello stato in cui si sarebbe trovato se l’operazione di pagamento non avesse avuto luogo.
Avv. Elena Pagliaretta
Lascia un Commento
Vuoi partecipare alla discussione?Fornisci il tuo contributo!