Utilizzo indebito degli strumenti di pagamento e profili rimediali nelle decisioni dell’ABF
Andrea Lestini
Barbara Vivanti
22 Febbraio 2024
La casistica sottesa ad alcune recenti decisioni dell'ABF si presenta particolarmente significativa in quanto consente di riflettere su molteplici problematiche inerenti all'utilizzo indebito di uno strumento di pagamento, permettendo non solo di ricapitolare lo stato dell'arte in materia ma soprattutto di ritenere definitivamente consolidate alcune tesi e principi da tempo dominanti.
Un caso per premessa
Nella prassi, assai frequentemente si presenta il caso che forma oggetto dei provvedimenti esaminati, vale a dire dei rimedi esperibili dall'utente a fronte di un utilizzo indebito di uno strumento di pagamento – carta di debito e carta di credito – conseguente al suo furto, smarrimento o appropriazione indebita da parte di terzi; non di rado, infatti, il giurista, chiamato ad un primo esame della vicenda, dedica la propria attenzione tanto alla giurisprudenza di merito e di legittimità quanto alle decisioni dell'Arbitro Bancario Finanziario.
In particolare, le acute e rilevanti argomentazioni poste a fondamento di alcune sobrie ma compiute decisioni permettono, partendo dall'osservazione del momento di compimento delle singole operazioni contestate, non solo di tracciare alcuni punti fermi relativamente alla ripartizione dell'onere della prova tra utente e intermediario, nonché ai concetti di colpa e negligenza degli stessi, ma soprattutto di interrogarsi in ordine alle conseguenze della mancata predisposizione di un sistema di efficace allerta idoneo ad arginare la frode.
L'ipotesi esaminata è quella classica e tradizionale: un utente, a seguito del furto della carta di debito, richiedeva il blocco dello strumento di pagamento solo quando, avvedutosi della sottrazione, erano già stati eseguiti ed effettuati diversi prelievi ed operazioni non autorizzate.
Anche le tesi sostenute delle parti, poi, ricalcano le tipiche ed usuali linee difensive in materia: da un lato, la banca che, per quanto di interesse in questa sede, eccepiva come le tracciature informatiche mostravano che le operazioni erano state correttamente autenticate e dunque regolarmente autorizzate; e che la immediata e corretta digitazione del Pin, in particolare, lascerebbe presumere come quell'elemento di conoscenza fosse conservato insieme alla carta, con grave violazione degli obblighi di corretta custodia dello strumento di pagamento.
Dall'altro lato, l'utente, il quale – in disparte la considerazione per cui, non essendo il codice conservato unitamente alla carta, si doveva piuttosto ipotizzare che l'autore del furto avesse osservato l'utilizzatore durante una precedente digitazione – evidenziava come non fosse stato approntato, da parte dell'intermediario, alcun servizio di “sms alert”.
È questo, allora, nell'ambito dell'evoluzione digitale, il vero elemento rilevante su cui occorre soffermarsi, inteso come capacità dello strumento di avvisare e rendere edotto il soggetto, nelle ipotesi caratterizzate da una pluralità di prelievi distanti nel tempo, della truffa perpetrata ovvero dell'illecito utilizzo della carta.
Il quadro normativo: profili essenziali
La tecnica e la tecnologia hanno cambiato le abitudini di vita del soggetto, il modo di pensare, di relazionarsi incidendo ed interessando anche lo specifico settore dei pagamenti: in questo contesto, in particolare, si inserisce la Direttiva 2015/2366/UE, recepita con il d.lgs. n. 218/2017 e che, tra l'altro, ha modificato talune disposizioni del d.lgs. n. 11/2010, di attuazione della precedente Direttiva 2007/64/CE.
Evidentemente, le ragioni e la storia che avvolgono la nascita di un mercato unico europeo dei pagamenti, al pari del complesso sistema normativo, non potrebbero compiutamente essere esaminate, almeno a margine di una breve nota esplicativa, che ha ad oggetto uno specifico caso della vita.
Ciò che preme rilevare, da quest'ultimo angolo visuale, è la risoluzione del quesito fondamentale posto alla base delle decisioni in rassegna; ci si deve infatti domandare se ed eventualmente entro quali limiti, in caso di operazioni di pagamento non autorizzate, la mancata attivazione di un sistema di allerta possa determinare una responsabilità dell'intermediario.
Tale problematica, come anticipato e come si vedrà nel prosieguo, porta inevitabilmente con sé ulteriori profili e dubbi interpretativi che, spaziando dalla rilevanza da attribuire alla sequenza temporale delle molteplici operazioni e giungendo sino alla presenza di eventuali indici di anomalia delle richieste di autorizzazione per una stessa carta di pagamento, passano per la accesa discussione intorno alla automaticità o meno della applicazione della franchigia prevista dalla legge.
Al riguardo, poiché il giurista non potrebbe che confrontarsi con una realtà normativa, al fine di inquadrare la vicenda e provare a rispondere agli interrogativi, pare dunque opportuno analizzare le principali disposizioni che regolano la materia.
Punto di partenza dell'osservatore è, così, l'art. 12, comma 2-ter, d.lgs. n. 11/2010, secondo il quale il pagatore, salvo il caso in cui abbia agito in modo fraudolento «non sopporta alcuna perdita se lo smarrimento, la sottrazione o l'appropriazione indebita dello strumento di pagamento non potevano essere notati dallo stesso prima di un pagamento»; la disposizione, tuttavia, deve essere esaminata congiuntamente all'art. artt. 7, comma 1, lett. b, e all'art. 8, comma 1, lett. c), i quali prevedono rispettivamente che l'utente deve «comunicare senza indugio … al prestatore di servizi di pagamento o al soggetto da questo indicato lo smarrimento, il furto, l'appropriazione indebita o l'uso non autorizzato dello strumento non appena ne viene a conoscenza», e che il prestatore di servizi di pagamento deve «assicurare che siano sempre disponibili strumenti adeguati affinché l'utente dei servizi di pagamento possa eseguire la comunicazione» predetta.
Ebbene, posto che all'obbligo di pronta segnalazione è correlato il dovere del prestatore di mettere a disposizione i predetti strumenti e che, quindi, tutto ruota introno al momento in cui l'utente ha avuto contezza del pagamento oggetto di disconoscimento, ulteriore aspetto essenziale riguarda la possibilità di ottenere un rimborso totale ovvero limitatamente alle perdite eccedenti l'importo previsto dall'art. 12, comma 3, d.lgs. n. 11/2010.
Tale norma, infatti, nel prevedere che il pagatore «salvo se abbia agito in modo fraudolento o non abbia adempiuto a uno o più degli obblighi di cui all'articolo 7, con dolo o colpa grave» – nel qual caso tutte le perdite sono poste a suo carico (art. 12, comma 4, d.lgs. n. 11/2010) – «può sopportare, per un importo comunque non superiore a euro 50, la perdita relativa a operazioni di pagamento non autorizzate derivanti dall'utilizzo indebito dello strumento di pagamento conseguente al suo furto, smarrimento o appropriazione indebita» (art. 12, comma 3, d.lgs. n. 11/2010), potrebbe essere intesa nel senso che non assumerebbe rilievo, ai fini dell'applicazione della franchigia, il fatto che l'utente non sia venuto a conoscenza dell'operazione indebita.
Sulla mancata attivazione del servizio di “sms alert” e sulla applicazione della franchigia
Ecco che, comprendere se, nell'attuale sistema, la franchigia debba reputarsi non operante solamente laddove la sottrazione o appropriazione indebita della carta non poteva essere notata prima di un pagamento, illumina e mette in relazione, più in generale, proprio il concetto della tempestività della comunicazione dell'utente con quello della effettiva conoscenza dell'operazione di pagamento.
È del tutto evidente, del resto, come «non sembrerebbe ragionevole porre a carico dell'utente la responsabilità determinata dalla violazione dell'obbligo di dare tempestiva comunicazione al prestatore, con conseguente applicazione della franchigia, se del “pagamento” non abbia avuto notizia», posto che «la mancata tempestività può, in effetti, derivare dalla mancata segnalazione, da parte del prestatore, del “pagamento”» (ABF, Coll. Coord., 06.11.2019, 24366).
L'intermediario, pertanto, poiché ha il dovere di adottare misure idonee a garantire la sicurezza del servizio con la dovuta diligenza, non potrebbe che «predisporre un servizio di avviso tempestivo all'utente delle operazioni compiute utilizzando strumenti di pagamento di cui sia titolare», così consentendo di eseguire «senza indugio» la comunicazione di smarrimento, e di qualificare il pagamento registrato come non autorizzato (ABF, Coll. Coord., 06.11.2019, 24366).
Tra queste misure (ABF, Coll. Coord., 06.11.2019, 24366) rientra, principalmente, lo strumento di segnalazione “sms alert” il quale rappresenta «un onere gravante direttamente sull'intermediario» che, peraltro, in quanto indissolubilmente collegato ad esigenze organizzative dell'attività di impresa, prescinde da una richiesta di attivazione del cliente (C.d.A. Campobasso, 17.07.2023, n. 227; Trib. Pavia, sez. III, 02.03.2023, n. 284) dovendo essere applicato – salvo specifica dichiarazione liberatoria del cliente che non intenda avvalersi di tale servizio (ABF, Coll. Roma, 15.09.2014, n. 5953) – in modo generalizzato (ABF, Coll. Roma, 16.09.2016, n. 7976; ABF, Coll. Roma, 16.07.2018, n. 15447; ABF, Coll. Roma, 14.04.2014, n. 2319; ABF, Coll. Roma, 18.12.2015, n. 9262).
La mancata attivazione, in via automatica (ABF, Coll. Palermo, 24.10.2017, n. 13205), del servizio di avviso su ciascuna delle carte di pagamento messe in circolazione, rappresenta pertanto un comportamento colposo dell'intermediario, il quale si pone in contrasto con l'obbligo di diligenza professionale su di esso incombente (ABF, Coll. Roma, 14.04.2014, n. 2319).
La diligenza posta a carico del professionista, infatti, ha natura tecnica e deve valutarsi, tenendo conto dei rischi tipici della sfera professionale di riferimento, assumendo come parametro la figura dell'accorto banchiere (Cass. civ., sez. I, 04.08.2016, n. 16333).
Non appare decisivo, allora, così impostato il discorso, il fatto che il servizio fosse messo a disposizione da parte dell'intermediario, risultando piuttosto necessario che, «consapevolmente», vi sia stata da parte dell'utente «un'espressa scelta … di non attivare il servizio di sms alert», da intendersi come «espresso e documentato rifiuto» (ABF, Coll. Roma, 12.09.2016, n. 7714) di voler usufruire di quella tutela.
La mancata attivazione del servizio di “sms alert” ed il fattore tempo
L'obbligo di attivazione di servizi di segnalazione istantanea dei pagamenti – presidio di sicurezza ex post – tuttavia, non è fine a se stesso, essendo precipuamente deputato ad impedire il perpetuarsi di utilizzi illeciti della carta successivi al primo; il fattore tempo, legato al compimento delle singole operazioni, avvolge pertanto il meccanismo di “sms alert” o di altro strumento equivalente.
La condotta colposa dell'intermediario che non abbia predisposto quel servizio, invero, deve essere analizzata alla luce di tutte le circostanze del caso concreto, tra cui preminente importanza assume la sequenza – circoscritta nel tempo ovvero posta in essere in un più ampio e significativo periodo – dei pagamenti contestati.
In particolare, se è vero che, in generale, un efficace sistema di allerta ben potrebbe arginare un indebito utilizzo degli strumenti di pagamento in danno degli utenti, altrettanto vero risulta, però, che l'invio di un “sms alert” deve essere ciononostante idoneo ad arginare realisticamente – e, dunque, in concreto – la frode (ABF, Coll. Bologna, 31.08.2023, n. 8672).
E, così, pur potendosi discorrere di violazione dell'obbligo di diligenza professionale in capo all'intermediario che non abbia predisposto misure idonee a tutela dei clienti, appare necessario ed indispensabile valutare se l'invio di quei messaggi – in ragione dei momenti in cui furono compiute le plurime operazioni – avrebbe consentito di evitare i prelievi non autorizzati (ABF, Coll. Coord., 06.11.2019, 24366); sicché, se l'intermediario offre la prova che, alla luce dello svolgimento dei fatti, l'adozione di tale sistema di avvertimento non avrebbe consentito di limitare il pregiudizio sofferto, la sua responsabilità deve essere esclusa (in tal senso, M.C. Paglietti, Questioni in materia di prova nei casi di pagamenti non autorizzati, in M.C. Paglietti, M.I. Vangelisti, Innovazione e regole nei pagamenti digitali. Il bilanciamento degli interessi nella PSD2, Roma, 2020).
In tal senso si è espressa anche una recente decisione, secondo la quale la rapida successione delle operazioni – compresa entro i trenta minuti (ABF, Coll. Bologna, 31.08.2023, n. 8672) – porta ad escludere che, pur in presenza di un idoneo meccanismo di segnalazione, l'utente avrebbe potuto impedire la transazione, cosicché il rimborso non potrebbe che essere limitato, di converso, solamente a quelle avvenute, eventualmente, in un periodo successivo.
Sulla responsabilità dell'intermediario: l'onere della prova
L'analisi della prassi mostra un contesto in cui l'intermediario produce una documentazione da cui si evince come l'operazione contestata sia stata regolarmente autenticata, registrata e contabilizzata in quanto compiuta mediante una corretta – e, non di rado, immediata – digitazione del codice associato alla carta.
Il tema, sempre attuale, è stato in particolare affrontato, anche di recente, da una decisione dell'Arbitro Bancario Finanziario, la quale ha evidenziato chiaramente i più significativi profili della ripartizione dell'onere della prova, tracciando di conseguenza alcune rilevanti direttrici interpretative.
Il discorso può prendere le mosse dal rilievo per cui la responsabilità dell'utilizzatore è normativamente circoscritta (art. 10, d.lgs. n. 11/2010) alle ipotesi di comportamento fraudolento ovvero di doloso o gravemente colposo inadempimento dell'obbligo di comunicazione dell'avvenuto smarrimento – et similia – dello strumento di pagamento, onde «la prova della regolarità formale di un'operazione contestata non è sufficiente ad attribuirne le conseguenze patrimoniali in capo al titolare dello strumento di pagamento» (ABF, Coll. Coord., 10.10.2019, n. 22745).
L'utente, infatti, «può disconoscere un'operazione anche quando il processo di pagamento si sia svolto in modo formalmente regolare» essendo ovvio che «la corretta validazione delle “credenziali utente”» è un elemento – per dir così – neutro, non fornendo, di per sé e per sé solo, alcun elemento che possa accertare, in assenza di utili informazioni integrative, che il codice sia stato effettivamente inserito dal cliente (ABF, Coll. Coord., 10.10.2019, n. 22745; ABF, Coll. Coord., 24.06.2014, n. 3947).
Ne deriva che la semplice produzione in giudizio del «log informatico» relativo all'operazione contestata non è sufficiente perché possa considerarsi assolto l'onere probatorio posto a carico dell'intermediario che, quindi, deve allegare «specificamente» e provare i fatti idonei a integrare il dolo o la colpa grave dell'utilizzatore, non potendo neppure limitarsi ad eccepire che «i clienti sono gravati dall'obbligo di diligente custodia dei dispositivi personalizzati» (ABF, Coll. Coord., 10.10.2019, n. 22745).
La responsabilità del titolare dello strumento di pagamento non potrebbe che fondarsi, per tale via, sulla prova – anche in via presuntiva, in forza di elementi univoci e convergenti, quali l'assenza di tentativi falliti di digitazione del pin o la ricezione di password dinamica – dell'apporto causale del titolare stesso nel compimento dell'operazione e dunque nella causazione del danno.
Con la ulteriore precisazione, però, che da un lato non costituisce prova di colpa grave dell'utilizzatore il solo fatto che sia stato correttamente digitato il Pin, proprio in quanto deve sussistere una molteplice concatenazione di elementi di fatto, particolarmente univoci e convergenti – come la stretta sequenza temporale tra il momento della avvenuta sottrazione e quello degli utilizzi fraudolenti, idonea a fondare la presunzione della conservazione del codice unitamente alla carta e alla relativa facile associazione (ABF, Coll. Coord., 17.10.2013, n. 5304) –, tali da far ragionevolmente ritenere come l'utilizzo fraudolento sia riconducibile sul piano causale alla condotta dell'utilizzatore (ABF, Coll. Roma, 16.09.2016, n. 7976).
E, che, dall'altro lato la condotta di chi, pur avendo conservato il codice separatamente dalla carta, lo abbia in ogni caso memorizzato sul telefono portatile non potrebbe permettere di ritenere, inequivocabilmente, come lo stesso fosse effettivamente ed immediatamente visibile ed associabile allo strumento di pagamento sottratto o smarrito (ABF, Coll. Coord., 29.11.2013, n. 6168), in violazione degli specifici obblighi di corretta custodia e che integrano ex se la colpa grave dell'utilizzatore.
Di conseguenza, dalle principali fattispecie in materia si evince come solo la prova – sicuramente onerosa ma che giammai potrebbe dirsi logicamente impossibile (ABF, Coll. Coord., 29.11.2013, n. 6168) – di un comportamento abnorme e non scusabile, consentirebbe di poter affermare una responsabilità dell'utente (ABF, Coll. Coord., 10.10.2019, n. 22745).
Nei più diversi contesti (ABF, Coll. Coord., 24.06.2014, n. 3947; ABF, Coll. Coord., 26.10.2012, n. 3498; ABF, Coll. Roma, 15.10.2010, n. 1111; ABF, Coll. Roma, 02.07.2010, n. 665), del resto, si è sottolineato come la disciplina è ispirata al principio del «rischio d'impresa», e cioè all'idea per cui pare opportuno e razionale far gravare i rischi statisticamente prevedibili legati ad attività oggettivamente «pericolose», che interessano un'ampia moltitudine di consumatori o utenti, su chi è in grado – attraverso la determinazione dei prezzi di vendita dei beni o di fornitura del servizio – di distribuire sulla generalità dei consumatori e sull'intero pubblico dell'utenza il costo derivante dall'impiego indebito degli strumenti di pagamento.
Tale scelta consente di «garantire la fiducia degli utenti nella sicurezza del sistema» ed appare del tutto ragionevole perché riconduce nell'area del rischio professionale – rischio, tra l'altro, prevedibile ed evitabile proprio attraverso appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente – la possibilità di una utilizzazione dei codici da parte dei terzi, purché non vi sia la prova del dolo del titolare o di comportamenti talmente incauti da non poter essere fronteggiati in anticipo (Così Cass. civ., sez. I, 03.02.2017, n. 2950; Cass. civ., sez. III, 26.05.2020, n. 9721).
Il rimborso e gli effetti restitutori
Al di fuori delle ipotesi normativamente previste di responsabilità dell'utente, dunque, è sempre l'intermediario a rispondere nei confronti del proprio cliente delle perdite derivanti da operazioni di pagamento non autorizzate e non correttamente eseguite (così A. Messore, in Banca Borsa Titoli di Credito, 4/2020, pp. 673 ss.).
Il prestatore di servizi di pagamento, in particolare, deve rimborsare – «immediatamente e in ogni caso al più tardi entro la fine della giornata operativa successiva a quella in cui prende atto dell'operazione o riceve una comunicazione in merito» – al pagatore l'importo dell'operazione di pagamento non autorizzata (art. 11, d.lgs. 11/2010).
Eppure, come anticipato, nella maggior parte dei casi, la banca e gli istituti assimilati tendono a non rimborsare immediatamente gli importi di cui ai pagamenti disconosciuti, ritenendo legittime le operazioni effettuate e prospettando la negligenza del cliente rispetto agli obblighi di custodia e di conservazione degli strumenti di pagamento e delle credenziali (S. Sica, B.M. Sabatino, Disintermediazione finanziaria e tutela del cliente e dell'utilizzatore, in Dir. Inf., 1/2021, pp. 1 ss.).
È questo il vero terreno su cui si innesta l'ampia casistica in materia: la rilevanza accordata ai singoli elementi fattuali allegati dalle parti e alle relative prove fornite per supportarli. Del resto, se è risaputo che il giurista non di rado si incammina verso «la ricerca del diritto» (F. Di Marzio, La ricerca del diritto, Bari, 2021), altrettanto evidente è come, nel corso di ogni procedimento – sia esso giurisdizionale ovvero di risoluzione stragiudiziale o, comunque, di composizione alternativa della controversia – il terzo chiamato a decidere la causa, in virtù del principio dispositivo, «non possa andare alla ricerca della verità» (ABF, Coll. Coord., 10.10.2019, n. 22745).
Conclusione
Il perimetro entro cui una questione problematica viene affrontata è inevitabilmente tracciato dall'angolo visuale prescelto dall'osservatore.
Tale preferenza, poi, si basa su mutevoli interessi, non di rado coerenti con il percorso professionale intrapreso e che giustificano, di conseguenza, il taglio prevalentemente applicativo della trattazione.
L'attenzione per argomenti più o meno tradizionali, infatti, non potrebbe che nascere dalla prassi e dal concreto accesso alle vicende della vita, il tutto risolvendosi, altrimenti, in sterili disamine capaci di suscitare partecipazione solo teorica.
Essere chiamati a difendere, in solitudine, una tesi è però altro rispetto al piacere che accompagna il commento di alcune breve pronunce; solo talvolta qualcuno, trovato un argomento comune di discussione, potrà allora confrontarsi e dialogare costruttivamente con colleghi di infaticabile lena, impostando un primo schema di lavoro ed auspicandone – nel tempo e sui più diversi temi – maggiore fortuna: questo è accaduto a due giuristi, trovatisi a riflettere, per ragioni diverse, su alcune decisioni dell'Arbitro Bancario Finanziario.
Vuoi leggere tutti i contenuti?
Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter continuare a
leggere questo e tanti altri articoli.
Sommario
Sulla mancata attivazione del servizio di “sms alert” e sulla applicazione della franchigia
La mancata attivazione del servizio di “sms alert” ed il fattore tempo
Sulla responsabilità dell'intermediario: l'onere della prova