Diligenza del cliente e doveri di vigilanza in capo alla banca nella gestione del conto corrente online (su servizi di pagamento, d lgs. 11 del 2010 e frodi informatiche)

Assai interessante (perchè analitica) Trib. Milano 28.02.2023 n. 1596/2023, RG 5377/2022, giud. Francesco Ferrari, sull’oggetto.

Caso classico di uso fraudolento di credenziali altrui per storno di somme, tramite -pare- cambio illecito di cellulare agganciato al profilo del cliente.

Riporto solo su quest’ultimo punto:

<<Da parte sua la convenuta ha prodotto l’estratto dei log relativi alle operazioni compiute, nonché agli avvisi via mail e tramite smartphone abilitato, attestando in tal modo come il device originariamente abilitato dal Manfrida a operare attraverso l’App della banca fosse stato sostituito con uno smartphone differente, evidenziando come le parti nel contratto avessero pattuito come, in caso di contestazioni in ordine a operazioni, avrebbero fatto fede i log estratti dal server della banca.
La difesa attorea non ha contestato la provenienza e quanto attestato in detti tabulati (la cui estrazione dai server della banca è stata confermata testimonialmente dall’operatore che aveva curato detta operazione), ma, viceversa, li ha a sua volta invocati quale conferma, a suo dire, della responsabilità della convenuta, la quale non si sarebbe avveduta che le operazioni abusive compiute dai truffatori fossero state disposte utilizzando uno smartphone con sistema operativo Android, quando, invece, lo smartphone in uso all’attore e da questi abilitato operasse con sistema operativo Iphone.
Tale rilievo non può trovare condivisione, in quanto dalla stessa operatività documentata attraverso i log e i tabulati degli alert emerge inequivocabilmente come la sostituzione dello smartphone abilitato sia avvenuta in seguito all’attuazione da parte dell’attore o, quanto meno, sfruttando l’ingenua cooperazione di quest’ultimo, dell’apposita procedura di sostituzione del device abilitato.
In particolare emerge come, una volta avviata la procedura, la banca abbia inviato in due differenti occasioni password temporanee (il cui inserimento era indispensabile per procedere) sulla vecchia utenza telefonica, ossia quella del Manfrida, e sull’indirizzo mail dell’attore e che tali password sono state effettivamente utilizzate per portare a termine l’operazione di sostituzione dello smartphone.
Le cautele utilizzate per effettuare tale sostituzione, ossia l’invio di due password temporanee al cliente, consente di non ritenere sospetta l’operazione in quanto tale, la quale di norma viene effettuata da tutti i clienti, nel momento in cui cambiano il telefono cellulare o una utenza; se, infatti, per poter procedere è necessario utilizzare codici temporanei inviati sull’utenza del cliente, è chiaro che solo quest’ultimo ne possa disporre e, quindi, possa essere abilitato a dare corso alla sostituzione dello smartphone.
Il semplice cambio di device, pertanto, non può essere considerato motivo di allarme o di sospetto, come vorrebbe sostenere la difesa attorea.
Al contrario, l’utilizzo delle password temporanee costituisce un indice inequivoco che porta a presumere come la sostituzione dello smartphone abilitato sia avvenuta con la negligente cooperazione dell’attore, il quale deve avere messo a disposizione i codici di volta in volta solo a lui inviati, al fine di consentire il completamento della procedura.
Una volta completata la sostituzione dello smartphone abilitato, i truffatori, in possesso dell’id e del pin dell’attore (in quanto deve presumersi da questi comunicati in occasione della operazione di cui sopra), hanno potuto utilizzare il token installato sul loro smartphone per poter liberamente operare sul conto corrente del Manfrida.
Le circostanze di fatto in cui si è svolta la vicenda, così come sopra ricostruita, conducono, quindi, a ritenere provata l’esclusiva responsabilità, per colpa grave, dell’attore>>.

Significativa poi è la successiva parte motivatoria sul dovere di monitoraggio e sorveglianza attiva della banca, che non riporto qui.

Accesso abusivo in conto corrente online e inadempimento contrattuale

Cass. 20.05.2022 n. 16.417, rel. Caiazzo, affronta (sommariamente) il tema della sottrazione di somme a seguito di accesso ad un conto on line, eseguito tramite le credenziali del titolare (che evidentemente il terzo in qualche modo si era illecitamente procurate).

In generale, <<in tema di prova dell’adempimento di un’obbligazione, il creditore che agisca per la risoluzione contrattuale, per il risarcimento del danno, ovvero per l’adempimento, deve soltanto provare la fonte (negoziale o legale) del suo diritto ed il relativo termine di scadenza, limitandosi alla mera allegazione della circostanza dell’inadempimento della controparte, mentre il debitore convenuto è gravato dell’onere della dimostrazione del fatto estintivo dell’altrui pretesa, costituito dall’avvenuto adempimento, o dall’eccezione d’inadempimento del creditore ex art. 1460 c.c. (Cass., n. 25584/18; n. 3587/21; SU, n. 13533/01).>>

In particolare, <<nell’ambito del rapporto di conto corrente, con modalità telematiche, tale regula juris declina la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell’utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell’utente. [non chiara la costrizione sintattica del periodo …]

Orbene, la Corte territoriale ha adottato una ratio erronea in quanto se, da un lato, riconosce che manca un comportamento colposo della M., violando la suddetta regola di diritto ex art. 1218 c.c., le attribuisce la responsabilità del prelievo dal conto corrente, senza peraltro indicarne il titolo.

Invero, la ricorrente ha correttamente allegato la fattispecie d’inadempimento ascritta alla banca, consistente nel non aver impedito l’illecito prelievo, mentre l’istituto bancario non ha eccepito un fatto estintivo o impeditivo della pretesa della controparte.

In sostanza, la sentenza impugnata ha ascritto alla ricorrente una responsabilità per fatto altrui del tutto estranea, come noto, al nostro ordinamento giuridico, presumendo del tutto astrattamente che la ricorrente avrebbe potuto omettere una misura di cautela inerente al corretto utilizzo dell’operatività del conto corrente online, senza alcun riferimento ad una concreta condotta, commissiva od omissiva, della correntista.

Invece, la banca non ha eccepito un fatto estintivo del diritto fatto valere dall’attrice consistente nella violazione delle norme prudenziali che informano le modalità d’uso dei rapporti di conto corrente telematico.>>

La maggior difficoltà teorico è se sia stata correttamente allegato l’inadempimento della banca semplicemente affermando che non aveva <impedito l’illecito prelievo>, senza altri aggiungere.

Astrattamente infatti l’allegazione è troppo generica , visto che da essa non si evince alcuna negligenza della banca (rimane infatti incerto se l’accesso abusivo sia avvenuto per negligenza della banca o della correntista).

Resta da capire se, data la enorme asimmetria di potere nel rapporto (il sistema informatico è totalmente in mano alla banca) , possa ugualmente bastare questa allegazione.

La SC non menziona alcuna norma speciale regolanti la materia , ad es. quelle sui servizi di pagamento in cui la fattispecie forse rientra.

Ad es. l’art. 126 bis. c. 4 T.U. Bancario , <<Spetta al prestatore dei servizi di pagamento l’onere della prova di aver correttamente adempiuto agli obblighi previsti dal presente capo>>

Oppure il d. lgs. 11 del 17.01.2010, artt. 7-14. Ad es. si v. l’art. 10 Prova di autenticazione ed esecuzione delle operazioni di pagamento, secondo cui :

<< 1. Qualora l’((utente)) di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento gia’ eseguita o sostenga che questa non sia stata correttamente eseguita, e’ onere del prestatore di servizi di pagamento provare che l’operazione di pagamento e’ stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.

((1-bis. Se l’operazione di pagamento e’ disposta mediante un prestatore di servizi di disposizione di ordine di pagamento, questi ha l’onere di provare che, nell’ambito delle proprie competenze, l’operazione di pagamento e’ stata autenticata, correttamente registrata e non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti connessi al servizio di disposizione di ordine di pagamento
prestato.))
((2. Quando l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita, l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non e’ di per se’ necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente medesimo, ne’ che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o piu’ degli obblighi di cui all’articolo 7. E’ onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell’utente.))
>>.