Utilizzo fraudolento online della carta di credito e doveri di sicurezza dell’intermediario

Nel caso di sottrazione di denaro attraverso acquisti con carta di credito non autorizzati dal titolare, la Banca è tenuta a rimborsare le somme al cliente se non prova di aver adottato le misure tecniche idonee ad impedire a soggetti diversi dall'utilizzatore l'uso dei dispositivi per l'utilizzo degli strumenti di pagamento.

Il titolare di una carta di credito “kataweb” collegata al proprio conto corrente bancario promuoveva un procedimento avanti al Giudice di Pace di Lecce nei confronti della U. S.p.A. per sentire accertare e dichiarare l'esclusiva responsabilità di quest'ultima per la sottrazione dal proprio conto corrente della somma di € 412,00 per un acquisto non autorizzato e nemmeno effettuato dal titolare medesimo.

Il Giudice di Pace rigettava la domanda, con esclusione di qualsivoglia responsabilità in capo alla Banca a titolo di mancato controllo della regolarità dell'operazione.

Avverso la sentenza di primo grado, il titolare della carta ha proposto appello avanti al Tribunale di Lecce, sostenendo che la Banca non ha provato di aver adottato idonei sistemi di sicurezza per evitare l'utilizzo fraudolento della carta di credito, limitandosi ad evidenziare che l'appellante non ha provveduto a custodire con diligenza i dati segreti della propria carta di credito.

In particolare, la Banca U. S.p.A. ha sottolineato che l'acquisto contestato è stato effettuato su un sito Internet certificato “SecureCode” attraverso l'inserimento di una password che non è contenuta nella carta di credito.

Tale circostanza, a parere della Banca, sarebbe sufficiente a dimostrare di aver adottato idonei sistemi di sicurezza per evitare l'utilizzo fraudolento del mezzo di pagamento offerto al correntista, nello specifico la carta di credito.

La questione giuridica sottesa alla sentenza in esame è relativa alla disciplina dei pagamenti elettronici, con particolare riferimento alla responsabilità dell'istituto di credito, nel caso di utilizzo fraudolento online della carta di credito.

Il Tribunale, chiamato a pronunciarsi sull'appello proposto avverso la sentenza di primo grado del Giudice di Pace, ha preliminarmente esperito una doppia valutazione relativa da una parte alla condotta dell'utilizzatore e dall'altra quella dell'intermediario.

Per quanto riguarda l'utilizzatore, lo stesso deve dimostrare di aver adottato le misure idonee a garantire la sicurezza dei dispositivi che consentono l'utilizzo dello strumento di pagamento, mentre, per quanto riguarda l'intermediario, questi deve dimostrare di aver predisposto adeguate misure di protezione per la sicurezza del servizio offerto.

La sentenza del Tribunale in esame ha evidenziato che la Banca ha dimostrato l'assenza di qualsivoglia anomalia nell'esecuzione della transazione commerciale in questione.

In particolare l'acquisto è stato effettuato con carta di credito su un sito Internet certificato “SecurCode” che richiede la digitazione di un codice pin, non contenuto sulla carta stessa.

La Banca, a tal fine, ha fornito al titolare della carta due elementi di sicurezza:

1) una password da utilizzare per gli acquisti online sui siti certificati “SecurCode”;

2) un messaggio di richiesta di inserimento della predetta password per ottenere la conferma della legittima titolarità e provenienza.

Inoltre, il Tribunale ha rilevato che il servizio “SecurCode” è indubbiamente volto ad aumentare la sicurezza degli acquisti online, in quanto vincola l'esecuzione della transazione all'inserimento di una password non contenuta sulla carta di credito: in questo modo l'acquisto online rientra nella sfera di controllo del titolare della carta di credito che ha ricevuto direttamente dalla Banca una password ad hoc per gli acquisti su Internet.

D'altra parte il medesimo titolare della carta di credito non ha in alcun modo fornito la prova della propria diligenza nella conservazione dei codici di accesso segreti relativi all'utilizzo della carta di credito per gli acquisti online.

Nella sentenza in commento, si è quindi giunti alla conclusione che l'acquisto contestato dall'appellante deve necessariamente essere stato effettuato da un soggetto a conoscenza della password della carta di credito, o in ogni caso, deve essere stato effettuato in violazione di un sistema con un elevato margine di sicurezza, tale da escludere la responsabilità dell'intermediario.

Il Tribunale di Lecce pertanto, nel considerare il sistema di sicurezza “SecurCode” tra i più elevati in Internet e accertando che parte appellata ha fornito adeguate misure idonee ad evitare sottrazioni ad opera di terzi, ha confermato la sentenza del Giudice di Pace di Lecce.

Giova evidenziare che, nel caso in esame, gli obblighi relativi ai servizi di pagamento gravanti sulle parti, nonché la ripartizione dell'onere della prova, sono disciplinati dal d.lgs. n. 11/2010 che ha dato attuazione alla Direttiva 2007/64/CE relativa ai servizi di pagamento nel mercato interno.

In particolare è l'art. 7 del d. lgs. n. 11/2010 a porre a carico dell'utilizzatore l'obbligo ad utilizzare «lo strumento di pagamento in conformità con i termini, esplicitati nel contratto quadro, che ne regolano l'emissione e l'uso» nonché ad adottare le «le misure idonee a garantire la sicurezza dei dispositivi personalizzati che ne consentono l'utilizzo».

Per il prestatore di servizi invece, è l'art. 8 del d. lgs. n. 11/2010 a stabilire l'obbligo di assicurare all'utilizzatore che «i dispositivi personalizzati che consentono l'utilizzo di uno strumento di pagamento non siano accessibili a soggetti diversi dall'utilizzatore legittimato ad utilizzare lo strumento medesimo».

In virtù delle predette norme, l'organo giudicante è chiamato ad individuare quale soggetto, tra il prestatore e l'utilizzatore, debba sopportare il rischio dell'utilizzo fraudolento online delle carte di credito derivante dal furto dei codici identificativi o dal superamento dei più avanzati sistemi di sicurezza informatica.

L'orientamento della giurisprudenza di legittimità, in senso diametralmente opposto rispetto alla pronuncia in esame, è costante nello stabilire che la possibilità di un utilizzo dei codici identificativi da parte di terzi debba essere ricondotta nell'area del rischio professionale del prestatore di servizio, e non certo al dolo o a comportamenti incauti dell'utilizzatore del servizio di pagamento.

In tal senso, come viene evidenziato nella più recente sentenza della Suprema Corte (Cass. civ., sez. I, 3 febbraio 2017, n. 2950) con riguardo all'utilizzazione di servizi e strumenti con funzione di pagamento, che si avvalgono di mezzi meccanici o elettronici, la diligenza posta a carico del professionista ha natura tecnica, e per tale ragione deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento «ed assumendo quindi come parametro la figura dell'accorto banchiere».

In particolare, operando un corretto bilanciamento tra le regole relative alla corretta ripartizione dell'onere della prova in tema di inadempimento contrattuale e quelle relative alla diligenza professionale, la Cassazione ha stabilito che è l'istituto bancario che deve dimostrare che il proprio sistema informatico è sicuro.

Da ciò consegue che, proprio per garantire la fiducia degli utilizzatori nella sicurezza del sistema informatico adottato dall'istituto bancario, l'eventuale utilizzo dei codici identificativi da parte di terzi, non attribuibile al dolo o a comportamenti incauti del titolare, dovrà essere ricondotta nell'area del rischio professionale del prestatore di servizi di pagamento, il quale dovrà adottare quelle misure idonee a verificare la riconducibilità delle operazioni alla volontà del titolare dei servizi di pagamento.

Alla luce del costante orientamento della Suprema Corte, secondo il quale in punto di ripartizione dell'onere della prova, è il prestatore di servizi a dover dimostrare di aver adottato delle misure idonee a garantire la sicurezza del servizio, bisogna sempre considerare che i codici dell'utilizzatore possono essere carpiti da terzi in modo fraudolento, e che pertanto, per garantire la fiducia dei correntisti nella sicurezza del sistema, tale circostanza deve essere ricondotta nell'ambito del rischio professionale del prestatore dei servizi di pagamento.

Tuttavia, nella pronuncia in esame, difformemente al più recente orientamento della Suprema Corte in materia, il Tribunale di Lecce nel confermare la sentenza del Giudice di Pace, ha ritenuto che l'intermediario, Banca U. S.p.A., abbia adottato un sistema di sicurezza tale da essere sollevata da qualsivoglia responsabilità derivante dalla sottrazione di denaro attraverso pagamenti online, ad opera di terzi, dal conto di un proprio correntista.

Appare opportuno evidenziare che l'adozione del sistema di sicurezza “SecurCode” non rappresenta una garanzia certa contro il verificarsi di un furto dei codici di accesso o un furto di identità online che determini un utilizzo fraudolento della carta di credito o di altro strumento di pagamento in Internet.

Sul punto l'ABF (Arbitro Bancario Finanziario), Collegio di Napoli, con sua decisione n. 174/2016 ha stabilito che l'utilizzo del sistema 3D Secure (SecurCode Mastercard e Verified by Visa) non appare sufficiente a ricondurre l'effettuazione delle transazioni al legittimo titolare; infatti tale sistema, come si è detto, impone all'utilizzatore di inserire oltre ai codici riportati sulla carta di pagamento, un'ulteriore password scelta dall'utente e periodicamente modificata.

Tuttavia, per gli acquisti online la password richiesta è una password statica e non dinamica: per tali ragioni, in assenza di ulteriori elementi volti a dimostrare l'utilizzo incauto da parte dell'utilizzatore, «deve ritenersi che l'operazione in oggetto sia da considerarsi compiuta in maniera fraudolenta, senza alcuna responsabilità dell'utilizzatore, con conseguente obbligo di restituzione del controvalore della stessa» (ABF, Collegio di Napoli, decisione del 12 gennaio 2016, n. 174).

Nel medesimo senso, sempre l'ABF, Collegio di Roma, con sua decisione n. 9126/2016 ha affermato che «il “Mastercard Secure Code” non appare equiparabile ai più sicuri presidi che sarebbe possibile mettere a disposizione degli utilizzatori dei servizi di pagamento (cfr. Collegio di Roma, decisione n. 203 dell'11 gennaio 2013). Il che impedisce di poter considerare quale causa efficiente dell'evento fraudolento la circostanza della mancata custodia del “Mastercard Secure Code” da parte del ricorrente o di poter scorgere in tale circostanza profili di colpa grave a suo carico» (ABF, Collegio di Roma, decisione del 13 ottobre 2016, n. 9126).

In particolare anche l'ABF, Collegio di Milano, si è più volte espresso sul punto, secondo il proprio consolidato orientamento in materia (ABF, Collegio di Milano, decisione del 19 maggio 2016, n. 4709), evidenziando che: «il citato servizio non è in grado di limitare efficacemente i rischi di frode, trattandosi di un meccanismo ad un solo fattore, che richiede unicamente la digitazione di una password statica».

Per tali ragioni, in conformità al più recente orientamento giurisprudenziale, la circostanza addotta dall'appellata secondo cui l'operazione contestata è stata effettuata mediante l'utilizzo del sistema di sicurezza “SecurCode” non sarebbe idonea ad attribuire una qualsivoglia responsabilità per dolo o colpa grave in capo all'utilizzatore dei servizi di pagamento in ordine al suo obbligo di custodia degli strumenti di pagamento e delle relative credenziali, con la conseguenza che, come si è detto, l'eventuale utilizzo dei codici identificativi da parte di terzi, non attribuibile al dolo o a comportamenti incauti del titolare, dovrebbe essere ricondotta nell'area del rischio professionale del prestatore di servizi di pagamento.