Frodi informatiche e responsabilità dell’intermediario: la valutazione della colpa grave del correntista

Commento alla sentenza n. 3330 del 13.11.2023 della Corte d’Appello di Milano.

 

Premessa

Il tema della responsabilità del prestatore di servizi di pagamento nelle ipotesi di frodi informatiche continua ad evolversi e declinarsi in maniera più specifica nella giurisprudenza di merito e di legittimità.

In particolare, la Corte d’Appello di Milano è tornata a pronunciarsi sul punto, soffermandosi sull’elemento della colpa grave del correntista tale da liberare l’intermediario dalla responsabilità.

 

1. LA REGOLAMENTAZIONE DEI SERVIZI DI PAGAMENTO ELETTRONICI

La continua evoluzione dei servizi di pagamento ha reso necessaria una regolamentazione dei rapporti tra prestatori ed utenti, soprattutto in materia di pagamenti elettronici. A livello comunitario, ciò è stato dapprima realizzato con la Direttiva europea sui Servizi di Pagamento, meglio nota come Payment Services Directive del 2007, ulteriormente modificata con la c.d. “PSD2” (2015/2366/UE).

Uno dei temi fondamentali che affronta la citata PSD2 è il contrasto alle frodi informatiche (nelle varie declinazioni del phishing, smishing, vishing, man in the browser) che, sempre più spesso, portano i clienti/vittime di truffa all’instaurazione di cause risarcitorie avverso gli intermediari.

I citati fenomeni sono accomunati dall’intento fraudolento di terzi malfattori che, attraverso variegate modalità di attuazione (comunicazioni mendaci di frodatori tramite email/sms/telefonata), inducono il correntista a rivelare gli elementi che consentono di accedere al sistema personale di home banking.

Il focus della citata normativa comunitaria concerne l’obbligo di predisporre un sistema di Autenticazione Forte (Strong Costumer Authentication, c.d. “SCA”) per gli intermediari, ossia una sofisticata modalità di autorizzazione delle operazioni che consenta di accertare l’effettiva riconducibilità al cliente delle stesse.

Più segnatamente, tale sistema di sicurezza prevede un’identificazione dell’utente basata sull’uso di due o più elementi di autenticazione, appartenenti ad almeno due delle seguenti categorie:

• “conoscenza” (qualcosa che solo l’utente conosce, come una password o un PIN);
• “Possesso” (qualcosa che solo l’utente possiede, come un token/chiavetta, o uno smartphone);
• “inerenza” (qualcosa che caratterizza l’utente, come l’impronta digitale o il riconoscimento facciale).

A fronte di tali rigorosi obblighi, le truffe informatiche hanno assunto modalità sempre più sofisticate, attraverso l’invio di messaggi o la ricezione di telefonate da canali apparentemente genuini e riconducibili alle Banche, con il preciso scopo di ingenerare nel correntista un grado di fiducia tale da fargli comunicare i fattori di autenticazione necessari per l’accesso e la disposizione di operazioni.

La normativa comunitaria ha trovato attuazione nel nostro ordinamento con il D.lgs. 11/2010 e successive modifiche, la cui applicazione ed importanza è gradualmente aumentata con l’esponenziale aumento di truffe informatiche e, di conseguenza, di cause risarcitorie promosse dagli utenti avverso gli istituti bancari.

Tra le norme più rilevanti, si richiamano:

• L’articolo 7, disciplinante gli obblighi posti a carico dell’utente, quali l’utilizzo dello strumento in conformità alle previsioni contrattuali, la tempestiva comunicazione di furto o divulgazione del proprio strumento, nonché la protezione delle proprie credenziali funzionali all’accesso ai sistemi.
• L’articolo 10, primo comma, secondo cui incombe sul prestatore di servizio l’onere della prova che l’operazione contestata sia stata “autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”.
• L’articolo 10, secondo comma, secondo cui in presenza di un’operazione per la quali i clienti neghi la propria autorizzazione, è altresì onere del prestatore di servizi fornire la prova del dolo o della colpa grave dell’utente nell’adempimento dei sopra citati obblighi imposti al cliente.
• L’articolo 11, recante l’obbligo del prestatore di rimborsare l’operazione “non autorizzata” al più tardi entro la giornata operativa successiva a quella in cui è stata realizzata l’operazione.

La normativa di settore presenta dunque obblighi sia dal lato dell’utilizzatore di servizi di pagamento elettronici, sia dal lato degli intermediari.

È proprio tale dicotomia di obblighi contrapposti che ha reso oscillante la giurisprudenza sul punto, riconoscendo, a seconda delle caratteristiche del caso di specie, talvolta la responsabilità dell’istituto con conseguente obbligo risarcitorio delle somme indebitamente sottratte, talvolta la liberazione dello stesso o eventualmente un concorso di colpa ai sensi dell’articolo 1227 c.c.

 

2. L’ETEROGENEITA’ DELLA GIURISPRUDENZA IN MATERIA DI TRUFFE INFORMATICHE

Sul tema della responsabilità dell’istituto per casi di phishing e simili, la giurisprudenza di merito e di legittimità non è stata univoca. Gli ermellini hanno dapprima affermato un principio di responsabilità oggettiva con una serie di pronunce (Cass. Civ. Sezione I, n. 2950/2017 e n. 10638/2016, Ordinanza n. 9158/2018) in cui è stato consacrato un orientamento giurisprudenziale piuttosto rigoroso nei confronti degli istituti bancari.

Nello specifico, a fronte di accessi non autorizzati, è stata riconosciuta nei confronti delle Banche una forma di responsabilità oggettiva “aggravata” ex articolo 2050 c.c. in base alla quale chiunque cagioni danno ad altri nello svolgimento di un’attività pericolosa (nei casi di specie individuata nell’attività di trattamento di dati personali), è tenuto al risarcimento se non prova di avere adottato tutte le misure idonee a evitare il danno.

In tali ipotesi, la Cassazione ha pertanto condannato gli istituti convenuti al risarcimento del danno, tenuto conto che l’accesso da parte di terzi estranei al sistema di home banking dei clienti rientri nell’area di rischio professionale che il prestatore di servizi di pagamento sarebbe tenuto a sopportare in virtù del grado di diligenza particolarmente intenso riconducibile al suo status (quella propria dell’accorto banchiere).

La prova liberatoria da tale responsabilità oggettiva è stata in questi casi individuata nella dimostrazione per l’istituto non solo di avere adottato tutte le misure idonee a garantire la sicurezza del servizio e ad evitare ogni tipo di condotta fraudolenta, conformemente al disposto di cui all’articolo 2050 c.c., ma anche la riconducibilità dell’operazione al cliente che potrebbe aver adottato un comportamento particolarmente negligente in occasione della truffa.

È stato così sancito l’orientamento, del resto già consacrato in diverse pronunce dell’ABF, in base al quale, in controversie di questo genere, la responsabilità della banca può essere esclusa quando essa adempia al duplice obbligo dimostrativo circa:

i) l’impiego di standard di sicurezza adeguati tali da prevenire ogni possibile malfunzionamento o attacco informatico;

ii) il dolo o la colpa grave del correntista, tale da interrompere il nesso eziologico tra l’attività pericolosa e l’evento dannoso;

Il punto dolens di tali fattispecie è tuttavia costituito dall’eterogeneità delle valutazioni che la giurisprudenza ha in concreto effettuato ai fini della sussistenza dei sopra citati elementi dalla valenza potenzialmente liberatoria per il prestatore di servizi di pagamento, in considerazione sia della vasta gamma di scenari possibili che possono concretizzarsi in occasione di truffa informatica, sia della specificità degli standard richiesti con le modifiche apportate al D.lgs. 11/2010.

Del resto, anche le molteplici pronunce dell’ABF in materia hanno valorizzato di volta in volta aspetti differenti, talvolta privilegiando l’adozione di un sistema di autenticazione forte, la cui predisposizione è stata considerata sufficiente ai fini dell’adempimento di tutti gli obblighi imposti all’intermediario (Cfr. ABF, Collegio di Bari, 12 agosto 2019 n. 19356), talvolta ritenendo che la sofisticatezza della truffa fosse tale da escludere qualsivoglia comportamento colposo del cliente, a prescindere dall’adozione di un sistema di autenticazione “a doppio fattore” (Cfr. ABF, Collego di Coordinamento, n. 3498/2012).

Un principio elaborato dall’ABF (ABF, Collego di Coordinamento, n. 3498/2012) richiamato dalla giurisprudenza di merito con diverse pronunce (Tribunale di Napoli, n. 10743/2022, Tribunale Busto Arsizio, n.1434/2022) in senso favorevole per l’utente, è quello del c.d. “effetto sorpresa” relativo alla truffa, tale da “spiazzare l’utilizzatore” e liberarlo dalla responsabilità per colpa grave.

Più di recente, con ordinanza n. 7214 del 13/03/2023, la Suprema Corte ha adottato un approccio senz’altro meno rigoroso rispetto al passato nei confronti dei prestatori di servizi di pagamento, ritenendo insussistente qualsivoglia responsabilità dell’istituto, che si era conformato a quel sistema di Autenticazione Forte elaborato a livello comunitario.  In questa sede, a fini della valutazione di una condotta colposa del cliente tale da liberare la Banca, gli ermellini hanno valorizzato l’aspetto della documentazione informativa precontrattuale, in cui la banca aveva ben esplicitato l’obbligo di custodia e dell’utilizzo corretto delle credenziali e specificato che la mancanza di precauzioni da parte del titolare nell’adempimento a tali obblighi implica un concreto rischio di accessi illeciti al servizio tale da non poter essere prevenuto dall’istituto.

 

3. LA PORTATA INNOVATIVA DELLA SENTENZA DELLA CORTE D’APPELLO DI MILANO N. 3330/2023

La Corte d’Appello di Milano si è nuovamente pronunciata sul delicato tema delle frodi informatiche con sentenza n. 3330 del 13.11.2023, offrendo un importante contributo circa la prova liberatoria per l’intermediario in cause risarcitorie di questo genere.

In secondo grado, è stata riformata la sentenza del Tribunale di Milano che aveva visto la condanna dell’istituto ritenendo che, nonostante la prova circa la predisposizione del sistema di Autenticazione Forte, in assenza di dimostrazione della colpa grave del correntista la Banca sarebbe stata, in ogni caso, responsabile della frode informatica.

In sede di gravame, la Corte ha innanzitutto riconosciuto il corretto e diligente adempimento, da parte dell’istituto di credito, degli obblighi normativamente imposti circa l’adozione di adeguati sistemi di sicurezza, stante l’adozione di un sistema autenticazione forte a due fattori che prevede l’uso di un codice utente, di una password di accesso statica e di una password one time generata dal token.

L’iter argomentativo della Corte d’Appello si sofferma tuttavia, in particolare, sul comportamento negligente dell’utente, tale da spezzare il nesso causale tra l’attività pericolosa esercitata dalla Banca e il danno patito dalla vittima di truffa.

Il giudice di secondo grado, rispetto al passato, ha adottato un approccio piuttosto rigoroso in riferimento all’obbligo degli utenti di custodire con adeguato grado di diligenza i propri codici di cui all’articolo 7 del D.lgs. 11/2010. Nel valutare l’elemento della colpa grave, si è tenuto infatti conto di diversi aspetti che caratterizzano la truffa, quali:

i) la specificità dell’informativa precontrattuale, in cui l’utente ha espressamente accettato di aderire al servizio sulla base delle prescrizioni di cui alla PSD2, compreso l’obbligo di proteggere le credenziali;

ii) le anomalie grammaticali ed il contenuto altamente vago e generico della mail ricevuta dall’utente;

iii) le qualità soggettive dell’utente che, alla luce della sua professione di imprenditore, dovrebbe esser dotato di un grado di diligenza superiore all’individuo comune.

Con la pronuncia in esame, la Corte d’Appello di Milano ha spostato l’attenzione soprattutto sull’elemento della condotta negligente dell’utente attraverso un approccio particolarmente intransigente con i clienti rimasti vittime di truffa informatica, affermando claris verbis che, anche qualora vi sia effettiva inerzia da parte del prestatore, non bisogna dimenticare che la colpa grave del danneggiato è idonea a spezzare il nesso di causalità tra l’evento dannoso e la condotta dell’autore dell’attività pericolosa.

 

4. CONCLUSIONI

L’interpretazione adottata con le ultime pronunce sul tema, ed in particolare la recente pronuncia della Corte d’Appello di Milano, sembrano indirizzarsi verso un approccio più favorevole per gli intermediari rispetto al passato, atteso il rigore con cui viene valutato l’elemento della colpa grave del correntista.

Come evidente dall’iter argomentativo della pronuncia in esame, quell’ “effetto sorpresa” che in passato ha, a più riprese, fatto concludere per l’assenza di colpa grave dell’utente, è ad oggi difficilmente configurabile in virtù di elementi quali la diffusione del fenomeno, le riconoscibili anomalie delle comunicazioni (a prescindere dall’apparente riconducibilità all’istituto, non più sufficiente ad integrare la responsabilità della Banca), le qualità soggettive dell’utilizzatore e la specificità dell’informativa precontrattuale.

Ed invero l’istituto, per vedere soddisfatte le proprie ragioni, dovrà soffermarsi sull’esame di tali circostanze, rilevanti al fine di interrompere il nesso di causalità tra l’evento dannoso e la condotta dell’autore dell’attività pericolosa, a prescindere da un’effettiva inerzia del prestatore per non avere impedito la truffa.

 

Dott.ssa Beatrice Vitelli

Trainee

MFLaw Roma

 

Il presente documento non costituisce un parere ed è stato redatto ai soli fini informativi dei clienti di MFLaw e dei lettori del Magazine di MFLaw. È proprietà di MFLaw e non può essere divulgato a soggetti differenti dal destinatario, senza una preventiva autorizzazione scritta.