1. Introduzione
L’evoluzione digitale dei sistemi di pagamento, se da un lato agevola le transazioni economiche, dall’altro ha incrementato il rischio di frodi telematiche. L’accesso illegale ai conti online e il conseguente uso non autorizzato degli strumenti di pagamento elettronico pongono importanti questioni giuridiche, incentrate sul confine tra la responsabilità del prestatore di servizi di pagamento (Payment Service Provider, PSP) e l’onere di diligenza del cliente.
Il quadro normativo di riferimento è costituito dalla Direttiva 2007/64/CE (Payment Services Directive, PSD), recepita nell’ordinamento italiano con il D.Lgs. n. 11/2010 e successivamente integrata dalla Direttiva (UE) 2015/2366 (PSD2), attuata dal D.Lgs. n. 218/2017. La PSD2 ha riformato la disciplina dei pagamenti elettronici, introducendo requisiti di sicurezza più stringenti e rafforzando il regime probatorio a tutela del cliente, per garantire la sicurezza delle operazioni e la protezione dei dati personali.
2. Inquadramento normativo e principali riferimenti legislativi
La normativa di riferimento prevede un complesso sistema di ripartizione della responsabilità tra PSP e utente nei casi di operazioni di pagamento non autorizzate. In particolare, la disciplina è contenuta negli artt. 9-11 del D.Lgs. n. 11/2010, che disciplinano il regime di allocazione del rischio e degli oneri probatori.
L’art. 10, D.Lgs. n. 11/2010, stabilisce che in caso di un’operazione non autorizzata, il PSP è tenuto a rimborsare immediatamente il cliente, a meno che non riesca a dimostrare che quest’ultimo abbia agito con dolo o colpa grave, ai sensi dell’art. 12 del decreto. Questo principio si basa su un’inversione dell’onere della prova, non derogabile dalle parti e qualificabile come norma imperativa (cfr. art. 117 del TUB e art. 33 del Codice del Consumo).
Parallelamente, la PSD2 ha introdotto l’obbligo di “autenticazione forte del cliente” (Strong Customer Authentication – SCA), sancito dall’art. 97 della Direttiva (UE) 2015/2366 e recepito nell’ordinamento italiano dall’art. 10-bis del D.Lgs. n. 11/2010. Tale normativa prevede che l’identificazione del cliente avvenga mediante l’uso di almeno due elementi tra: conoscenza (qualcosa che l’utente sa, es. password o PIN), possesso (qualcosa che l’utente ha, es. token o OTP) e inerenza (qualcosa che caratterizza l’utente, es. dati biometrici).
3. Gli obblighi dell’intermediario e il ruolo della “diligenza dell’accorto banchiere”
L’art. 1176, comma 2, c.c., richiede al PSP di rispettare la diligenza professionale dell’accorto banchiere, tenendo conto della natura e del rischio dell’attività svolta. In questo senso, la giurisprudenza di legittimità ha consolidato l’obbligo in capo alla banca di adottare misure di sicurezza adeguate al livello di rischio, evolvendo contestualmente i propri sistemi di protezione in relazione alle tecniche di frode più sofisticate (Cass. civ., 23 dicembre 1993, n. 12761; Cass. civ., 18 dicembre 2015, n. 25442).
L’omessa adozione di misure preventive idonee a rilevare tempestivamente attività anomale sul conto corrente, come l’implementazione di sistemi di allerta in tempo reale, costituisce un inadempimento degli obblighi previsti dagli artt. 8 e 10 del D.Lgs. n. 11/2010. La giurisprudenza dell’Arbitro Bancario Finanziario (ABF) ha sancito che, in mancanza di tali misure, la responsabilità dell’intermediario è piena, anche se le credenziali di accesso sono state correttamente utilizzate (A.B.F. Collegio Milano, decisione n. 13267/2017).
4. L’onere probatorio: prova liberatoria e colpa grave del cliente
L’art. 10, comma 1, del D.Lgs. n. 11/2010 prevede che, in caso di contestazione, spetti all’intermediario dimostrare che l’operazione di pagamento è stata autenticata e che non vi sia stato alcun malfunzionamento nei sistemi di sicurezza. È dunque escluso che l’utente debba dimostrare la corretta custodia delle proprie credenziali, essendo sufficiente la mera allegazione dell’uso abusivo dello strumento di pagamento.
L’onere della prova a carico del PSP è stato confermato anche in giurisprudenza (Trib. Verona, 2 ottobre 2012), dove si è ribadito che l’istituto bancario è responsabile non solo se le credenziali sono state rubate a causa di un attacco informatico, ma anche quando non riesca a dimostrare che l’uso illecito è avvenuto per grave negligenza dell’utente, come la conservazione congiunta di PIN e carta di pagamento.
5. La prova della “colpa grave” del cliente: limiti e criteri interpretativi
La nozione di “colpa grave” dell’utente è stata oggetto di diverse interpretazioni. Secondo la Cassazione, la colpa grave ricorre nei casi in cui l’utente abbia agito con negligenza inescusabile, ad esempio non adottando misure minime di sicurezza (Cass. civ., 23 maggio 2016, n. 10638). In particolare, la Suprema Corte ha affermato che la conservazione del PIN unitamente alla carta costituisce un comportamento talmente imprudente da giustificare l’esclusione di ogni responsabilità del PSP.
Diversamente, la giurisprudenza dell’ABF ha recentemente sottolineato che la configurabilità della colpa grave non può dipendere da singoli comportamenti isolati, ma deve essere valutata nel contesto complessivo, tenendo conto del livello di diligenza che l’utente medio può ragionevolmente essere tenuto ad osservare (A.B.F. Collegio di Coordinamento, decisione n. 162/2017).
6. La giurisprudenza sulla responsabilità da status della banca
La giurisprudenza di legittimità e l’ABF hanno spesso richiamato la figura della “responsabilità da status” dell’intermediario, secondo la quale la banca, in virtù della sua posizione di operatore professionale, è gravata da un onere di diligenza particolarmente elevato (Cass. civ., 12 giugno 2007, n. 13777; Cass. civ., 8 gennaio 1997, n. 72). In tale ottica, il prestatore di servizi è tenuto a garantire un controllo continuo delle operazioni anomale, anche mediante il ricorso a tecniche di profilatura e strumenti di intelligenza artificiale, al fine di ridurre il rischio di frodi.
7. Conclusioni
Il quadro normativo e giurisprudenziale sui pagamenti non autorizzati pone in capo al PSP una responsabilità aggravata, che si riflette in un complesso sistema di riparto degli oneri probatori. Il cliente è tutelato da un regime di favore probatorio, ma è comunque tenuto a osservare i doveri di diligenza e di custodia previsti dalla normativa vigente. La tendenza della giurisprudenza sembra confermare una linea rigorosa nei confronti dell’intermediario, estendendo la sua responsabilità oltre il mero rispetto delle norme tecniche, fino a includere un obbligo di protezione proattivo e continuo.