Il Tribunale di Milano, in tema di frode in Home Banking a seguito di illecito accesso ad opera di terzi non legittimati, ha escluso la sussistenza in capo al Prestatore di Servizi di Pagamento del dovere di monitorare gli schemi comportamentali del cliente e di avvertire o, addirittura, sospendere le operazioni di pagamento anomale, prima di darne esecuzione.
La fattispecie sottoposta alla cognizione del Tribunale di Milano aveva ad oggetto la domanda di risarcimento da parte del Cliente, nei confronti del PSP (Payment Service Provider), delle somme indebitamente prelevate e addebitate sul suo conto corrente acceso presso la filiale virtuale dell’Istituto.
Le doglianze dell’attore riguardavano, in particolare, il fatto che la Banca non aveva vigilato correttamente a fronte di una operatività del conto del tutto anomala rispetto al pregresso, consentendo l’esecuzione di operazioni anomale nella tempistica, e riconosciute come sospette dalla stessa Banca, la quale aveva contattato l’attore segnalando l’anomalia.
Il Tribunale, tracciato il quadro normativo di riferimento, ha evidenziato come gravi sui PSP l’obbligo di elaborare meccanismi sicuri di gestione e trasmissione del consenso, nonché di tempestiva ed esatta esecuzione degli ordini di pagamento ricevuti, predisponendo meccanismi di autenticazione forte, basati su due o più elementi che sono classificati nelle categorie della conoscenza, del possesso e dell’inerenza, con la generazione di un codice di autenticazione. Per contro, gli utenti ricevono e devono custodire le credenziali di sicurezza personalizzate, per accedere ai propri conti, ed impartire quegli ordini di pagamento che sono la manifestazione procedimentalizzata al PSP della propria volontà di dare corso ad un’operazione di pagamento.
Tale delicato bilanciamento è infatti necessario per una completa prevenzione dai rischi connessi a queste operazioni, per non estendere eccessivamente la responsabilità e i correlativi obblighi dei PSP, che inevitabilmente comporterebbe un irrigidimento e un rallentamento del mercato, con danno per i consumatori stessi.
Nel caso di specie, il Tribunale in primo luogo ha ritenuto provata l’adozione da parte del PSP di un sistema adeguato alla normativa e che gli ordini di pagamento risultavano correttamente autenticati, ancorché disposti contro la volontà consapevole dell’attore.
In secondo luogo, ha ritenuto provata la colpa grave dell’attore; dalla operatività del conto documentata attraverso i log e i tabulati degli alert prodotti dalla convenuta, risultava infatti la negligente cooperazione del cliente, il quale doveva avere messo a disposizione di terzi i codici di volta in volta solo a lui inviati.
È stata quindi esaminata la doglianza dell’attore secondo cui la frequenza dei pagamenti, disposti in un breve lasso di tempo, e la tipologia di operazioni (ossia bonifici istantanei, in precedenza mai disposti), avrebbero dovuto indurre il PSP a sospendere le operazioni di pagamento prima di darne esecuzione, o quantomeno ad avvertire il cliente.
Sul punto, il Tribunale ha rilevato come l’obbligo di monitoraggio e di sospensione dei pagamenti (o di qualche altra forma di intervento) in caso di “anomalia” degli stessi, non sia sancito esplicitamente dalla normativa di riferimento, e nemmeno possa ricavarsi dall’obbligo di buona fede nell’esecuzione del contratto.
Scrive il Giudice: «un obbligo di monitoraggio, preordinato a prevenire operazioni anomale per il loro ammontare o frequenza, non è contemplato né all’art. 8 d.gs. 11/2010, né all’art. 70 dir. 2366/2015/UE. Ai PSP, già onerati da una responsabilità aggravata, anche per fattori sconosciuti, è consentito di fornire la prova liberatoria della colpa grave dei propri utenti pagatori, per le condotte gravemente negligenti inerenti alla relativa sfera di influenza con violazione di obblighi di custodia espressamente incombenti sui medesimi ai sensi degli artt. 7 D.lgs. 11/2010 e 69 Dir. 2366/2015/UE. Se il legislatore europeo avesse voluto introdurre un obbligo di monitoraggio preordinato ad un obbligo di sospensione dell’esecuzione del contratto (o di qualche altra forma di intervento) lo avrebbe inevitabilmente sancito, avendo predisposto una dettagliata disciplina di riparto di responsabilità ed obblighi. E invece, laddove ha previsto un obbligo di monitoraggio, non l’ha mai correlato a un dovere di intervento preventivo, evidentemente per evitare prevedibili, frequenti e potenzialmente pregiudizievoli intoppi del mercato dei servizi di pagamento».
Sicché, rilevato come tutte le operazioni compiute dai truffatori risultassero accompagnate da una mail di alert, senza che fosse seguita una reazione da parte dell’attore, e in difetto di previsioni contrattuali che imponessero e regolamentassero interventi telefonici di qualsiasi tipo, il Tribunale di Milano ha quindi concluso per l’esclusione di qualsiasi responsabilità della Banca.
Tribunale di Milano, sentenza del 28.02.2023, n. 1596.
Avv. Riccardo Stefan – avvstefan@casaeassociati.it
