La regolamentazione normativa e la prassi giurisprudenziale in tema di tutela dei correntisti e responsabilità dei prestatori di servizi di pagamento, rivela, ad ormai oltre un decennio dalla sua introduzione, punti critici, sollevando al contempo interrogativi in merito alla sua complessiva idoneità a raggiungere, a livello di sistema, un equilibrio soddisfacente tra i contrapposti interessi. I risultati concreti cui il sistema normativo in parola, nella sua applicazione pratica, perviene sollevano altresì, in secondo luogo, dubbi anche in punto di efficienza delle risposte giuridiche fornite dall’ordinamento nel settore di riferimento. Per l’approfondimento, si consiglia il volume Il Cyberbullismo e i reati dell’era digitale, con cui si inquadra il contesto normativo nazionale ed europeo, disponibile su Shop Maggioli e su Amazon.
Indice
1. La normativa di riferimento, tra incompletezze e prassi giudiziarie insoddisfacenti
Il fenomeno del phishing bancario [e di sue varianti come lo smishing, il vishing o il man in the browser (MITB)] è sempre più diffuso; la sua regolamentazione normativa è rinvenibile, in attuazione della direttiva 2007/64/CE, nel d. lgs. n. 27 gennaio 2010 n. 11, come modificato dal d. lgs. n. 218 del 15 dicembre 2017.
Emerge d’immediato, dall’analisi del testo normativo, una sua palese incompletezza che nella prassi giudiziaria, stando alle risultanze degli annali di giurisprudenza e alle opinioni a riguardo espresse dal formante dottrinale, altera il quadro di tutela a tutto vantaggio degli intermediari bancari.
Il riferimento è, chiaramente, al disposto dell’art. 11 il quale prevede, in ogni caso di operazione disconosciuta dal cliente l’obbligo in capo all’intermediario di rifondere il valore dell’operazione entro la fine della giornata lavorativa successiva a quella in cui prende atto dell’operazione o riceve una comunicazione in merito salvo il caso di motivato sospetto di frode ai sensi del successivo comma 2.
È evidente la volontà di tutelare il correntista; se non che, la mancata previsione di una sanzione per l’inadempimento di tale obbligo da parte dell’intermediario di fatto rende la disposizione totalmente inapplicata a vantaggio di una forma criptica di autotutela dell’intermediario che inverte il disegno del legislatore obbligando il risparmiatore ad agire in giudizio.
Se la Corte di Cassazione, sul punto, nella pronuncia n. 10638 del 2016 ha affermato testualmente che “Il d. lgs. n. 11 del 2010 prevede che, qualora l’utente neghi di aver autorizzato un’operazione di pagamento già effettuata, l’onere di provare la genuinità della transazione ricade essenzialmente sul prestatore del servizio. Nel contempo obbliga quest’ultimo a rifondere con sostanziale immediatezza il correntista in caso di operazione disconosciuta, tranne ove vi sia motivato sospetto di frode e salva naturalmente per il prestatore di servizi di pagamento di dimostrare, anche in un momento successivo, che l’operazione di pagamento era stata autorizzata con consequenziale diritto di richiedere e ottenere, in tal caso, dall’utilizzatore, la restituzione dell’importo rimborsato”, più esplicita è la dottrina occupatasi del tema la quale ha ribadito che la “portata fortemente innovativa della norma in commento sta proprio nel fatto che esclude la prassi vigente di autotutela del fornitore, il quale, giunto alla conclusione della responsabilità dell’utente, provvede ad addebitargli il conto per l’importo dovuto, ponendolo nella condizione – ove ritenga di aver ragione – di dover effettuare contestazioni e, in caso negativo, iniziative giudiziali, lungo le quali l’addebito permane. Al contrario la presente disciplina inverte il gioco: se l’utente contesta, il fornitore, anche se certo delle proprie ragioni, non può procedere all’addebito del conto e, se lo ha fatto, dovrà tornare sui propri passi […] finché non sia accertato, eventualmente in sede giudiziaria il suo diritto di rivalersi sull’utente[1]”. Per l’approfondimento, si consiglia il volume Il Cyberbullismo e i reati dell’era digitale, con cui si inquadra il contesto normativo nazionale ed europeo, disponibile su Shop Maggioli e su Amazon.
Il Cyberbullismo e i reati dell’era digitale
Bullismo e cyberbullismo sono tra le principali problematiche con le quali bambini e adolescenti si trovano a far fronte nei loro contesti di vita quotidiani. Il presente volume analizza questi due fenomeni attraverso un approccio interdisciplinare, alla luce della nuova Legge n. 70/2024, che ha apportato significative modifiche alla Legge n. 71/2017 (Prevenzione e contrasto dei fenomeni del bullismo e del cyberbullismo). Con la presente opera si inquadra il contesto normativo nazionale ed europeo, ivi compresa la tutela dei dati personali dei minori, il quadro costituzionale a sostegno della legge n. 71/2017 e le procedure cautelari-amministrative in essa previste. Sono analizzati i possibili reati, sia contro la persona che contro il patrimonio, che le varie condotte di bullismo e di cyberbullismo possono integrare e i profili nei quali possono attuarsi (hate speech, flaming, sexting, sextortion, revenge porn, cyberstalking, happy slapping, harassment, doxing, denigration). Il testo, corredato da riferimenti normativi nonché da utili prospetti con le linee giurisprudenziali più recenti, è diretto agli operatori del diritto, ma anche agli operatori scolastici e attivi nel sociale, oltre che naturalmente a tutti quei genitori che abbiano la volontà o la necessità di approfondire in maniera tecnica le loro conoscenze, ponendosi come valido strumento operativo e di ausilio nei diversi ambiti professionali coinvolti.Paolo Emilio De SimoneMagistrato presso il Tribunale di Roma.Mariella SpataAvvocato specializzato in diritto amministrativo, diritto pubblico dell’economia e in diritto europeo
Paolo Emilio De Simone, Mariella Spata | Maggioli Editore 2024
26.60 €
2. La colpa grave del correntista nella responsabilità per phishing
Poste le superiori premesse, la sentenza annotata chiarisce come nel giudizio instauratosi successivamente al disconoscimento, il dolo o la colpa grave del correntista richiesta dalla normativa non si possano presumere ma debbano essere provate, anche a mezzo di presunzioni, da parte dell’intermediario sul quale grave l’onere di provare la riconducibilità dell’operazione alla volontà del correntista e/o la sua grave negligenza.
La ratio sottesa al d.lgs. n. 11 del 2010 è, come espresso in dottrina[1], quella di un inasprimento del regime di responsabilità dell’intermediario rispetto al previgente sistema.
Nell’adottare la disciplina e nell’aggiornarla il legislatore europeo ha adottato, come noto, un modello di tutela consolidato nella legislazione consumeristica avendo introdotto un’inversione dell’onere della prova realizzato per mezzo di una norma imperativa e non derogabile, pertanto, dall’autonomia privata[2] .
Il legislatore comunitario, sin dalla prima formulazione della normativa in oggetto, ha inteso perseguire una efficiente allocazione del rischio in grado di prevenire e reprimere gli esiti inefficienti derivanti da comportamenti non rispettosi, sul versante dell’impresa, della predisposizione di sistemi di sicurezza adeguati e, sul versante dell’utente, della diligenza nella custodia dello strumento di pagamento e delle relative credenziali.
Lungo questo crinale teorico corre l’accertamento in concreto di una eventuale colpa grave del correntista.
La giurisprudenza di legittimità non pare, tuttavia, aver ancora raggiunto una risposta completamente soddisfacente in punto di tipizzazione del concetto di colpa grave in questa materia. Due riferimenti appaiono, in tal senso, emblematici: in primis Cass. civ. sez. I n. 7214/2023 a mente della quale il comportamento del correntista vittima di phishing integra la colpa grave richiesta dalla normativa di settore.
In secondo luogo, e contra, Cass. Civ. sez. III n. 3780/2024 giusta la quale, attesa la natura contrattuale della responsabilità della banca l’intermediario deve provare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente che può essere richiesto al debitore nell’adempimento dell’obbligazione secondo buona fede; in tal senso ben può essere decisiva la mancata attivazione dello strumento dello sms alert a favore del correntista posto che, l’illecita captazione delle credenziali, è una eventualità che rientra nel rischio dell’impresa bancaria.
Potrebbero interessarti anche:
Note
[1] Così, testualmente, O. Troiano e V. Cuocci, in La nuova disciplina dei servizi di pagamento. Commentario al d. lgs. 27 gennaio 2010, n. 11, G. Giappichelli editore, pagg. 138 e ss.
[2] Il riferimento sul punto è a R. Frau, PRELEVAMENTI ILLECITI DAL BANCOMAT E RESPONSABILITÀ DELLA BANCA, in Resp. Civile e Previdenza, fasc.1, 2017, pag. 219.
[3] Vedi 72esimo Considerando Dir. 2366/2015.
Scrivi un commento
Accedi per poter inserire un commento