SOMMARIO:
1. I servizi collegati alle carte di pagamento tipo “bancomat”;
2. La sicurezza delle carte di pagamento tipo “bancomat”;
3. I servizi bancari on line e la loro sicurezza;
4. Le clausole contrattuali ed il d.lgs. 27 gennaio 2010 n. 11;
5. La responsabilità per le operazioni contestate
1. I servizi collegati alle carte di pagamento tipo “bancomat”.
La quasi totalità dei titolari di un conto corrente bancario o presso le poste italiane
ha una tessera che consente di effettuare prelevamenti presso sportelli automatici o pagamenti, chiamata comunemente bancomat (per le poste postamat), anche se in realtà il circuito bancomat (ed il relativo marchio registrato) è solo quello gestito da Consorzio Bancomat, un consorzio composto da banche (praticamente tutte), intermediari finanziari ed altri soggetti autorizzati ad operare nell’area dei servizi di pagamento. Si tratta quindi di carte di debito (così dette per distinguerle dalle carte di credito che, anche se a saldo, presuppongono un affidamento concesso dall’emittente con una dilazione di pagamento) attraverso le quali il titolare può disporre in maniera automatica, in vario modo, delle sole disponibilità del suo conto. Tali carte di pagamento sono in genere multifunzione, vale a dire consentono, con le stesse modalità o con modalità specifiche, di accedere a più circuiti distinti di pagamento. Così attraverso il circuito bancomat è possibile effettuare prelevamenti di contante presso sportelli automatici (di solito installati presso banche o, in minima parte, altrove) contraddistinti dal marchio bancomat (atm, automatic teller machine, casse automatiche); attraverso il circuito pagobancomat è possibile effettuare pagamenti nei confronti di soggetti convenzionati attraverso appositi pos (point of sale, punti di vendita o più semplicemente lettori di carta); attraverso il circuito Cirrus è possibile effettuare prelevamenti su atm che utilizzano questo circuito, anche all’estero; attraverso il circuito Maestro è possibile effettuare pagamenti su pos che utilizzano questo circuito, anche all’estero; attraverso il circuito Fastpay è possibile effettuare il pagamento di alcuni servizi quali i pedaggi autostradali e parcheggi, e così via. Sono poi implementabili nuovi servizi e/o circuiti e gli stessi atm possono essere evoluti, utilizzando la carta anche come chiave per accedere a servizi di banca automatica per fare versamenti e pagamenti come bonifici, ricariche di cellulari, etc. Non solo quindi nel tempo i servizi collegati a queste carte di pagamento sono aumentati esponenzialmente, ma sono aumentati anche i limiti per singola operazione e giornalieri e mensili, anche grazie all’interconnessione delle reti e dei circuiti che consentono un controllo in tempo reale della effettiva disponibilità del conto corrente, per cui anche se ancora ciò è limitato agli sportelli automatici della propria banca o, per le banche appartenenti a grandi gruppi bancari, a quelli delle banche del gruppo, è oggi possibile movimentare in tal modo per pagamenti mensilmente qualche decina di migliaia di euro (su alcune banche i limiti mensili si attestano intorno ai 25.000 euro). Su tali carte di debito può infine essere implementata anche una vera e propria carta di credito, ma in questo caso si tratta di una carta bifronte nella quale le due funzioni non solo sono distinte dal punto di vista funzionale ma anche dal punto di vista giuridico, avendo le carte di credito diversa regolamentazione ed anche la controparte contrattuale può essere diversa (per la funzione di carta di debito la propria banca, per quella di carta di credito la società emittente della carta di credito).
2. La sicurezza delle carte di pagamento tipo “bancomat”.
La sicurezza di queste carte di debito dal lato del cliente, che è il più delicato, si basa essenzialmente su due caposaldi il cui uso contemporaneo garantisce la correttezza dell’operazione. Il primo è ovviamente la carta stessa al cui interno sono memorizzati i suoi dati identificativi ed un primo codice che consente l’accesso ai servizi. Ma si tratta di un caposaldo debole per tre motivi: il primo è che tali dati possono essere letti agevolmente e non necessariamente da un lettore “legittimo”; il secondo è che, in dipendenza del sistema di memorizzazione sulla carta di questi dati, alla lettura può conseguire la costruzione da parte di malintenzionati di un “duplicato” della stessa (cd. clonazione); il terzo è che se ne può perdere la disponibilità materiale. I primi due elementi di criticità sono essenzialmente dovuti al fatto che il sistema bancomat ha previsto per decenni carte a banda magnetica per le quali le informazioni di identificazione della carta sono scritte nella banda, leggibili totalmente da un lettore facilmente disponibile e copiabili su di un altro supporto realizzandosi così la clonazione della carta che può essere utilizzata allo stesso modo di quella clonata. Si sono introdotte alcune misure di sicurezza (ad esempio ad ogni prelievo viene scritto sulla banda un codice che rende possibile accorgersi se la carta usata per il successivo non è la stessa) ma per ovviare completamente a tale inconveniente l’unico modo è la sostituzione della banda magnetica con un microchip, che consente, oltre ad una maggiore memoria, la possibilità di effettuare elaborazioni, e quindi anche operazioni di crittografia, al suo interno e sostanzialmente impedisce la sua clonazione. La sostituzione delle carte con altre che hanno sia la banda magnetica che il microchip è in corso di completamento, ma il nuovo sistema potrà ovviamente essere usato con carattere di esclusiva solo quando tutti gli atm e tutti i pos, anche all’estero, avranno tale tecnologia, per cui ci vorrà ancora del tempo. Nel frattempo il possesso di una carta a microchip non mette totalmente al riparo dalle clonazioni considerato che può ancora essere usata con la sola banda magnetica. Al terzo elemento di criticità (la perdita della materiale disponibilità della carta) viene fatto fronte con il secondo caposaldo, vale a dire l’uso di un pin (personal identification number o numero di identificazione personale) da utilizzarsi insieme alla carta stessa. Fuori dai casi di clonazione (nei quali il pin viene acquisito dai malintenzionati più o meno contestualmente all’acquisizione dei dati della carta originale, tramite telecamere, finte tastiere o analoghi sistemi alterando gli atm con skimmer che leggono e memorizzano i dati contenuti nella banda magnetica oppure alterando fisicamente i pos, magari entrando nottetempo negli esercizi dove sono usati, con sistemi che memorizzano contemporaneamente i dati della carta ed il pin usato) è il pin che garantisce la robustezza del sistema. Ad eccezione del servizio fastpay (per il quale è sufficiente la sola carta, trattandosi di operazioni di importo ridotto) e di alcune operazioni effettuate tramite il circuito Maestro per le quali può essere richiesta la sottoscrizione di una memoria di spesa invece del pin, il pin è indispensabile per poter utilizzare la carta. Si tratta di un codice numerico a 5 cifre la cui inesatta digitazione per 3 volte consecutive comporta la disabilitazione della carta che viene anche catturata dal terminale quando possibile. Per utilizzare con una sufficiente sicurezza queste carte è quindi imprescindibile che il cliente adotti tutte le necessarie misure per garantire la segretezza del pin e l’unica veramente efficace è quella di impararlo a memoria. A parte l’assoluta trascuratezza di chi l’annota insieme alla carta, l’utilizzare sistemi ritenuti “furbi” quale l’annotazione insieme ad altri numeri o peggio l’inserimento nella rubrica del cellulare in genere non ferma il borseggiatore tipo dall’individuarlo se è venuto in possesso anche del supporto che lo contiene. Fuori dai casi di clonazione l’unico altro modo perché un malintenzionato possa venire in possesso del pin nel caso acquisisca il possesso abusivo della carta è quello di aver visto, in genere poco prima dello spossessamento, il titolare digitarlo su un atm od un pos per cui altra norma di prudenza è quella di coprire con la mano la tastiera od adottare analoghi accorgimenti. Poco o nulla può fare invece il titolare nel caso di clonazione considerato che non è sempre possibile accorgersi dell’alterazione dell’atm (anche se è bene verificare che non ci siano parti di esso disposte in modo diverso dall’usuale ed evitare che eventuali telecamere inquadrino la digitazione del pin) e ciò è del tutto impossibile nel caso di pos alterati internamente che ovviamente all’esterno non presentano alcun segno di manomissione. Ulteriori elementi di sicurezza del sistema sono i controlli in fase di consegna della carta e del pin (spediti separatamente quando inviati per posta e con procedure di attivazione telefoniche registrate nel corso delle quali vengono verificati dati personali del titolare) e la possibilità per il titolare di bloccare telefonicamente in qualsiasi momento la carta attraverso un numero di emergenza, di norma gratuito. Sistemi di identificazione biometrica (impronte digitali, impronta dell’iride e simili) allo stato sono difficilmente implementabili e non ne è probabile l’uso nell’immediato futuro (a parte i problemi di adeguamento degli apparati di cui è un esempio evidente il tempo necessario, anni, per il passaggio dalla banda magnetica al chip).
3. I servizi bancari on line e la loro sicurezza.
Fino a diversi anni fa le carte tipo “bancomat” erano l’unico modo per i clienti retail di effettuare alcune operazioni bancarie in forma elettronica fuori da quelli che erano i canali tradizionali, vale a dire lo sportello e la corrispondenza. Anche se tale ultimo modo di impartire disposizioni è ormai poco usato dai più (ma ancora frequentissimo in ambito commerciale), non si dimentichi che il conto corrente bancario è nato come conto di corrispondenza e che la banca assume tutt’ora nei contratti l’obbligo di eseguire disposizioni che le vengano recapitate anche per corrispondenza con una sottoscrizione conforme a quella dello specimen di firma rilasciato dal cliente. Con l’avvento di internet e con la possibilità per tutti di collegarsi alla rete globale anche da casa, le banche hanno incominciato ad offrire servizi on line di home banking che consentono l’effettuazione di operazioni bancarie tramite la rete ed oggi tale servizio è un accessorio di quasi tutti i conti correnti bancari (addirittura sono nate banche che operano esclusivamente o quasi esclusivamente on line). Chiunque abbia un accesso ad internet può quindi, concludendo un apposito contratto o appendice contrattuale con la propria banca, utilizzare questo canale per controllare le operazioni che vengono registrate sul proprio conto corrente, per effettuare pagamenti (bonifici, mav, rav, conti correnti postali, ricariche per cellulari, F24, etc.), altre disposizioni (la scelta della frequenza dell’invio dell’estratto conto, rendicontazione on line, accensione e revoca di rid, etc.), compravendita di strumenti finanziari con informazioni sull’andamento dei mercati. Come per le carte di pagamento, ci possono essere, sempre entro la disponibilità del conto corrente, dei limiti operativi che però in molti casi possono arrivare a consentire pagamenti di qualche decina di migliaia di euro al giorno e di qualche centinaio di migliaia di euro al mese (per sistemi non propriamente di home banking i limiti possono essere anche molto più alti). La connessione utilizzata tra il computer del cliente ed il server della banca è sicura (viene usato il protocollo standard SSL), vale a dire una volta instaurata non è possibile per soggetti estranei mettere in chiaro i relativi dati, per cui i maggiori punti critici sono, come per le carte di pagamento, lato utente e riguardano sia le procedure di autenticazione che la macchina usata (intesa come complesso hardware/software). Per quanto riguarda l’autenticazione dell’utente il minimo accettabile di sicurezza è un sistema che accanto al tradizionale user id (fisso) e ad una password, segreta e scelta dall’utente, in genere di non meno di 6, 7 caratteri alfanumerici, avente determinate caratteristiche di robustezza, abbia una terza password, sempre segreta e scelta dall’utente, in genere di non meno di 8 caratteri alfanumerici, da utilizzare solo per le operazioni dispositive e quindi in un numero di casi più limitato dei singoli accessi. Tali password hanno una loro scadenza, in genere due o tre mesi e l’accesso viene bloccato in caso di digitazione errata oltre un certo numero di volte (in genere 5). Con questo sistema è essenziale che l’utente custodisca diligentemente le chiavi di accesso (le password) che egli solo conosce e che impedisca a terzi di venirne in possesso, bloccandole avvertendo la banca nel caso anche solo ne ipotizzi la compromissione. Negli ultimi anni ha avuto notevole diffusione il fenomeno del cd. phishing (da to fish, pescare) con il quale attraverso l’invio di mail tramite i normali canali di spam (mail spazzatura inviate a milioni di destinatari i cui indirizzi sono costruiti a caso o presi da internet attraverso registrazioni su siti, newsgroup, forum, etc.) dei malintenzionati cercano di carpire i codici di accesso personali dei destinatari. Attraverso banali tecniche di ingegneria sociale (promessa di un premio, falsa esigenza di sistemazione dati, avvertimenti su operazioni inesistenti) si cerca infatti di innescare nel destinatario una reazione compulsiva diretta a far cliccare un link presente nella mail, link che fa aprire nel browser del computer dell’incauto utente un sito web, presso server dei Paesi più strani, spesso asiatici, quasi identico a quello della propria banca (nel caso ovviamente il destinatario del messaggio abbia un rapporto con quella banca menzionata nel messaggio). Quasi identico perché per carpire la terza password, vale a dire quella dispositiva, non dovendo di solito il soggetto effettuare tale operazione per l’accesso, occorre fargliela digitare e uno dei modi è proporre una schermata iniziale in cui sia presente anche quel campo. Francamente, anche per i messaggi di phishing costruiti meglio, stupisce come soggetti che usano la rete per una attività comunque delicata come l’home banking abbocchino alla trappola, tanto più che dopo i primi casi tutti i siti delle banche hanno riportato e riportano in home page la descrizione del fenomeno e come e cosa fare per evitare di fornire propri dati personali delicati agli autori di tali mail. Ma anche a prescindere da tali avvertimenti l’evitare di cliccare su link presenti in mail (comportamento che gli internauti dovrebbero aver insito dato che la maggioranza dei virus informatici è stata propagata in questo modo ben prima dei primi casi di phishing) senza prima verificarli (e non ci vuole molto per vedere l’url dissimulato che ovviamente non è quello della propria banca) o, in caso di dubbi, accedere al sito della propria banca non cliccando all’interno del testo della mail ma direttamente digitando il conosciuto url dal browser, sono da ritenere comportamenti mediamente diligenti e tali da considerare comportamenti diversi come caratterizzati da colpa grave. Ancora di più stupisce quello che si potrebbe definire come “phishing di secondo livello”, vale a dire il reclutamento (al fine di rendere più complesse le indagini e di rendere meno efficaci i controlli euristici implementati dalle banche), attraverso sempre mail di spam, di soggetti che dietro il miraggio di uno pseudo lavoro si prestano a comunicare i dati del proprio conto corrente sul quale verranno diretti i bonifici on line frutto della illecita acquisizione delle password e ad effettuare a loro volta bonifici od altre operazioni a favore dei criminali (trattenendone una piccola parte a titolo di provvigione) con la certezza, non solo di trovarsi invischiati in un procedimento penale e di dover quindi affrontare notevoli spese per la difesa, non essendo tra l’altro facile far poi risultare la propria buona fede, ma di essere costretti, sul piano civilistico, a restituire tutto quanto ricevuto (e non solo quanto trattenuto) al titolare del conto da cui provengono i fondi a titolo di indebito oggettivo (art. 2033 c.c.). Le password possono essere carpite anche alterando, attraverso codice “malevolo”, il computer usato dal cliente, codice implementato anche attraverso le comuni tecniche di diffusione di virus informatici. Tali programmi possono semplicemente catturare le password quando vengono digitate ed inviarle attraverso la rete ai malintenzionati oppure ridirigere le chiamate ad un sito ad un altro. Il tutto si evita proteggendo efficacemente il proprio computer con le tecniche che dovrebbero comunque essere utilizzate per realizzare le misure minime di sicurezza obbligatorie ai sensi del d.lgs. 196/2003 (codice sulla protezione dei dati personali). Ovviamente con tale sistema di autenticazione non si deve mai utilizzare, inserendo la password dispositiva, un computer di cui non si ha l’assoluto controllo e che quindi sia insicuro per definizione (ad esempio un internet point e simili). Rimangono infine gli altri modi classici con cui dei malintenzionati possono appropriarsi delle password per via non informatica in caso di non diligente custodia delle stesse (tra l’altro la necessità di cambiarle periodicamente rende più difficile memorizzarle). In molti casi sono state addirittura carpite ed usate da familiari dell’utente. Negli ultimi tempi si stanno diffondendo altri sistemi di autenticazione basati sui cosidetti token. Si tratta di dispositivi elettronici portatili di piccolissime dimensioni (all’incirca come una penna usb) alimentati a batteria al litio con autonomia di qualche anno con un piccolo schermo lcd ed un pulsante. Attraverso un algoritmo questi dispositivi generano una serie di password sempre diverse tra loro che vengono quindi digitate dall’utente sul pc, normalmente in abbinamento al codice utente ed a un’altra password scelta dall’utente (sostanzialmente con funzione di pin) per l’accesso iniziale e per ogni operazione dispositiva. L’algoritmo implementato nel token fa sì che le password generate da tale strumento siano identiche, per i rapporti facenti capo all’utente, a quelle generate da altro simile algoritmo all’interno del server della banca. Ci sono due tipi di token: quello per cui la generazione della password dipende dal solo fatto che venga chiesta e costituisce l’equivalente informatico di una lista cartacea predefinita di password in sequenza usa e getta, lista che alcune banche hanno già utilizzato al posto del primo sistema sopra descritto, nel quale l’uso di una qualsiasi delle password seguente inibisce l’uso di quelle precedenti e quello, di gran lunga migliore (dato che il primo tipo non esclude che un soggetto non nel possesso attuale del token possa avere la password valida per aver avuto anche pochissimo tempo la disponibilità materiale dello strumento, potendo la chiave essere generata anche prima finché non ne viene usata un’altra) per cui la generazione della password dipende solo dalla data e dal tempo in cui la password è generata, cosicché in un intervallo di tempo di circa 30 secondi c’è solo una ed una sola password valida in quel momento. Ovviamente anche utilizzando il token occorre ricordarsi di assicurare la segretezza dell’altra password (pin) da utilizzare in contemporanea con quella generata dallo strumento, dato che il token potrebbe essere sottratto e quindi non annotarla insieme al token stesso ma impararla a memoria. E’ da rilevare che l’introduzione dei token ha generato qualche malumore nell’utenza dato che non tutti gradiscono l’idea di portarsi dietro un dispositivo fisico, anche se di piccole dimensioni, e quando è stata offerta l’opzione tra i diversi sistemi (o nei periodi di transizione in cui potevano essere usati entrambi i sistemi) molti hanno rifiutato di munirsi del token nonostante i vantaggi sopra esposti. Per questo motivo, oltre che per la necessità di doversi collegare fisicamente al computer usato ed ai superiori costi di sistema, non hanno avuto molto successo sistemi di autenticazione basati su certificati digitali (qualificati o non qualificati) consegnati dalla banca all’utente su smart card a microprocessore o su altri tipi di supporti il cui funzionamento è simile a quello di quando sarà completamente implementato il sistema di chip e pin per le carte di pagamento. Stesso discorso (si pensi ad esempio agli inaccettabili tempi di latenza per il trading on line) per l’uso di cellulari come dispositivi di autenticazione indipendenti dal computer: in tali casi, avvenuto l’inserimento dei dati relativi all’operazione sul computer dell’utente, il sistema invia un sms di richiesta dell’autorizzazione al cellulare del cliente e l’operazione viene autenticata solo se l’utente risponde a tale sms. Si ricorda comunque che l’uso di un dispositivo esterno è sempre da collegare ad un pin di protezione ed all’esigenza di avvertire subito la banca nel caso se ne perda la disponibilità per farne bloccare l’utilizzo. Sistemi di autenticazione biometrici per l’home banking sono allo stato difficilmente implementabili in sistemi non della banca e tramite la rete e quindi non ne è previsto l’uso nel prossimo futuro. Ulteriori elementi di sicurezza del sistema sono l’invio, facoltativo, di sms dopo la disposizione di bonifici od altre operazioni di pagamento (che però nel caso di bonifici urgenti o di altre operazioni in cui l’esecuzione è immediata non assicura il recupero del maltolto neanche nel caso in cui il ricevente avverta subito la banca essendo il trasferimento di denaro già avvenuto) e l’utilizzo di tecniche euristiche implementate nei sistemi informatici della banca per il monitoraggio e segnalazione automatica di operazioni ritenute anomale.
4. Le clausole contrattuali ed il d.lgs. 27 gennaio 2010 n. 11.
Contenute nei contratti di conto corrente o in moduli contrattuali a sé stanti, le clausole contrattuali che disciplinano le carte tipo “bancomat”, il cui contratto intercorre con la banca presso cui si ha il conto corrente di riferimento (mentre accordi e rapporti con soggetti facenti parte dei relativi circuiti sono di esclusiva competenza della banca che quindi nei confronti del cliente risponde anche di inadempienze attribuibili a questi ultimi), sono abbastanza uniformi tra loro a causa della necessaria adesione a consorzi o circuiti che hanno regole identiche che devono necessariamente essere recepite dai singoli aderenti, essendo unico il servizio. Lo spazio per variazioni sostanziali nello schema di contratto adottato dalla singola banca, pur possibile, è quindi minimo. Nei contratti è così normalmente previsto che (con le eccezioni sopra viste) solo l’uso congiunto della carta e del pin identifica e legittima il cliente a disporre del conto corrente con modalità elettroniche; che la carta è di proprietà della banca e non può essere ceduta a terzi; che, oltre al limite massimo della disponibilità del conto, ci sono limiti fissi la cui misura può essere contrattabile e variabile nel corso del tempo a secondo dell’evoluzione dei servizi. Inoltre il titolare è tenuto contrattualmente a custodire con ogni cura la carta ed il pin e resta responsabile di ogni conseguenza dannosa che può derivare dall’abuso o dall’uso illecito della carta e del pin, ferma restando la particolare disciplina per il caso di smarrimento o sottrazione della carta da sola o unitamente al pin. Nel caso di smarrimento o sottrazione della carta, da sola o unitamente al pin, è previsto che il titolare deve: – chiedere immediatamente il blocco della carta medesima, telefonando, in qualunque momento del giorno e della notte, al numero indicato nelle istruzioni; – comunicare almeno le informazioni indispensabili per procedere al blocco della carta e cioè: nome, cognome, luogo e data di nascita del titolare medesimo; – precisare il giorno e l’ora in cui si è verificato o ha rilevato l’evento; – denunciare l’accaduto all’Autorità giudiziaria o di polizia. Nel corso della telefonata l’operatore comunica al titolare il numero di blocco. Successivamente e comunque entro 2 giorni lavorativi bancari da quello della telefonata, il titolare deve confermare l’avvenuta segnalazione di blocco alla banca personalmente o mediante fax, raccomandata o telegramma, fornendo copia della denuncia presentata all’Autorità giudiziaria o di polizia. Per la raccomandata in genere è previsto che fa fede la data di invio. Nel caso di impossibilità di utilizzo del numero speciale il titolare è tenuto comunque a segnalare nel più breve tempo possibile l’accaduto alla banca, personalmente ovvero mediante fax, lettera raccomandata o telegramma e fornire successivamente copia della denuncia presentata all’Autorità giudiziaria o di polizia. Appena ricevute le segnalazioni di cui sopra, la banca provvede al blocco della Carta ed in genere è previsto che le spese sostenute per il blocco sono a carico del titolare. I contratti poi prevedono che la comunicazione di smarrimento o sottrazione è comunque opponibile alla banca: – immediatamente, nel caso di comunicazione effettuata personalmente, o a mezzo dell’apposito servizio telefonico; – da x ore, in genere 24, del giorno di ricezione da parte della banca della comunicazione inviata per corrispondenza o per telegramma. Oggi inoltre i contratti prevedono che per le perdite derivanti da eventuali prelievi fraudolenti in caso di smarrimento o sottrazione della carta, da sola o unitamente al pin, il cliente è responsabile fino al momento in cui può essere opponibile alla banca la segnalazione di smarrimento o sottrazione nei limiti di 150 euro, fatti però salvi i casi di dolo o colpa grave del titolare della carta ricorrendo i quali la responsabilità rimane invece piena. La previsione relativamente nuova di questi contratti è quindi che nel caso di smarrimento o sottrazione della carta il cliente è responsabile prima del blocco della stessa solo fino a 150 euro salvi i casi di suo dolo o colpa grave. Ciò prende le mosse dalla raccomandazione 97/489/CE, come tale però non vincolante sul piano giuridico, della Commissione delle Comunità europee del 2 agosto 1997 che in riferimento alle operazioni effettuate mediante strumenti di pagamento elettronici, pur ribadendo tra l’altro l’obbligo per il titolare di prendere tutte le ragionevoli precauzioni utili al fine di tenere al sicuro lo strumento e gli elementi (come il pin o altro codice) che ne consentono l’impiego, di notificare, dopo esserne venuto a conoscenza, all’emittente la perdita o il furto dello strumento di pagamento o errori nelle registrazioni contabili e di non trascrivere il proprio codice d’identificazione personale od ogni altro codice in una forma facilmente riconoscibile, in particolare sullo strumento di pagamento elettronico o su ogni altro oggetto che abitualmente conserva o porta con tale strumento, prevedeva, prima del blocco conseguente alla comunicazione, un massimale di 150 Ecu a carico del cliente a meno appunto che non ci fosse dolo oppure il titolare avesse agito con colpa grave violando gli obblighi sopra descritti. Come si scriverà infra invece oggi esiste una cornice normativa che prevede necessariamente una simile regolamentazione, almeno se le controparti sono consumatori o microimprese. Per quanto riguarda i servizi on line le norme contrattuali, inserite nel contratto base di conto corrente o in moduli contrattuali a sé stanti, ne descrivono l’oggetto e le modalità di accesso. Il cliente viene avvertito che l’utilizzo dei codici di accesso comporta l’automatica attribuzione delle istruzioni ricevute, con immediato effetto sugli strumenti finanziari e valori di sua pertinenza e quindi si obbliga a custodirli con la massima cura e riservatezza, impegnandosi a non trasferirli o a rivelarli a terzi, né a conservarli insieme o annotarli in un unico documento e resta responsabile di ogni conseguenza dannosa che possa derivare dall’abuso o dall’uso illecito dei codici di accesso. Inoltre il cliente si obbliga, in caso di furto o smarrimento dei codici, ad avvertire la banca attraverso un numero di emergenza a ciò dedicato. In genere viene anche pattuito che le parti, tenuto conto della particolare natura dei servizi, attribuiscono efficacia probatoria alle scritture ricavabili dai sistemi e dalle procedure informatiche utilizzate per il funzionamento dei servizi stessi. Seguono poi ulteriori pattuizioni di dettaglio e gli avvertimenti previsti dalla normativa in materia di intermediazione finanziaria tra cui il rischio di moltiplicazione delle operazioni in titoli nell’ambito di una operatività intraday. Su questo panorama contrattuale è intervenuto il d.lgs. 27 gennaio 2010 n. 11, in attuazione delle direttiva 2007/64/CE (cd. PSD, payment services directive) relativa ai servizi di pagamento nel mercato interno, entrato in vigore il 1 marzo 2010. Interessanti i considerando 32, 33, 34 e 35 della direttiva a cui è stata data attuazione, che dimostrano come il legislatore europeo si sia mosso nel solco della precedente raccomandazione: “32. Al fine di incentivare l’utente dei servizi di pagamento a notificare senza indugio al suo prestatore l’eventuale furto o perdita di uno strumento di pagamento e di ridurre pertanto il rischio di operazioni di pagamento non autorizzate, occorre prevedere che l’utente debba rispondere per solo un importo limitato, a meno che non abbia agito in modo fraudolento o con grave negligenza. Inoltre, una volta che l’utente ha notificato al prestatore di servizi di pagamento il rischio di uso fraudolento del suo strumento di pagamento, non dovrebbe essere tenuto a coprire eventuali perdite supplementari derivanti dall’uso non autorizzato di tale strumento. La presente direttiva lascia impregiudicate le responsabilità dei prestatori di servizi di pagamento per la sicurezza tecnica dei loro prodotti. 33. Per valutare l’eventuale negligenza dell’utente di servizi di pagamento dovrebbero essere prese in considerazione tutte le circostanze. Le prove e il grado della presunta negligenza dovrebbero essere valutati sulla base del diritto nazionale. Le clausole e le condizioni contrattuali per la fornitura e l’uso di uno strumento di pagamento, il cui effetto sarebbe quello di aumentare l’onere della prova per il consumatore o ridurre l’onere della prova per l’emittente, andrebbero considerate nulle e prive di effetti. 34. Tuttavia, gli Stati membri dovrebbero poter stabilire regole meno rigide di quelle summenzionate al fine di mantenere gli attuali livelli di tutela dei consumatori e promuovere la fiducia nell’uso sicuro degli strumenti di pagamento elettronici. Dovrebbe essere preso in considerazione il fatto che differenti strumenti di pagamento comportano rischi differenti, promuovendo in tal modo l’emissione di strumenti più sicuri. Gli Stati membri dovrebbero poter eliminare parzialmente o totalmente la responsabilità del pagatore tranne nel caso in cui abbia agito in modo fraudolento. 35. Occorre prevedere delle disposizioni per la ripartizione delle perdite in caso di operazioni di pagamento non autorizzate. Disposizioni diverse possono applicarsi agli utenti di servizi di pagamento qualora essi siano utenti professionali, in quanto tali utenti sono normalmente in grado di valutare il rischio di frode e di adottare contromisure.” Le disposizioni del d.lgs. 11/2010 che interessano ai fini del presente scritto e che si applicano, senza possibilità di deroga, solo ai consumatori ed alle microimprese sono le seguenti. L’art. 7, che prevede l’obbligo dell’utilizzatore dello strumento di pagamento di utilizzarlo in conformità con i termini esplicitati nel contratto quadro, di adottare le misure necessarie a garantire la sicurezza dei dispositivi personalizzati e di comunicare senza indugio, secondo le modalità prescritte nel contratto quadro il furto, l’appropriazione indebita o l’uso non autorizzato dello strumento non appena ne viene a conoscenza. L’art. 8, che tra l’altro prevede l’obbligo del prestatore di servizi di pagamento di assicurare che i dispositivi personalizzati non siano accessibili a soggetti diversi dall’utilizzatore legittimato, fatti salvi gli obblighi posti in capo a quest’ultimo dall’art. 7, di assicurare che ci siano i servizi per cui l’utilizzatore possa effettuare la comunicazione in caso di furto, smarrimento ed uso non autorizzato e di impedire qualsiasi utilizzo dello strumento di pagamento successivo alla comunicazione. Lo stesso articolo inoltre chiarisce che i rischi derivanti dalla spedizione di uno strumento di pagamento o dei relativi dispositivi personalizzati che ne consentono l’utilizzo sono a carico del prestatore dei servizi. L’art. 12, che pone i limiti della responsabilità del pagatore per l’utilizzo non autorizzato degli strumenti di pagamento stabilendo i seguenti principi: 1) il pagatore ovviamente non è responsabile dopo la comunicazione di blocco al prestatore dei servizi oppure nel caso non abbia potuto fare tale comunicazione per fatto imputabile al prestatore dei servizi a meno che abbia agito in modo fraudolento; 2) prima della comunicazione, nel caso di furto o di smarrimento dello strumento di pagamento, l’utilizzatore sopporta una perdita massima di 150 euro, ulteriormente riducibili con regolamento di Banca d’Italia nel caso di strumenti di pagamento aventi particolari caratteristiche di sicurezza, a meno che abbia agito con dolo o colpa grave ovvero non abbia adottato le misure idonee a garantire la sicurezza dei dispositivi personalizzati; 3) prima della comunicazione, nel caso di operazioni di pagamento non autorizzate, l’utilizzatore sopporta una perdita massima di 150 euro, ulteriormente riducibili con regolamento di Banca d’Italia nel caso di strumenti di pagamento aventi particolari caratteristiche di sicurezza, a meno che abbia agito in modo fraudolento oppure non abbia adempiuto ad uno o più obblighi di cui all’art. 7 con dolo o colpa grave. Ai sensi dell’art. 9 inoltre la comunicazione di operazioni non autorizzate o eseguite in maniera inesatta deve essere fatta al più tardi entro 13 mesi dalla data di addebito a meno che il prestatore abbia omesso di mettere a disposizione del prestatore le informazioni relative all’operazione. Tale termine deve quindi intendersi di decadenza. Infine l’art. 10 prevede che qualora l’utilizzatore neghi di aver autorizzato un’operazione di pagamento o sostenga che questa non sia stata correttamente eseguita è onere del prestatore di servizi di pagamento provare che l’operazione è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti. Inoltre l’utilizzo di uno strumento di pagamento registrato dal prestatore non è di per sé sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utilizzatore medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave agli obblighi su di esso gravanti.
5. La responsabilità per le operazioni contestate.
Se è vero che in generale il cliente può astrattamente limitarsi alla contestazione dell’operazione ed è onere probatorio della banca quello relativo al corretto adempimento delle proprie obbligazioni, in concreto non si tratta di una probatio diabolica . E ciò neanche dopo l’art. 10 del d.lgs. 11/2010 menzionato alla fine del paragrafo precedente dato che questo, che richiama pedissequamente la direttiva europea di cui è attuazione che doveva comunque tenere presente una pluralità di diversi ordinamenti giuridici nazionali, poco innova nel nostro ordinamento ai normali principi della responsabilità contrattuale, già caratterizzati dal fatto che è il debitore a dover dimostrare l’esatto adempimento. Solo il secondo comma di tale articolo, anche se la frase “non è di per sé necessariamente sufficiente” lascia ampio spazio alla valutazione del giudice, rende indispensabile che il giudice effettui una motivazione leggermente più ampia rispetto a quella fondata unicamente sull’utilizzo di uno strumento di pagamento registrato dal prestatore dei servizi di pagamento. Anche a prescindere da tale disposizione speciale l’onere di provare che l’operazione è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti, era già comunque, secondo il nostro ordinamento, della banca. Per superare questo onere sono però sufficienti delle presunzioni, anche semplici ex art. 2729 c.c., quindi lasciate alla prudenza del giudice in base a circostanze gravi, precise e concordanti (sull’ammissibilità di presunzioni semplici in caso di inversione dell’onere probatorio cfr. Cass. 5 dicembre 2008, n. 28839; Cass. 1 febbraio 2000 n. 1087). Inoltre l’onere probatorio della banca è comunque temperato dalle allegazioni e contestazioni della controparte: se già da queste emerge che si tratta di un furto di un bancomat o di un caso di phishing è evidente che non è di alcuna utilità andare a verificare il corretto funzionamento del sistema informatico della banca, dato che già esiste una presunzione grave, precisa e concordante su come è stato compiuto l’illecito lamentato e che questo con il corretto funzionamento del sistema informativo della banca nulla ha a che vedere. Qualora invece sia effettivamente rilevante, in considerazione di quello che è l’effettivo thema decidendum e non come purtroppo avviene in alcuni casi per mera pigrizia del giudice, verificare tali aspetti, l’onere probatorio in merito può essere adempiuto attraverso la richiesta e l’espletamento di una consulenza tecnica di ufficio, dovendosi necessariamente addivenire ad una verifica di tipo tecnico dell’idoneità dei sistemi della banca. E’ comunque da sottolineare che tali consulenze non possono consistere, specie se espletate ad anni dal fatto quando magari quei sistemi sono stati sostituiti da altri, in una sorta di investigazione informatica sul campo con il ctu che accede materialmente alle singole macchine (cosa che tra l’altro sarebbe inutile), ma devono necessariamente fare riferimento ai log di sistema ed alla documentazione interna relativa alla procedure di gestione e di sicurezza. Leggendo ctu espletate in simili materie emerge che nella quasi totalità dei casi il perito non accede fisicamente ai sistemi bancari ma si limita ad analizzare le stampe dei log ed i documenti descrittivi delle procedure utilizzate. Tra l’altro se per assurdo i sistemi della banca fossero “bucabili” ci sarebbero ben altre conseguenze oggettive ed un coinvolgimento di un numero di clienti nettamente superiore, tant’è che già l’assenza di questo costituisce una presunzione grave, precisa e concordante a favore della banca. Si veda ad esempio Trib. Firenze, 2 dicembre 2009, n. 3834, inedita (all. 1) che, in presenza di presunzioni su come si erano svolti dei fatti, esclude la possibilità di deficienze del sistema informatico della banca dal fatto che “il sistema di gestione on line dei conti correnti, come descritto dalla banca, è un sistema testato e che non risulta aver subito effrazioni. Non vi è in atti, non è stata offerta né richiesta, alcuna prova del funzionamento difettoso del sistema di protezione. L’allegazione di parte attrice è rimasta del tutto generica e la descrizione del funzionamento del sistema, in astratto e nel caso concreto, ha trovato conferma nelle risultanze documentali (registrazioni elettroniche) di parte convenuta ”. Malfunzionamenti od alterazioni di singoli apparati “esterni”, quali atm e pos sono facilmente verificabili dalle loro registrazioni interne. Si veda ad esempio l’interessante caso di cui alla decisione n. 155 del 25 marzo 2010 dell’Arbitro bancario finanziario dove un contestato doppio addebito di un’operazione bancomat è stato escluso dalle registrazioni del giornale di fondo dell’atm che evidenziava due operazioni con la stessa carta e stesso pin ad un minuto di distanza e dal fatto che la quadratura di cassa sull’atm non aveva evidenziato alcuna eccedenza. Emblematico il caso oggetto di Cass. 12 giugno 2007 n. 13777 nel quale un soggetto al quale era stata catturata la propria carta bancomat da un atm e rassicurato dal fatto che subito dopo gli era stata consegnata un’altra carta con servizi più ampi emessa su sua richiesta, si era visto effettuare dei prelievi circa un mese dopo con l’uso della carta “catturata”. La Cassazione ha infatti ritenuto che il Tribunale (che come il giudice di primo grado aveva respinto la domanda in quanto il cliente non aveva segnalato la cattura) in sede di impugnazione non avesse delibato e motivato sull’ulteriore questione, proposta come motivo di appello, se la banca fosse o meno responsabile per non aver garantito la sicurezza dell’apparecchiatura “allorquando la carta viene catturata dall’apparecchio dell’ATM a causa di una manomissione ”. Si ignora come e se la vicenda sia finita nel giudizio di rinvio, ma pur non avendo nella specie pronunciato la Cassazione un principio di diritto né avendo sindacato in positivo la motivazione (il vizio della sentenza impugnata consisteva solo in una omessa pronuncia su un motivo di appello), è evidente come la mancata assicurazione della sicurezza delle singole apparecchiature esterne imputabile comunque alla banca (il fatto che si tratti di atm o pos nella disponibilità di altre banche od altri soggetti non toglie il fatto che, per la prestazione del servizio di pagamento, questi possono considerarsi come ausiliari della banca che lo presta) possa prevalere su mancati accorgimenti del singolo (coprire la mano, esaminare attentamente l’atm, etc.) diretti a prevenire, ad esempio, la captazione del pin. Allo stesso modo non è possibile dubitare (salvo casi di frode o di concorso rilevante di colpa del cliente che devono comunque essere provati dalla banca) che la banca sia totalmente responsabile nei casi di clonazione. La clonazione infatti non dipende da inadempienze del cliente (che è meramente passivo ed impossibilitato il più delle volte ad accorgersi dell’alterazione dell’atm o del pos) ma è una conseguenza di come è strutturato il sistema ed una debolezza di quest’ultimo che non può essere addebitata all’incolpevole cliente, ma a chi fornisce il servizio considerato tra l’altro che lo strumento di identificazione rimane nelle mani del cliente stesso. Tra l’altro i casi di clonazione sono facilmente individuabili a posteriori considerato che si tratta di una raccolta seriale di dati (estremi della carta e pin) fatta nello stesso atm o pos, cosicché verificando le operazioni compiute prima di quelle contestate si evidenzia, a livello di circuito, che più carte di più clienti e di diverse banche hanno fatto una medesima operazione presso la stessa apparecchiatura in epoca prossima a quelle contestate. Ovviamente la clonazione, presupponendo una duplicazione della carta, nulla c’entra con i casi in cui la carta viene sottratta al titolare e stupisce, anche perché la cosa è evidente, che ciò nonostante qualcuno provi a sostenere il contrario, salvo ovviamente essere “bacchettato” dal giudice di turno: al riguardo si veda Trib. Roma 24 giugno 2008 n. 13760, inedita (all. 2) o la decisione n. 154 del 25 marzo 2010 dell’Arbitro bancario finanziario in cui il cliente aveva sostenuto la clonazione, in rapida successione, addirittura di 4 carte di debito utilizzate, anche per operazioni non contestate, esclusivamente presso gli stessi due atm, senza che fosse segnalata una situazione simile per altri clienti dell’intermediario. Ancora la banca è responsabile per sottrazioni (salvi ovviamente, dato che ciò vale per qualsiasi fattispecie, sempre la frode o il dolo del cliente) avvenute prima della consegna del mezzo di pagamento (carta, pin, etc) al titolare, con l’unica eccezione per cui la modalità più rischiosa (ad esempio spedizione postale) sia stata scelta espressamente a proprio rischio dal cliente non consumatore o microimpresa (l’art. 8 del d.lgs. 11/2010 esclude alla radice ogni possibile responsabilità per tale fatto in capo a tali due ultime categorie). Come sopra scritto il cliente è responsabile della custodia della carta, del pin e dei codici di accesso ai servizi on line. Il perderne la disponibilità per non aver ottemperato a tale obbligo può quindi costituire un inadempimento per non avere adempiuto a tali obblighi di custodia (cfr. Trib. Roma 24 giugno 2008 n. 13760, cit.). Poiché il pin deve essere memorizzato e non tenuto insieme allo strumento fisico di accesso, anche dissimulato tra altre carte o con sistemi che vengono subito scoperti dal borseggiatore di turno, in tale caso le operazioni compiute prima del blocco della carta costituiscono senz’altro colpa grave e comunque l’ulteriore fattispecie di non aver adottato le misure idonee a garantire la sicurezza dei dispositivi personalizzati che consentono l’uso del dispositivo di pagamento di cui al terzo comma dell’art. 12 d.lgs. 11/2010. Stupisce (o forse no tenuto conto dell’attuale moralità generale) che in più casi di questo genere (compreso quello oggetto della sentenza appena citata) il cliente, contrariamente ad ogni evidenza, dichiari di non aver tenuto il pin insieme alla carta. Ora l’unico modo, la cui astratta possibilità è facilmente verificabile, in cui ciò sarebbe teoricamente possibile, è che il pin sia stato carpito nel corso di una operazione legittima immediatamente precedente non avendo però il cliente adottato le più elementari cautele per impedirlo: se viene rubata la carta è infatti escluso l’uso delle più raffinate tecniche di apprensione del pin utilizzate per la clonazione dato che in questo caso i malintenzionati clonerebbero anche la carta evitando il rischio di un furto e la conseguente possibilità di blocco immediato della carta da parte della vittima. Anche quando fosse teoricamente possibile questo caso (ma nella stragrande maggioranza dei casi dall’esame delle operazioni precedenti ciò è escluso) la responsabilità è comunque del cliente che non ha custodito bene la carta e si è fatto carpire il pin. Inoltre il fatto che esiste un modo per bloccare subito la carta, se da un lato fonda la responsabilità della banca nel caso non sia disponibile o non funzioni, dall’altro aggrava la responsabilità del cliente che non lo usa nell’imminenza della sottrazione della carta, anche perché contrattualmente è obbligato ad usarlo in tutti i casi in cui ne perde la materiale disponibilità a prescindere dalla ragione (e quindi anche in caso di cattura della carta da parte di sportelli automatici, motivo per cui nel caso oggetto di Cass. 13777/97 sopra citato era stata esclusa dai giudici di merito la responsabilità della banca). In questo senso Trib. Roma 24 giugno 2008 n. 13760, cit. (che ha posto l’accento sull’ora e 12 minuti tra il furto ed il blocco durante i quali sono state compiute le operazioni contestate) e le prime pronunce in merito dell’Arbitro bancario finanziario come la decisione n. 59 del 16 febbraio 2010, nella quale il titolare della carta è stato ritenuto essere in colpa grave per aver tenuto, nonostante negasse, il pin con la carta dato che è lo stretto lasso di tempo (dieci minuti) intercorso tra il furto della borsetta e i due prelievi fraudolenti a far presumere che il pin non solo fosse contenuto nella borsetta rubata, ma fosse altresì facilmente individuabile e relazionabile alla carta bancomat o la decisione del 2 marzo 2010 n. 71 che fa leva ancora sulla necessaria utilizzabilità del pin e sul ritardo del blocco. Ciò posto il grado di colpa è ancora più elevato, con conseguente esclusione di ogni responsabilità della banca, quando il blocco sia stato ritardato (in alcuni casi addirittura per giorni) a causa dell’avere la vittima ricevuto, subito dopo il furto, telefonate di sedicenti operatori delle forze dell’ordine e/o sedicenti dipendenti della banca che la assicuravano di aver ritrovato il maltolto, dato che l’obbligo contrattuale di usare il sistema a ciò predisposto (numero dedicato) in tutti i casi in cui non si abbia più la disponibilità della carta è tassativo ed una tale ipotesi (senza neanche effettuare una telefonata di controllo ad un numero di cui si conosce con sicurezza l’autenticità) è sintomo di colpa gravissima, non grave. Qualora non venga usato il pin ma la sottoscrizione del titolare sull’ordine di addebito insieme alla carta nei casi consentiti, va ricordato che potendosi tradizionalmente accettare sul conto corrente anche disposizioni per corrispondenza, purché munite della sottoscrizione del titolare conforme allo specimen, possono essere utilizzati i principi già elaborati dalla giurisprudenza in tema (specie con riferimento agli assegni bancari) per cui la diligenza da impiegare non è certo quella di un perito calligrafo ma quella ordinaria, cosicché la difformità deve risultare ictu oculi, non essendo richiesto che la banca faccia ricorso a speciali competenze grafologiche (cfr. tra tutte Cass. 15 luglio 2005 n. 15066; Cass. 23 dicembre 1993, n. 12761, in Banca, borsa, ecc., 1995, II, 1, Cass. 29 giugno 1981, n. 4209, in Foro it., 1982, I, 472, Cass. 7 luglio 1982, n. 4043, in Foro it., 1982, I, 2843 e Cass. 9 maggio 1985, n. 2885 in Giur. it., 1986, I, 1, 242, il cui orientamento è seguito anche dalle Corti di merito: cfr. ad esempio da ultimo Trib. Milano, 16 dicembre 1991, in Banca, borsa, ecc., 1993, II, 574 che ha ritenuto che “pur se la firma di traenza appaia incerta e confusa, qualora i segni grafici in essa rilevati appaiono uguali alle precedenti sottoscrizioni … la banca è tenuta al pagamento della somma portata nel titolo“, App. Brescia, 9 aprile 1986, in Foro it. , 1986, I, 2590). Tra l’altro l’uso di carta e pin o delle credenziali di accesso ai servizi on line costituisce delle firme elettroniche (anche se non qualificate) che possono integrare anche la forma scritta ai sensi del comma 1 bis dell’art. 20 del d.lgs. 7 marzo 2005 n. 82 (codice dell’amministrazione digitale). Anche per quanto riguarda i servizi on line l’omessa custodia delle credenziali di accesso costituisce in generale colpa grave. In riferimento ai casi di phishing, l’”abboccare” ad email sostanzialmente di spam dopo che da anni i siti di tutte le banche riportano la descrizione del fenomeno e di come comportarsi ed il fatto che, con un minimo di diligenza, l’inganno è facilmente verificabile (tra l’altro basterebbe accedere direttamente al sito della propria banca senza utilizzare il link presente nella mail, comportamento tra l’altro da attuare in tutti i casi come misura di sicurezza) costituisce senz’altro colpa grave. Lo stesso utilizzare macchine non sicure, ad esempio in viaggio (come sembra essere accaduto nel caso oggetto di Trib. Firenze, 2 dicembre 2009, n. 3834, cit.) per compiere operazioni dispositive o non proteggere la propria macchina con le misure minime di sicurezza prescritte anche per la tutela dei dati personali (firewall, antivirus aggiornato, etc.). Dato che i sistemi di autenticazione on line sono in evoluzione, si è comunque posto il problema della responsabilità della banca nel caso il sistema proposto da quest’ultima possa essere considerato oggettivamente come poco sicuro od obsoleto. In generale va ritenuto che il sistema di autenticazione è compreso nell’oggetto del servizio offerto e che una volta che siano state esplicitate correttamente ed esaurientemente le sue caratteristiche (in maniera che non ci sia una carenza informativa della controparte) la scelta se aderire ad un tale servizio o eventualmente rivolgersi alla concorrenza è del cliente che ne sopporta anche le conseguenze. In particolare non si può pretendere che tutte le banche offrano il sistema più sicuro esistente in quel momento. Questo perché la sua implementazione può portare per il cliente oneri (economici e non) ritenuti da questo eccessivi: si pensi ad esempio al sostanziale fallimento dell’uso di certificati digitali qualificati per l’home banking, sia per i maggiori costi per il cliente collegati alla loro emissione e rinnovo, sia soprattutto per la maggiore difficoltà di uso collegata ad un dispositivo fisico sicuro esterno al computer (ed il più delle volte necessitante di installazione) che li contenga. Addirittura, fuori dal settore bancario, la Cassa Nazionale di Previdenza ed Assistenza Forense, che si rivolgeva a soggetti, avvocati, la cui netta maggioranza è, a prescindere, in possesso di firma digitale e di certificati digitali qualificati (necessari per l’accesso ai servizi del processo civile telematico), è dovuta tornare, per l’invio delle dichiarazioni annuali reddituali al più semplice sistema della user id e password, dopo aver sperimentato, con esiti evidentemente non soddisfacenti, il sistema della firma digitale. A contrario non si può ritenere esente da responsabilità una banca che, immotivatamente, offra un sistema di autenticazione palesemente inadeguato. Questo è stato il caso di Trib. Palermo, 20 dicembre 2009 (pubblicata da Il Sole 24 ore) che ha ritenuto responsabile Poste Italiane in quanto all’epoca dei fatti l’unico pin richiesto era di sole 4 cifre, mentre l’identificativo utente corrispondeva all’indirizzo email dell’attrice presso poste italiane peraltro facilmente ricavabile (tali indirizzi hanno infatti standard fissi collegati a nome e cognome o codice fiscale del cliente). Inoltre nella specie c’era stato anche l’inadempimento da parte dell’intermediario all’obbligo contrattuale di comunicare al cliente l’effettuazione del bonifico per posta elettronica e non era stata data prova dell’esistenza di un obbligo contrattuale in capo al cliente relativo alla custodia dei codici. Il Tribunale ha infatti fatto applicazione dell’art. 15 d.lgs. 196/06 (relativo al risarcimento del danno per trattamento dei dati personali) ritenendo che il fornitore del servizio non avesse adottato le misure di sicurezza minime necessarie, misure adottate tra l’altro a quell’epoca dalla quasi totalità degli altri prestatori di simili servizi. Occorre quindi che il sistema di autenticazione offerto, pur non essendo il “migliore” in assoluto (in concreto il cliente può accettare rischi più elevati in funzione della facilità di uso o di altri fattori per lui ritenuto importanti), riduca in maniera ragionevole il rischio di accessi non autorizzati. Per questo è da ritenere che ancora oggi (considerato anche il tempo necessario per l’implementazione di nuove tecnologie su servizi già esistenti) il sistema minimo accettabile di autenticazione, idoneo quindi a non fondare solo per ciò stesso responsabilità della banca sia (cfr. il par. 3) quello che prevede accanto al tradizionale user id (fisso ma non banale) una password, segreta, scelta dall’utente e modificabile, in genere di non meno di 6, 7 caratteri alfanumerici, avente determinate caratteristiche di robustezza ed una terza password, sempre segreta, scelta dall’utente e modificabile, in genere di non meno di 8 caratteri alfanumerici, da utilizzare solo per le operazioni dispositive e quindi in un numero di casi più limitato dei singoli accessi. Naturalmente, allo stato attuale della tecnica, l’introduzione, in via esclusiva, o in alternativa ad altri sistemi di autenticazione a scelta del cliente, di un token time based (cfr. in merito il par. 3) appare sempre di più uno sviluppo imprescindibile dei vari servizi di home banking collegato all’evoluzione delle tecnologie ed all’ampliamento degli standard minimi di sicurezza, anche se ciò non deve far dimenticare eventuali diverse esigenze del cliente (e non a caso in banche che offrono il doppio sistema o hanno previsto un regime di transizione molti clienti rifiutano ancora il token). Stupiscono quindi alcune recenti pronunce dell’Arbitro bancario finanziario come la decisione n. 33 del 10 febbraio 2010 che, in contrasto con i principi di Trib. Firenze, 2 dicembre 2009, n. 3834, cit. (tra l’altro la pronuncia dell’Arbitro appena citata richiama erroneamente Cass. 12 giugno 2007 n. 13777, cit. che , cfr. supra, ha tutt’altra valenza ed altre due sentenze della Cassazione che però riguardano fattispecie completamente diverse), hanno apoditticamente e senza un’attenta analisi del fenomeno (nella pronuncia prima citata si fa infatti riferimento all’adozione di tutte le precauzioni e l’istituzione di tutti i presidi di sicurezza adeguati allo scopo e resi accessibili dall’evoluzione scientifica e tecnologica, per cui assurdamente anche il token sarebbe inadeguato), ritenuto esistente un concorso di colpa della banca tra l’altro, senza ancora ragioni specifiche, in maniera assai diversa tra loro: il 75% quella appena citata, il 25 % la n. 46 del 15 febbraio 2010 ed il 50% la n. 87 del 3 marzo 2010. Ovviamente la banca non può essere responsabile di alterazioni dei sistemi informatici utilizzati dai clienti o di violazioni da parte di questi ultimi del dovere di custodia dei codici o degli strumenti di accesso. In concreto si sono verificati casi in cui i codici di accesso sono stati carpiti da tecnici di computer chiamati dal cliente o da congiunti o amici di quest’ultimo: è evidente che di ciò non può rispondere il prestatore del servizio di pagamento ma esclusivamente l’utente. Nel caso si utilizzi un token costituisce colpa grave del cliente il tenere la password insieme al dispositivo fisico che rende possibile utilizzare il sistema da terzi in caso di furto o di smarrimento di entrambi. In riferimento al cd. phishing di secondo livello (cfr. par. 3) l’”ingenuo” soggetto sul cui conto vengono effettuati i bonifici sarà inevitabilmente tenuto al rimborso di quanto indebitamente ricevuto ai sensi dell’art. 2033 c.c. a prescindere dal fatto che abbia già trasferito secondo le istruzioni ricevute dagli autori dell’illecito le somme ed a tal riguardo il Tribunale di Milano ha recentemente concesso a favore della vittima e contro il titolare del conto presso cui erano stati effettuati i bonifici una ordinanza ingiuntiva immediatamente esecutiva ex art. 186 ter c.p.c. che ha sostanzialmente messo fine alla controversia ben prima della conclusione del giudizio, poi abbandonato. Molte banche implementano anche un sistema di avviso attivabile dall’utente a mezzo sms ma, a parte che in genere non è implementato per tutte le forme di pagamento on line ma solo per i bonifici o poche altre operazioni, questo può prevenire (in caso di disattivazione fa comunque partire un sms di avviso al cellulare precedentemente registrato) con sicurezza (anche se comunque può servire a scongiurare qualche frode) solo ulteriori operazioni considerato che l’eventuale chiamata al servizio clienti della banca non può fermare quelle operazioni di pagamento che vengono effettuate in modo pressoché istantaneo come ad esempio bonifici urgenti e simili. In ogni caso anche quando le somme siano uscite dalla sfera di disponibilità della banca al momento dell’avviso da parte del cliente o di autonomi accertamenti della banca stessa, questa è tenuta (argomentando anche dagli obblighi di protezione secondo il principio di buona fede ex art. 1375 c.c.) a fare il possibile, secondo la diligenza del buon banchiere e con esclusione di azioni giudiziarie o di attività eccessivamente onerose, per mettere il cliente in condizioni di recuperare il maltolto (chiedendo ad esempio alle banche destinatarie dei bonifici di bloccare quanto ricevuto) oppure di poter agire contro eventuali obbligati, ad esempio contro il beneficiario dei bonifici considerando che l’utente del servizio non è in grado di conoscerne le generalità complete senza la collaborazione della propria banca, che a sua volta dovrà chiederle a quella destinataria dell’operazione. Inadempimenti a tali obbligazioni possono condurre al risarcimento del danno direttamente causato, ad esempio nel caso risultasse che un intervento tempestivo della banca avrebbe potuto evitare la materiale apprensione della somme da parte del destinatario.
Prof. Avv. Massimo Eroli Università degli Studi di Perugia
In allegato:
1) Trib. Firenze, 2 dicembre 2009, n. 3834
2) Trib. Roma 24 giugno 2008 n. 13760
Scrivi un commento
Accedi per poter inserire un commento