Truffe bancarie online: la normativa

Operazioni non autorizzate e truffe bancarie online: la materia è regolata, oltre che dalle norme generali in tema di adempimento delle obbligazioni e sulla diligenza del mandatario (art. 1710 c.c.) e della banca nell’“Esecuzione d’incarichi” (art. 1856 c.c.), dal D.lgs. 27.01.2010, n. 11, come modificato dal D.lgs. 15.12.2017, n. 218, che ha recepito la direttiva UE PSD2 sui servizi di pagamento nel mercato interno, entrato in vigore il 13.01.2018.

Perché un’operazione bancaria sia valida è indispensabile il consenso del consumatore?

Sì. Secondo quanto previsto dall’art. 5, 1° comma, d.lgs. 11/2010, “il consenso del pagatore è un elemento necessario per la corretta esecuzione di un’operazione di pagamento. In assenza del consenso, un’operazione di pagamento non può considerarsi autorizzata”.

Se il consumatore disconosce l’operazione, che cosa è tenuta a provare la Banca?

L’art. 10, primo comma, d.lgs. 10/2011 prevede inoltre che “qualora l'utilizzatore di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”.

La gestione e mitigazione dei rischi: le tutele del cliente. Cos’è l’autenticazione forte?

Gli intermediari devono sviluppare al proprio interno un processo di gestione e mitigazione dei rischi che si basa su meccanismi di riconoscimento della frode, gestione della stessa e approntamento di misure per evitare che essa si ripeta.

Ogni operazione di pagamento può essere eseguita solo a seguito della cd. “autenticazione forte” (“strong customer authentication”, cd SCA”), disciplinata dagli artt. 97 e 98 della PSD 2, nonché dalle norme tecniche di regolamentazione emanate dall’EBA, recepite con Regolamento Delegato UE 2018/389 della Commissione Europea, applicabile a far data dal 14.09.2019, anche sulla base dei criteri interpretativi forniti dall’EBA, autorità indipendente dell'Unione europea (UE), che opera per assicurare un livello di regolamentazione e di vigilanza prudenziale efficace e uniforme nel settore bancario europeo (si veda in argomento il parere del 21.06.2019). [http://www.dirittobancario.it/news/servizi-di-pagamento/psd2-parere-eba-autenticazione-forte-del-cliente]

Il diritto al rimborso, quando è  escluso?

Nel caso in cui i suddetti presidi non riescano a evitare che si incorra in una frode, i clienti sono tutelati da specifiche previsioni di legge - contenute principalmente nella PSD2 - che riconoscono il diritto al rimborso degli importi indebitamente addebitati; il cliente ha, in via generale, 13 mesi di tempo dall’addebito per chiedere il rimborso di un’operazione che non ritiene sia stata da lui autorizzata o correttamente eseguita dall’intermediario.

ATTENZIONE

Ai sensi dell’art. 10, secondo comma,  in presenza di un’operazione per la quali il clienti neghi la propria autorizzazione, l’utilizzo di uno strumento di pagamento registrato e l’adempimento al dovere di autenticazione forte, non è sufficiente per addossare al cliente le conseguente di un’operazione non autorizzata (“Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”).

La responsabilità dell’utilizzatore resta dunque circoscritta ai casi di:

comportamento fraudolento del medesimo

ovvero al suo doloso o gravemente colposo inadempimento agli obblighi che l’art. 7 del decreto pone a suo carico (utilizzo dello strumento di pagamento in conformità ai patti contenuti nell’accordo quadro che regola il servizio, tempestiva denuncia di furto, smarrimento, distruzione o altro uso non autorizzato dello strumento).

Qualora non sia ravvisabile una siffatta responsabilità del cliente utilizzatore del servizio di pagamento, quest’ultimo non è tenuto a sopportare le conseguenze dell’uso fraudolento e/o non autorizzato del mezzo di pagamento se non nei limiti, eventualmente stabiliti per via negoziale, di una “franchigia” non superiore a 50 euro (art. 12, commi 1° e 4°, D.Lgs. 11/2010).

NOTA BENE

L’onere della prova del comportamento fraudolento o gravemente colposo del cliente, ai sensi dell’art. 10, comma 2° del d.lgs. n. 11/2010, grava sul prestatore del servizio di pagamento (“È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”).

Sul punto, si vedano:

la Decisione n. 22745/2019 del Collegio di Coordinamento Arbitro Bancario Finanziario, con la quale è affermato “che la previsione normativa diretta a porre in modo esplicito l’onere della prova a carico del PSP è contenuta in un complesso di norme (quelle del decreto legislativo n. 218/2017) volte ad introdurre nella legge che regola la materia dei servizi di pagamento disposizioni rafforzative del «regime di speciale protezione e di altrettanto speciale favor probatorio a beneficio degli utilizzatori», cui si fa riferimento nell’Ordinanza con richiamo a varie pronunce del Collegio di coordinamento. E in effetti la nuova disposizione sull’onere probatorio di cui al comma 2 dell’art. 10 va a potenziare la tutela dell’utente il quale, nell’utilizzo degli strumenti di pagamento, può restare vittima di attività fraudolente che, allo stato delle conoscenze tecnologiche, possono prevalere sui presidi di sicurezza approntati dal PSP, senza che al comportamento dell’utilizzatore possa riconoscersi alcuna efficienza causale (o quanto meno non determinante) nella produzione del fatto illecito.”

Cass. Civile. n. 9158/2018: “In tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema, va ricondotta al rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Qualora un correntista, vittima di una frode telematica, disconosca un'operazione di bonifico effettuata sul proprio conto corrente incombe sulla banca l'onere di provare non solo di avere adottato tutte le misure idonee a garantire la sicurezza del servizio, ma anche la riconducibilità dell'operazione al cliente”.

Per informazioni e assistenza chiama il numero 06 948 070 41 o compila il modulo di contatto dello sportello online.