Home » Diritto bancario/finanziario » L'utilizzo fraudolento di bancomat e carte di credito

L'utilizzo fraudolento di bancomat e carte di credito

1. LA NATURA GIURIDICA
 
Tra gli strumenti finanziari messi a disposizione del cliente dall'istituto bancario, bancomat e carte di debito assumono un ruolo centrale per il prelievo di denaro contante e il pagamento di beni e servizi quotidiani. In tempi recenti l'utilizzo delle carte di pagamento è notevolmente cresciuto diffondendosi capillarmente, ma, di pari passo, anche l'uso fraudolento di detti strumenti ha subito una vistosa impennata.

Accanto ad episodi malauguratamente familiari, quali la sottrazione fisica della carta (furto o smarrimento) e delle relative credenziali, lo sviluppo tecnologico e informatico ha partorito casi di frode avanzata: non solo è stato possibile "clonare" le carte, oppure carpirne i codici identificativi tramite dispositivi wireless occultati nei pressi delle macchine per il prelievo automatico, ma si è approfittato deirapporti sempre più "computerizzati" con l'intermediario finanziario per sottrarre illegalmente informazioni con tecniche digitali. Ne sono un esempio gli invii di e-mail che inducono a collegarsi al sito della banca (c.d. phishing) indirizzando poi il cliente su una piattaforma "copia" così da conoscere le credenziali utilizzate per l'accesso, oppure la diffusione di virus informatici (c.d. trojan-banking) che annidandosi nei computer consentono di ottenere il medesimo risultato di illecita appropriazione.

Per tali ragioni, il contenzioso in materia tra clienti ed intermediari è costantemente aumentato ponendo in primo piano la questione circa l'individuazione e attribuzione della rispettiva responsabilità in caso di utilizzo fraudolento.

L'Arbitro Bancario Finanziario (ABF) ha assunto un ruolo primario nella risoluzione delle controversie tra banche e clienti coinvolgenti l'utilizzo fraudolento delle carte di debito (bancomat); la normativa di riferimento attualmente vigente è rappresentata dal decreto legislativo 27 gennaio 2010, n. 11.

In primo luogo, il decreto ha provveduto a ripartire una serie di obblighi tra il prestatore di servizi di pagamento e l'utilizzatore di detti servizi.

Quanto agli obblighi a carico dell'utilizzatore degli strumenti di pagamento, l'art. 7 del D.Lgs. 11/2010 vi ricomprende il dover utilizzare lo strumento di pagamento "in conformità con i termini, esplicitati nel contratto quadro, che ne regolano l'emissione e l'uso" e il dover "comunicare senza indugio, secondo le modalità previste nel contratto quadro, al prestatore di servizi di pagamento o al soggetto da questo indicato lo smarrimento, il furto, l'appropriazione indebita o l'uso non autorizzato dello strumento non appena ne viene a conoscenza".

Inoltre, l'utilizzatore deve adottare "le misure idonee a garantire la sicurezza dei dispositivi personalizzati che ne consentono l'utilizzo", ad esempio conservare adeguatamente i codici PIN e altre informazioni correlate.

Per quanto riguarda il prestatore di servizi di pagamento, invece, il successivo art. 8 prevede l'obbligo di "assicurare che i dispositivi personalizzati che consentono l'utilizzo di uno strumento di pagamento non siano accessibili a soggetti diversi dall'utilizzatore legittimato", il dovere di "astenersi dall'inviare strumenti di pagamento non specificamente richiesti", eccetto i casi in cui uno strumento già consegnato all'utilizzatore debba essere sostituito, "assicurare che siano sempre disponibili strumenti adeguati" per consentire all'utilizzatore di comunicare lo smarrimento il furto, l'appropriazione indebita o l'uso non autorizzato della carta e, dopo tale comunicazione, "impedire qualsiasi utilizzo" dello strumento.

Si richiede pertanto, da ambedue le parti, la necessaria diligenza per evitare che gli strumenti finanziari possano essere utilizzati senza la necessaria autorizzazione o in maniera fraudolenta.

La legge mostra un chiaro favor probatorio nei confronti dell'utilizzatore, facendo ricadere sull'intermediario il rischio inerente all'utilizzazione dei mezzi di pagamento: la disparità di trattamento ha una giustificazione "social-commerciale", riconducibile al rischio d'impresa, "ossia all'idea secondo la quale è ragionevole far gravare i rischi statisticamente prevedibili legati ad attività oggettivamente 'pericolose', che interessano una vasta platea di consumatori o di utenti, sull'impresa, in quanto quest'ultima è in grado di distribuire su tale moltitudine il rischio dell'impiego fraudolento di carte di credito o di strumenti di pagamento, evitando che gravino direttamente ed esclusivamente sul singolo pagatore".

Per liberarsi da ogni responsabilità, la banca dovrà dimostrare che l'operazione è stata autorizzata dall'utilizzatore medesimo, oppure che questi abbia agito in modo fraudolento o non abbia adempiuto, con dolo o colpa grave, gli obblighi che la stessa legge prevede nei suoi confronti.

L'ABF, nel contenzioso affidatogli, ha fatto uso dei principi espressi dalla Corte di Cassazione riscontrando la "colpa grave" nella condotta di colui che agisce con straordinaria e inescusabile imprudenza e negligenza, omettendo non solo la diligenza media del "buon padre di famiglia" ma anche quel grado minimo di diligenza osservato dalla collettività, anche dalle persone "ordinariamente trascurate".

L'eventuale colpa grave del ricorrente non esclude che possa sussistere al contempo anche una colpa concorrente dell'intermediario per non aver utilizzato i sistemi di sicurezza maggiormente efficaci ed affidabili.

Condotte gravemente colpose "tipizzate" dall'Arbitro sono, ad esempio, l'aver conservato la carta unitamente al PIN; non aver diligentemente custodito la borsa o il portafogli che contenevano la carta; aver comunicato le proprie credenziali e il PIN a terzi; non aver comunicato tempestivamente lo smarrimento, il furto e l'utilizzo fraudolento dello strumento finanziario; non aver attivato gli strumenti di sicurezza resi disponibili dalla banca.

Se il cliente/utilizzatore adempie con diligenza gli oneri posti a suo carico, non sopporta alcuna perdita derivante dall'utilizzo di uno strumento di pagamento smarrito, sottratto o utilizzato indebitamente eccetto una franchigia di importo non superiore complessivamente a 150 euro; viceversa, se il cliente agisce in maniera fraudolenta non adempiendo a uno o più obblighi che la legge richiede, sopporta tutte le perdite derivanti da operazioni di pagamento non autorizzate.

2. LA CASISTICA IN ESAME E LE DECISIONI DELL'ARBITRO: furto del bancomat; responsabilità e onere probatorio; frode informatica

Il contenzioso affidato all'Arbitro Bancario Finanziario in materia di utilizzo fraudolento delle carte di debito ha conosciuto negli anni un esponenziale incremento. La casistica maggiormente ricorrente riguarda il furto della carta ed il suo utilizzo illegittimo, situazione nella quale il Collegio applica i principi del D.Lgs. 11/2010 per verificare se le parti hanno assolto gli obblighi posti a proprio carico e determinare il contestuale addebito di responsabilità.

L'ABF (Collegio di Roma), con decisione n. 4147 del 20 maggio 2015, ha valutato il ricorso di un titolare di carta Bancomat che subiva un raggiro mentre era presso lo sportello per effettuare un prelievo: veniva distratto e la sua carta sostituita con un'altra del tutto simile a quella in proprio possesso.

Solo dopo diversi giorni si accorgeva di numerosi prelievi/pagamenti non autorizzati e procedeva all'immediato blocco della carta e al disconoscimento delle operazioni illegittimamente effettuate.

Il ricorrente suppone che l'illecita acquisizione del PIN possa essere avvenuta tramite installazione di videocamere oppure con appostamenti nell'area adiacente soggetta a continui passaggi di persone.

Nonostante la truffa, la banca evidenzia la colpa grave del ricorrente per aver lasciato incustodita la carta, seppur momentaneamente, e aver permesso di carpire il PIN, senza mostrare la diligenza minima richiesta.

L'Arbitro evidenzia che in caso di furto effettuato con destrezza spetta alla banca convenuta dimostrare l'eventuale gravità della colpa commessa dal cliente, e va verificato il comportamento delle due parti, "entrambe tenute a specifici obblighi: la custodia e la segretezza delle credenziali informatiche, per quanto riguarda il cliente; l'affidabilità e la sicurezza complessiva del servizio di pagamento offerto al cliente, per quanto riguarda l'intermediario; sicurezza, questa, che attiene sia al sistema informatico - centrale e periferico - sia al sistema organizzativo e di controllo".

Nel caso di specie, emerge la colpa del cliente, che non avendo nemmeno percepito l'attacco dai malviventi non ha potuto assumere con tempestività le necessarie misure di contrasto.

Nella fattispecie, tuttavia, "tanto la dinamica del fatto criminoso – all'epoca forse nota al personale della banca ma non al grande pubblico – quanto la stessa ammissione della banca che ha attestato che il ricorrente è stato vittima di un furto con destrezza inducono ad escludere che il comportamento del ricorrente nella circostanza, per quanto incauto, sia stato affetto da una grave disattenzione, ovvero da colpa grave" nel senso esplicitato dalla Cassazione (cfr. ABF, decisione n. 913 del 3 maggio 2011; Cass. civ. 19 novembre 2001, n. 14456).

La colpa grave va esclusa, considerata sia la dinamica del fatto criminoso che l'età avanzata del cliente. Le modalità del furto sono state infatti particolarmente insidiose e corrispondono ad una truffa diffusa e più volte effettuata a danno di clienti dell'intermediario resistente.

Neppure il ricorrente è responsabile di aver bloccato tardivamente la carta poiché non poteva accorgersi del furto a causa dell'avvenuta sostituzione, e considerato che l'intermediario ha certamente omesso di adottare le misure di sicurezza che avrebbero potuto limitare il danno, come ad esempio l'sms-alert. Data la misura di sicurezza di questo strumento, configura un'ipotesi di responsabilità da inadeguata organizzazione imputabile esclusivamente all'intermediario resistente per non averla attivata.

Spetta quindi alla banca rimborsare la vittima, che dovrà pagare la sola franchigia di massimo euro 150,00 stabilita dal D.Lgs. 11/2010.

In altra decisione, la n. 4131 del 20 maggio 2015, l'ABF (collegio di Roma) ha accolto il ricorso di una donna la cui carta bancomat era stata rubata dalla sua autovettura ed utilizzata per numerose operazioni (24, tra prelievi e pagamenti), tutte andate a buon fine perché nell'auto c'era anche un'agendina su cui era trascritto il PIN.

La carta veniva bloccata dalla ricorrente cinque giorni dopo essersi accorta della mancanza.

Il Collegio riscontra l'assenza del servizio SMS-alert che, per consolidato orientamento, "costituisce uno standard di sicurezza normalmente esigibile in relazione all'utilizzo delle carte di pagamento e, dunque, un presidio di sicurezza ormai necessario per la tutela degli utilizzatori di tali strumenti". La mancanza del servizio è di per sé idonea a spostare verso l'intermediario il rischio connesso ad operazioni fraudolente avvenute con l'impiego di tali strumenti.

Inoltre, la modalità con cui sono avvenute le operazioni contestate attesta "il superamento della soglia in presenza della quale sussiste il rischio di frode". L'art. 8 del d.m. 112/2007 ravvisa tale rischio laddove si registrano "sette o più richieste di autorizzazione nelle 24 ore per una stessa carta di pagamento", per cui l'intermediario avrebbe dovuto quantomeno attivarsi presso il ricorrente per verificare l'autenticità delle operazioni.

Ciò nel caso di specie non è avvenuto, e quindi "l'intermediario che non abbia predisposto idonei strumenti per evidenziare e/o bloccare automaticamente comportamenti che siano evidentemente anomali, non può andare esente da responsabilità" (cfr. decisione ABF n. 3534/2014).

Tuttavia, si rileva anche la colpa grave della ricorrente nella conservazione dello strumento di pagamento: ammette che il PIN era conservato in un'agendina, rubata insieme alla carta di pagamento.

Nel caso di specie il Collegio ravvisa, quindi, il concorso di colpa della ricorrente, attribuendovi una incidenza pari al 50%; le perdite andranno sopportate in ugual misura tra le parti.

Circa le frodi informatiche, interessante la decisione n. 4030 del 20 maggio 2015 dell'ABF (collegio di Napoli). Il ricorrente riceveva una mail dal "servizio clienti" dell'intermediario contenente un "messaggio importante di sicurezza" e veniva invitato, in caso di impossibilità a visualizzare la comunicazione, a cliccare su un link più in basso.

Il ricorrente seguiva le istruzioni cliccando sul link e subito riceveva sul cellulare un sms (a nome della banca) con l'invito a trascrivere dei numeri sul sito internet della banca; subito dopo, un secondo sms gli comunicava un'avvenuta ricarica su carta intestata ad una sconosciuta su carta prepagata.

La banca informava il cliente dell'impossibilità di rimborsare la somma fraudolentemente sottratta, non avendo "alcun titolo per proseguire oltre nelle azioni finalizzate al recupero della somma", mentre il ricorrente contestava all'intermediario di non aver adeguatamente protetto i suoi dati.

L'intermediario precisava che il ricorrente aveva "diligentemente" seguito le istruzioni contenute nella e-mail truffaldina, cliccando sul link ivi indicato e inserendo i propri codici di accesso al sistema (compresi quelli creati dal dispositivo "o-key").

Dall'esame della documentazione in atti e dalla valutazione delle prospettivamente appare evidente che il ricorrente sia rimasto vittima di phishing: indotto a collegarsi su un sito "clone" di quello della banca, l'utente ha inserito i propri codici personali di accesso al sistema nella convinzione "di ottemperare alla fase di sicurezza, precedente e/o propedeutica alla consegna della predetta carta di credito".

Le modalità con cui la frode informatica è stata perpetrata e la ricostruzione delle varie attività e iniziative poste in essere inducono il Collegio a "sollevare la banca da responsabilità per l'accaduto, imputando al ricorrente, diversamente, una condotta scarsamente diligente".

Va considerato che già l'originario avviso proveniente dal "servizio clienti" della banca era formulato in un linguaggio non corretto sul piano grammaticale; inoltre il ricorrente inseriva, oltre ai codici personali di accesso al sistema, anche i codici generati dal sistema c.d. o-key, fornendo ai malfattori successivamente anche il codice OTS, pur ricevendo sul suo cellulare messaggi non chiari.

Nessun rimprovero può muoversi all'operato dell'intermediario, considerato l'articolato sistema di sicurezza informatico predisposto, graduato su progressivi livelli di protezione della prova.

La perdita economica va imputata alla sfera giuridica del cliente, in ragione della scarsa diligenza da lui dimostrata.

Anche l'ABF (collegio di Roma), con decisione n. 3907 del 15 maggio 2015, deliberava su ricorso in cui il servizio di home banking offerto dall'intermediario era utilizzato in maniera fraudolenta.

La società ricorrente aveva rilevato difficoltà nell'utilizzo del servizio, ossia impossibilità di effettuare l'accesso e conseguenti operazioni.

L'amministratore della società, recatosi presso una filiale dell'intermediario, scopriva che tramite home banking era stato disposto un bonifico in favore di un beneficiario polacco con cui la società non aveva mai intrattenuto rapporti. Tale operazione sarebbe stata effettuata da terzi ignoti sfruttando falle nei sistemi di sicurezza della banca.

L'esame del computer della ricorrente mostrava che nessun accesso era avvenuto presso siti di banche nella data in cui era stata disposta l'operazione; inoltre l'amministratore della società era l'unica persona in possesso dei codici e del dispositivo OTP necessari ad operare tramite home banking.

La banca, oltre a rilevare la negligenza del cliente per non aver utilizzato gli strumenti di sicurezza predisposti per rilevare tempestivamente utilizzi fraudolenti del servizio, precisava che il ricorrente avrebbe "espressamente accettato, come non consumatore, una clausola che esonera la banca da qualsiasi responsabilità nei confronti del cliente per questo tipo di eventi dannosi".

Secondo il Collegio, tale clausola deroga la disciplina prevista dal D.Lgs. n. 11/2010 e una siffatta è limitata ai clienti che non siano qualificabili come consumatori, né microimprese.

Poiché la ricorrente rientra nel novero delle microimprese, "la clausola di cui si discute, in quanto contraria a norma imperativa, deve ritenersi nulla".

Nessun dubbio che nella specie la ricorrente sia stata vittima di una frode informatica e il pagamento contestato non sia stato da essa autorizzato, pur essendo avvenuto secondo le procedure e utilizzando le chiavi di accesso e autenticazione fornite dalla banca.

Pertanto, non si ritiene la colpa grave del ricorrente nell'utilizzo del servizio di pagamento. Tuttavia, per avere la società tentato di eseguire le operazioni di pagamento nonostante le anomalie (agevolando l'operazione fraudolenta), rifiutato il servizio di sms alert offerto dalla banca e avvertito la banca solo dopo alcuni giorni, si ritiene che questa sia in concorso di colpa nella causazione dell'evento dannoso.

3. LA GIURISPRUDENZA

Per Cass. civile, sent. 13777/2007"la banca (...), svolgendo attività professionale, deve adempiere tutte le obbligazioni assunte nei confronti dei propri clienti con la diligenza particolarmente qualificata dell'accorto banchiere, non solo con riguardo all'attività di esecuzione di contratti bancari in senso stretto, ma anche in relazione ad ogni tipo di atto o di operazione oggettivamente esplicati".

Il Giudice di Pace di Lecce, 15 gennaio 2014, afferma che "la banca, cui Poste è assimilata, nei rapporti contrattuali con il cliente risponde secondo le regole del mandato (art. 1856 c.c.) e la diligenza a cui è tenuta va valutata con particolare rigore (...). La diligenza del buon banchiere deve esser qualificata dal maggior grado di prudenza e attenzione che la connotazione professionale dell'agente consente e richiede".

Il Tribunale di Palermo, 12 gennaio 2010, afferma che "la mancata adozione di tutte le misure di sicurezza tecnicamente idonee e conosciute in base al progresso scientifico, a prevenire danni, come quelli conseguenti all'illecita intromissione nel sistema informatico, genera responsabilità ex art. 2050 c.c. a carico del soggetto inadempiente, non essendo sufficiente la non violazione di norme di legge, posto che in tale ipotesi, il grado di diligenza richiesta deve essere valutato con maggiore rigore, atteso che la prestazione inerisce all'esercizio di attività professionale".

Per ABF Milano 29 aprile 2015, decisione n. 3355, "la grave negligenza dell'utilizzatore deve essere provata dall'intermediario, il quale è tenuto ad allegare fatti a sostegno delle proprie affermazioni. A riguardo (...) non sono sufficienti mere presunzioni, per cui non è sufficiente limitarsi ad osservare (...) che il breve lasso di tempo intercorso tra il furto e l'utilizzo dello strumento di pagamento confermerebbe il venir meno agli obblighi di custodia separata della carta e del Pin e che le dichiarazioni rese in sede denuncia farebbero presupporre la mancata adozione di misure idonee per la custodia diligente della carta".

Con la pronuncia del 20 marzo 2006, il Tribunale di Roma, Terza Sezione, ha stabilito che "in caso di uso illegittimo di una tessera bancomat, l'ente che eccepisca la colpa concorrente del titolare, per custodia difettosa del codice personale, ha l'onere di provare concretamente tale negligenza, la quale non può ritenersi in re ipsa per il solo fatto che una tessera, dopo il furto, sia stata utilizzata per prelevare contanti utilizzando il PIN".

Il Tribunale di Milano, 16 marzo 2009, sostiene che "Il fatto che il cliente non abbia immediatamente comunicato alla banca la mancata restituzione della tessera bancomat da parte dello sportello automatico non integra la fattispecie della "estrema negligenza" quale prevista dal paragrafo 8.3 della raccomandazione CEE 88/590 del 17 novembre 1988, per cui la banca, ove non provi di aver adottato misure idonee per la sicurezza del servizio da manomissioni, è tenuta a rimborsare al cliente prelievi illegittimamente eseguiti".

L'ABF Napoli 27 marzo 2013, decisione n. 1721, in caso di utilizzo fraudolento del conto corrente online del cliente, ha ritenuto che "l'utilizzo di un sistema rafforzato (di protezione) non consente comunque alcuna presunzione assoluta circa la sussistenza di una colpa grave in capo al ricorrente". Ai fini dell'addebito di responsabilità, vanno valorizzate "con riferimento al caso concreto, le circostanze ed i comportamenti delle parti".

4. NOTE

Nonostante la percentuale maggiore del contenzioso attribuito all'Arbitro abbia ad oggetto le conseguenze del furto della carta o della frode informatica perpetrata a carico dell'utilizzatore, il Collegio non ha mancato di pronunciarsi anche in merito ad altre questioni riguardanti l'utilizzo indebito della carta di debito/bancomat.

Lo strumento finanziario messo a disposizione dalla banca può essere ad esempio coinvolto inmalfunzionamenti che creano pregiudizi in termini monetari, sicché l'arbitro è chiamato a valutare a chi vada addebitata la responsabilità in simili circostanze.

Può ad esempio capitare che all'atto di effettuare un prelievo presso un sportello dedicato la carta utilizzata venga "catturata" dall'apparecchio rendendo poi impossibile recuperarla.

La giurisprudenza della Cassazione, con riferimento al servizio bancomat, ha chiarito che anche al di là di eventuali contrarie previsioni regolamentari la banca è comunque responsabile se la carta viene "catturata" dall'apparecchio dell'ATM a causa di un malfunzionamento del medesimo (cfr. Cass. civ., sez. I, 12-06-2007, n. 13777).

Al Collegio arbitrale spetta valutare la validità e rilevanza delle giustificazioni sollevate dalla banca per liberarsi dalla responsabilità (ad esempio la mancanza di anomalie, o che non risulti la cattura poiché la carta non viene rinvenuta nell'apparecchio).

A tal fine il Collegio di Milano, nella decisione n. 1120 del 30 maggio 2011, ha stabilito che la cattura della tessera bancomat "nella sua consistenza materiale,integra la fattispecie dello spoglio ex art. 1168 c.c. (...), atto illecito che lede il diritto del possessore alla conservazione della disponibilità della cosa e obbliga chi lo commette al risarcimento del danno".

Altra situazione che può verificarsi coinvolge l'errata contabilizzazione di operazioni con bancomat, ad esempio quando lo sportello non rilascia le banconote, ma il cliente vede comunque addebitarsi la somma.

A norma dell'art. 10 del D.Lgs. 11/2010, se l'utilizzatore di servizi di pagamento sostiene che un'operazione di pagamento non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamentoprovare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata, e che non ha subito il malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.

Non dimostra che l'operazione sia stata autorizzata dall'utilizzatore il fatto che costui abbia utilizzato uno strumento di pagamento registrato dal prestatore di servizi.

La legge prende chiaramente posizione a favore dell'utilizzatore, facendo gravare sull'intermediario, nella sua qualità di soggetto professionale, l'onere probatorio relativo alla corretta esecuzione delle operazioni di pagamento.

La Banca potrà fornire prova adeguata fornendo l'apposita documentazione in suo possesso che dimostri l'avvenuta autenticazione, ossia la verifica delle credenziali di accesso dell'utente bancario, la registrazione (tracciabilità) dell'operazione e la sua contabilizzazione.

Tali prove possono fornirsi tramite il c.d. "giornale di fondo", unitamente alla "quadratura di cassa": si tratta di documenti che registrano tutte le operazioni attuate presso l'ATM e consentono di verificare se il denaro mancante allo sportello coincide con quello che risulta essere erogato al cliente. Se emergono eccedenze, si assume che una parte del denaro sia stata richiesta ma non erogata.

In talune circostante il Collegio Arbitrale ha precisato che le risultanze delle registrazioni informatiche effettuate da apparecchiature bancomat o ATM sono assimilabili ai documenti ed ai libri contabili dell'imprenditore; pertanto, ai sensi degli artt. 2709 e 2710 c.c., fanno prova a favore dell'imprenditore da cui provengono solo nei rapporti fra imprenditori inerenti all'esercizio dell'impresa (e non dunque con il cliente non imprenditore).

Tuttavia, stante la natura strettamente documentale del procedimento e l'impossibilità di ulteriori elementi cognitivi, spetta al giudice il libero apprezzamento sull'idoneità dei documenti, in concorso con altre risultanze, a provare la fondatezza della pretesa della parte che le ha prodotte in giudizio.

Lucia Izzo - Diritto e Contenzioso Bancario