composto dai Signori: Dott. Giuseppe Marziale IL COLLEGIO DI ROMA Presidente Prof. Avv. Pietro Sirena Avv. Massimiliano Silvetti Membro designato dalla Banca d'italia [Estensore] Membro designato dalla Banca d'italia Avv. Michele Maccarone Membro designato dal Conciliatore Bancario e Finanziario Prof. Avv. Marco Marinaro Membro designato dal C.N.C.U. nella seduta del 06/12/2012, dopo aver esaminato: il ricorso e la documentazione allegata; le controdeduzioni dell'intermediario e la relativa documentazione; la relazione istruttoria della Segreteria tecnica. Fatto La ricorrente ha affermato: -che, in data 6 febbraio 2012, avrebbe ricevuto sul proprio telefono cellulare un messaggio di testo, con il quale le sarebbe stato offerto di accedere a servizi telefonici relativi al traffico Internet e a telefonate gratuite mediante il pagamento della somma di 10,00; -che, stante la somiglianza di tale messaggio con quelli inviati dal suo gestore telefonico, la ricorrente avrebbe aderito all offerta, autorizzando un operazione di ricarica per il suddetto importo; -che qualche minuto dopo, le sarebbe stato comunicato dalla banca resistente l addebito di 2.140,20 a favore di una società; -che la ricorrente avrebbe prontamente bloccato la carta prepagata e dopo fatto denuncia dell accaduto ai Carabinieri; -che nei giorni successivi la ricorrente avrebbe richiesto alla banca resistente l emissione di una nuova carta prepagata, al fine di sostituire quella precedente, ormai inutilizzabile; -che tale richiesta non sarebbe stata tuttavia accolta dalla banca resistente; -che la Pag. 2/7
motivazione addotta da quest ultima per giustificare tale rifiuto sarebbe costituita da una presunta posizione debitoria della ricorrente, posizione la quale sarebbe pari all importo fraudolentemente prelevato ai suoi danni; - che la banca resistente avrebbe l obbligo di applicare sia le misure di sicurezza minime per tutelare i dati personali dei suoi clienti, sia quelle che, anche in base al progresso tecnico, si dimostrino via via idonee a ridurre al minimo i rischi di frode; -che inoltre la raccomandazione europea n. 489 del 1997 avrebbe espressamente stabilito che dalla data in cui la truffa subìta dal cliente sia stata comunicata alla banca, il titolare del conto non possa essere ritenuto responsabile di prelievi abusivi; -che pertanto dovrebbero essere restituiti al cliente i soldi a lui fraudolentemente sottratti; -che la ricorrente non sarebbe dunque debitrice della banca per l importo indebitamente prelevato dal suo conto corrente e l emissione di una nuova carta prepagata non potrebbe essere subordinata ad alcuna ricognizione di debito nei confronti della banca resistente. Ciò premesso, la ricorrente ha chiesto: -che sia emessa a suo favore una nuova carta prepagata senza alcuna imputazione di costi aggiunti e senza alcuna ricognizione di debito nei confronti della banca resistente; - che la banca resistente sia condannata al risarcimento del danno cagionato mediante la mancata emissione della carta prepagata richiesta, il quale sarebbe quantificabile in 1.000,00 ovvero nella diversa somma che sia ritenuta giusta; -che la banca resistente sia condannata alla cancellazione di qualsiasi eventuale segnalazione della ricorrente presso la Centrale dei rischi creditizi ovvero presso un sistema di informazione creditizia; -che sia comunque ingiunto alla banca resistente di provvedere alla immediata regolarizzazione. La banca ha resistito al ricorso, affermando: -che, sebbene la carta della ricorrente fosse prepagata, essa sarebbe stata dotata di un proprio codice IBAN, il quale avrebbe consentito alla titolare di effettuare alcune delle operazioni tipiche di un conto corrente bancario (ricevere e disporre bonifici, domiciliare utenze, ecc.); -che l indebito pagamento che è stato lamentato dalla ricorrente sarebbe dovuto al colpevole inadempimento degli obblighi di diligente custodia delle credenziali della propria carta da parte del cliente; -che, secondo quanto la ricorrente stessa avrebbe Pag. 3/7
dichiarato nella propria denuncia ai Carabinieri, ella avrebbe ricevuto sul proprio telefono cellulare un messaggio di testo che le offriva una promozione commerciale e indicava un sito Internet sul quale effettuare il pagamento di 10,00; -che, al fine di aderire a tale offerta, la ricorrente avrebbe effettuato il suddetto pagamento, inserendo nel sito Internet indicatole gli estremi della sua carta prepagata; -che tale comportamento costituirebbe una colpa grave, considerato non soltanto l elevato livello di istruzione della ricorrente, ma anche la palese incongruenza della proposta commerciale che aveva ricevuto; -che la ricorrente avrebbe imprudentemente comunicato tutte le credenziali della propria carta prepagata, compreso il codice di sicurezza; -che la pratica del phishing sarebbe nota da anni e segnalata anche sul sito Internet della banca resistente, il quale inviterebbe i suoi clienti ad adottare le necessarie cautele e misure di sicurezza informatica; -che l elevato grado di diligenza richiesto alla banca dovrebbe essere ragionevolmente bilanciato con il dovere del cliente di tenere un comportamento responsabile, tenuto anche conto del suo livello culturale; -che il duplicato della carta prepagata sarebbe stato emesso e consegnato il 18 febbraio 2012 alla ricorrente; - che, tenuto conto della lamentela sollevata dalla ricorrente, sarebbe tuttavia verosimile che ella non abbia mai ricevuto la nuova carta pregata; - che il saldo residuo del conto corrente della ricorrente sarebbe sempre stato a sua disposizione Ciò posto, la banca resistente ha chiesto che il ricorso sia rigettato perché infondato. Diritto La responsabilità dell emittente di una carta prepagata per il suo utilizzo non autorizzato è disciplinata dall art. 12 del d.lgs. 27 gennaio 2010, n.11, il quale ha attuato nell ordinamento giuridico italiano la direttiva 2007/64/CE relativa ai servizi di pagamento nel mercato interno europeo. Nel caso di specie, è pacifico tra le parti che l operazione di pagamento non autorizzata dalla ricorrente sia stata effettuata il 6 febbraio 2012 e che Pag. 4/7
la comunicazione dell utilizzo non appropriato della carta prepagata di cui era titolare sia stata inoltrata alla banca resistente il 7 febbraio 2012. La responsabilità dell emittente è disciplinata pertanto dall art. 12, 3 comma, del medesimo decreto, il quale statuisce che, «salvo il caso in cui abbia agito con dolo o colpa grave ovvero non abbia adottato le misure idonee a garantire la sicurezza dei dispositivi personalizzati che consentono l utilizzo dello strumento di pagamento, prima della comunicazione eseguita ai sensi dell art.7, 1 comma, lett. b), l utilizzatore medesimo può sopportare per un importo comunque non superiore complessivamente a 150,00 la perdita derivante dall utilizzo indebito dello strumento di pagamento conseguente al suo furto o smarrimento». In virtù di tale disposizione legislativa, il prestatore di servizi di pagamento può escludere la propria responsabilità per l utilizzo non autorizzato di uno strumento di pagamento soltanto provando la colpa grave dell utilizzatore, la quale costituisce un fatto impeditivo del risarcimento del danno, ai sensi dell art. 2697, 2 comma, c.c. A proposito di tale onere probatorio, si deve tener conto che, ai sensi dell art. 10, 2 comma, del d.lgs. n.11 del 2010, «quando l utilizzatore di servizi di pagamento neghi di aver autorizzato un operazione di pagamento eseguita, l utilizzazione di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sé necessariamente sufficiente a dimostrare che l operazione sia stata autorizzata dall utilizzatore medesimo, né che questi abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all art.7». Nel caso di specie, questo Arbitro ritiene tuttavia specificamente e concretamente provato che la ricorrente abbia utilizzato la carta prepagata di cui era titolare in modo assai superficiale e imprudente e che sussistano pertanto gli estremi della colpa grave di cui all art. 12, 3 comma, del d.lgs. n. 11 del 2010. Al riguardo, si deve in generale premettere che, secondo la giurisprudenza di legittimità, la colpa grave è costituita da una «straordinaria e inescusabile» imprudenza, negligenza o imperizia, la quale presuppone che sia stata violata non solo la diligenza ordinaria del buon padre di famiglia di cui all art. 1176, 1 comma, c.c., ma anche «quel Pag. 5/7
grado minimo ed elementare di diligenza generalmente osservato da tutti» (Cass., 3 maggio 2011, n.913; Cass., 13 ottobre 2009, n. 21679; Cass., 19 novembre 2001, n.14456). In particolare, ai sensi dell art. 7, 1 comma, lett. b), del d.lgs. n.11 del 2010, il titolare di uno strumento di pagamento ha l obbligo di «utilizzare lo strumento di pagamento in conformità con i termini, esplicitati nel contrattoquadro, che ne regolano l emissione e l uso». Nel caso di specie, l utilizzo non autorizzato della carta prepagata di cui la ricorrente era titolare è stato cagionato dal fatto che essa abbia volontariamente e intenzionalmente risposto a un offerta commerciale inviatale mediante un SMS telefonico, inserendo su un sito Internet sconosciuto le credenziali della suddetta carta prepagata (compreso il codice di sicurezza). Si tratta di un caso di comune phishing. Nella decisione del Collegio di Coordinamento n. 3498 del 2012 questo Arbitro ha chiarito che in tale fattispecie «il cliente è vittima di una colpevole credulità: colpevole in quanto egli è portato a comunicare le proprie credenziali di autenticazione al di fuori del circuito operativo dell intermediario e tanto più colpevole si rivela quell atto di ingenuità quanto più si consideri che tali forme di accalappiamento possono dirsi ormai note al pur non espertissimo navigatore di Internet». La colpevole credulità della ricorrente è costituita non soltanto dalla superficialità con la quale ha comunicato on line le credenziali della propria carta prepagata (compreso il codice di sicurezza), ma anche dal contenuto poco credibile dell offerta commerciale che aveva ricevuto, la quale avrebbe dovuto indurla a una particolare attenzione, se non a una certa diffidenza. Ciò deve dirsi a maggior ragione, se si considera che il pericolo di phishing costituisce un dato ormai notorio (e, fra l altro, adeguatamente rimarcato dalla stessa banca ricorrente mediante la generica informazione alla propria clientela). Dando continuità alle precedenti decisioni di questo Arbitro, si ritiene pertanto che la comunicazione intenzionale delle proprie credenziali a un terzo sconosciuto, quando essa avviene in risposta a una richiesta estranea al circuito informativo dell emittente e palesemente inattendibile, costituisca una colpa grave del cliente, la quale, ai sensi dell art. 12, 3 Pag. 6/7
comma, del d.lgs. n. 11 del 2010 esclude la responsabilità del prestatore del servizio di pagamento. Il ricorso deve essere pertanto rigettato. P.Q.M. Il Collegio respinge il ricorso. IL PRESIDENTE firma 1 Pag. 7/7