COLLEGIO DI ROMA composto dai signori: (RM) MASSERA (RM) SILVETTI (RM) POZZOLO Presidente Membro designato dalla Banca d'italia Membro designato dalla Banca d'italia (RM) RUPERTO Membro designato da Associazione rappresentativa degli intermediari (RM) MARINARO Membro designato da Associazione rappresentativa dei clienti Relatore ESTERNI - MARCO MARINARO Nella seduta del 06/10/2016 dopo aver esaminato: - il ricorso e la documentazione allegata - le controdeduzioni dell intermediario e la relativa documentazione - la relazione della Segreteria tecnica Fatto In data 11.01.2016 il ricorrente, controllando on line la propria carta prepagata, si avvedeva che attraverso la stessa erano stati effettuati tre pagamenti tramite pos non autorizzati, di cui due dell ammontare di 101,90 (effettuati il 6.1.2016) e uno dell ammontare di 3,00 (effettuato in data 11.01.2016). In pari data denunciava l accaduto all intermediario, chiedendogli il rimborso delle somme sottratte, e provvedeva a bloccare la carta. In data 11.03.2016 l intermediario rispondeva negativamente alla richiesta relativamente alle due operazioni di 101,90 in quanto effettuate su siti classificati sicuri; consigliava altresì al ricorrente di richiedere ulteriori indagini presso la polizia postale. Pag. 2/7
Il ricorrente riferisce di aver utilizzato la carta in questione per acquisti su internet e di aver attivato, al riguardo, la protezione anti-frode; riporta inoltre di non aver mai ceduto a nessuno la carta prepagata e la password prevista per i pagamenti e di averle sempre custodite separatamente. Chiede pertanto il rimborso delle operazioni contestate e del credito residuo della carta prepagata, pari ad 22,85. L intermediario resiste al ricorso ed espone quanto segue. Quanto alla richiesta del ricorrente di aver il rimborso anche del credito residuo della carta prepagata, l intermediario riferisce di aver soddisfatto la richiesta mediante apposito bonifico. Ritiene che la controversia instauratasi si riferisca al rapporto tra il titolare della carta e l esercente che ha ricevuto gli importi contestati; di talchè la banca, non essendo parte del suddetto rapporto, si è limitata, per adempiere ai propri obblighi, ad addebitare gli importi relativi alle operazioni, trasmettendone il flusso all intermediario abilitato alla gestione dei rapporti con Mastercard, il circuito al quale appartiene la carta intestata al ricorrente. L intermediario ritiene di aver fornito al ricorrente tutta l assistenza possibile per ottenere il rimborso delle operazioni non autorizzate: infatti, una volta ricevuta la mail del 11.01.2016 con cui il ricorrente disconosceva le operazioni chiedendone lo storno, esso provvedeva immediatamente a richiedere il blocco dello strumento di pagamento e a istruire la pratica di rimborso. Il mancato accoglimento della richiesta di rimborso è dipeso dal fatto che le suddette operazioni erano codificate come UCAF 2 (commercio sicuro), non consentendo così l addebito degli importi disconosciuti all esercente per poi rimborsarle al titolare della carta; l importo di 3,00 è stato invece restituito in quanto classificato come operazione non sicura. In ordine alla nozione di commercio sicuro precisa che il circuito mastercard attribuisce ai clienti la possibilità di garantirsi un maggior livello di sicurezza mediante la creazione di una password univoca, nota solo al titolare della carta, necessaria per effettuare gli acquisti on line. Il fatto che il ricorrente abbia aderito a tale sistema comporta che l intermediario sia impossibilitato a rifiutare l addebito in favore dell esercente, e che quest ultimo sia legittimato a rifiutare le richieste di rimborso avanzate dagli utenti. Pag. 3/7
Sul titolare della carta grava pertanto l obbligo di custodire diligentemente la password segreta ai sensi dell art. 7, d.lgs. n. 11/2010. Le transazioni effettuate tramite il caricamento dei dati delle carte vengono effettuate con modalità di autenticazione elaborate e collaudate dal circuito cui la carta appartiene: la banca, pertanto, a fronte di operazioni di pagamento sospette e/o disconosciute non è in grado di verificare eventuali anomalie verificatesi nel corso dei pagamenti, potendosi limitare a contattare i soggetti deputati alla gestione di tali controversie. Ne deriva l impossibilità per l intermediario di adempiere all onere probatorio ex art. 10, d.lgs. n. 11/2010, trattandosi di operazioni che non si svolgono sotto il suo controllo. Chiede quindi il rigetto del ricorso o, in via subordinata, qualora l Arbitro dovesse comunque rilevare un suo comportamento non corretto, l applicazione della franchigia di 150,00 di cui all art. 12, comma 3, d.lgsl. n. 11/2010. Diritto La fattispecie sottoposta al vaglio del Collegio concerne la verifica della sussistenza del diritto del ricorrente al rimborso, nei confronti dell intermediario resistente, delle somme a lui sottratte a seguito dell utilizzo fraudolento, da parte di terzi, della sua carta di credito. La banca, pur non sollevando espressamente eccezione di difetto di legittimazione passiva, afferma la propria estraneità alla presente controversia, che si riferirebbe esclusivamente al rapporto tra pagatore ed esercente. Per tale ragione, essa, al fine di adempiere ai propri obblighi, si è limitata ad eseguire l ordine di pagamento e a trasmettere il flusso delle transazioni eseguite dal soggetto che intrattiene rapporti con il gestore del circuito (Mastercard). Tuttavia, la questione dell estraneità dell intermediario in controversie inerenti l utilizzo di carte di credito si pone soltanto là dove si sia lamentato il venir meno della causa giustificatrice del pagamento, dovuto ad esempio all inadempimento dell esercente; in tali casi si è posto il diverso problema della possibilità per il pagatore di ottenere la revoca dell ordine di pagamento (c.d. chargeback; si veda, ex multis, Collegio di Roma, decisione n. 5965 del 24/06/2016; decisone n. 254 del 14/01/2016). Nel caso di specie, al contrario, si discute di vere e proprie operazioni non autorizzate: pertanto è pacifico il diritto dell utilizzatore di ottenere dall intermediario il rimborso delle somme fraudolentemente sottratte, salvo che l intermediario stesso riesca a provare il dolo o la colpa grave dell utilizzatore. Pag. 4/7
Passando al merito si deve precisare che le operazioni contestate risultano effettuate nel gennaio 2016, successivamente all attuazione nell ordinamento italiano della Direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, avvenuta in data 1 marzo 2010, a seguito dell entrata in vigore del D.Lgs. 27 gennaio 2010, n. 11. In forza di tali note disposizioni, il rischio per l indebito utilizzo di uno strumento di pagamento a seguito di furto, smarrimento o clonazione grava sul prestatore di servizi di pagamento, salvo un importo comunque non superiore complessivamente ad 150 a carico dell utilizzatore (art. 12, comma 3) e salvo che quest ultimo non abbia agito con dolo o colpa grave o in modo fraudolento. L onere di dimostrare la colpa grave o il comportamento fraudolento del titolare dello strumento di pagamento grava sull intermediario, in base ai principi che governano la responsabilità contrattuale (art. 1218 c.c.). Con riguardo al concetto di colpa grave, il Collegio ha già avuto occasione di statuire che esso implica una valutazione della condotta in termini di totale trascuratezza verso i minimi accorgimenti che vengono utilizzati dai consociati al fine di evitare un accadimento dannoso. La colpa grave connota cioè un comportamento caratterizzato da un grado elevatissimo e del tutto abnorme, rispetto ai parametri dell essere umano medio, di negligenza ed imprudenza. Nel caso di specie, l intermediario non ha fornito la prova di cui sopra, in quanto, da un lato, si è limitato ad affermare che le operazioni disconosciute, per le modalità con cui sono avvenute, non sarebbero state possibili se non con la disponibilità dei codici segreti, i quali sarebbero quindi stati malamente custoditi dal ricorrente insieme alla carta. Dall altro lato, ha sostenuto che il ricorrente abbia negligentemente omesso di custodire il Mastercard Secure Code che, in caso di operazioni on-line, garantisce un presidio pressoché invalicabile contro possibili frodi informatiche. Ebbene, quanto all asserita omessa custodia del codice segreto o del PIN, il Collegio, nei molteplici casi analoghi a quello in esame, ha già osservato che le tecniche di acquisizione dei codici identificativi personali, necessari per l utilizzo delle carte di pagamento, sono sempre più sofisticate e tali da rendere possibile l acquisizione di tali dati da parte di terzi a prescindere da qualsiasi forma di negligenza del titolare della carta; anche perché possono essere carpite, oltre che dai singoli utenti, dagli archivi delle banche, nonché dagli ATM e dagli esercizi commerciali con i quali essi entrano in contatto, come pure dalle reti telematiche sulle quali transitano i flussi di informazioni (cfr. Collegio di Roma, decisione del 13 gennaio 2012, n. 82). Non può pertanto escludersi né, da tale Pag. 5/7
punto di vista, le affermazioni dell intermediario appaiono dotate del necessario grado di fondatezza ai fini dell assolvimento dell onere della prova ex art. 2697 c.c. che il codice necessario per l utilizzo della carta di credito sia stato acquisito dal terzo frodatore per altra via, il che pare sufficiente a dover escludere, sotto questo profilo, la sussistenza di profili di colpa grave a carico del ricorrente. Neppure colgono nel segno le eccezioni dell intermediario relative al difetto di custodia del c.d. Mastercard Secure Code da parte del ricorrente. Il presidio in esame deve essere attivato on-line dall utilizzatore, il quale deve inoltre scegliere una password. Qualora il titolare della carta voglia autorizzare un operazione di pagamento on-line presso un esercente (convenzionato con lo stesso servizio), deve inserire, tra le altre credenziali, anche la password Secure Code. Non si tratta, pertanto, di una password c.d. dinamica né di un sistema a c.d. token, dispositivo che genera password monouso di breve durata e che eleva al massimo il sistema di protezione dell utente, non consentendo all eventuale terzo non autorizzato di effettuare l operazione. Per la sua stessa natura, in definitiva, il Mastercard Secure Code non appare equiparabile ai più sicuri presidi che sarebbe possibile mettere a disposizione degli utilizzatori dei servizi di pagamento (cfr. Collegio di Roma, decisione n. 203 dell 11 gennaio 2013). Il che impedisce di poter considerare quale causa efficiente dell evento fraudolento la circostanza della mancata custodia del Mastercard Secure Code da parte del ricorrente o di poter scorgere in tale circostanza profili di colpa grave a suo carico. La circostanza della corretta digitazione dei codici in occasione delle operazioni disconosciute non può pertanto essere considerata, di per sé sola, quale elemento comprovante la colpa grave (Coll. Roma, dec. n. 5428/2016). Si rileva infine che l intermediario afferma e documenta di aver già rimborsato al ricorrente l operazione dell importo di 3,00, in quanto il pagamento risultava trasferito mediante transazione catalogata come non sicura. Parimenti l intermediario afferma di aver restituito al cliente il credito residuo della sua carta di prepagata, allegando il relativo bonifico. P.Q.M. Il Collegio dispone che l intermediario corrisponda alla parte ricorrente la somma di euro 53,80, oltre interessi legali dalla data del reclamo al saldo. Pag. 6/7
Dispone, inoltre, ai sensi della vigente normativa, che l intermediario corrisponda alla Banca d Italia la somma di Euro 200,00 (duecento/00) quale contributo alle spese della procedura e alla parte ricorrente quella di Euro 20,00 (venti/00) quale rimborso della somma versata alla presentazione del ricorso. IL PRESIDENTE firma 1 Pag. 7/7