composto dai signori: IL COLLEGIO DI ROMA Dott. Giuseppe Marziale... Presidente Prof. Avv. Giuliana Scognamiglio... Membro designato dalla Banca d'italia Dott. Comm. Girolamo Fabio Porta... Membro designato dalla Banca d'italia Prof. Avv. Gustavo Olivieri. Membro designato dal Conciliatore Bancario e Finanziario per le controversie in cui sia parte un non consumatore [Estensore] Prof. Avv. Federico Ferro Luzzi Membro designato da Confindustria, di concerto con Confcommercio, Confagricoltura e Confartigianato nella seduta del 12/10/2012, dopo aver esaminato: il ricorso e la documentazione allegata; le controdeduzioni dell'intermediario e la relativa documentazione; la relazione istruttoria della Segreteria tecnica. FATTO La parte ricorrente, titolare di un contratto di conto corrente e di un servizio di corporate-banking con la banca resistente, disconosce il bonifico on line a suo carico di 17.112,00 fraudolentemente disposto a beneficio di uno sconosciuto. Chiede pertanto il rimborso della somma illegittimamente prelevata dal proprio conto corrente al netto della franchigia di 150,00. Nel reclamo presentato all intermediario, il cliente qualificabile come microimpresa ai fini che qui interssano - così ricostruisce i fatti in contestazione: - in data 28 giugno 2007 la società ricorrente aveva sottoscritto con l intermediario un contratto per il servizio "corporate banking. interattivo", relativo alla possibilità di effettuare operazioni sul conto corrente, per via telematica;. - tramite consultazione dell'estratto conto, senza averne avuto alcuna notizia da parte dell intermediario, il ricorrente ha constatato che - in data 21 dicembre.2011 -, ignoti si sono illecitamente impossessati delle credenziali di accesso al servizio, effettuando, tramite il conto corrente della Società, un ordine Pag. 2/7
di bonifico bancario per un importo pari ad Euro 17.112,00, in favore del signòr Emils Pilenieks, persona totalmente sconosciuta alla Società, da accreditarsi su un conto corrente aperto presso una banca lituana; - in data 28 dicembre 2011, il cliente ha richiesto all intermediario di procedere immediatamente alla sospensione del servizio di "corporale banking interattivo" ed', al blocco dell'ordine di bonifico effettuato; - in data 29 dicembre 2011 ha inoltre presentato presso il competente ufficio della Polizia Postale del Lazio denuncia - querela per frode contro ignoti; - nonostante l'immediata segnalazione, il bonifico non è stato bloccato ed il relativo importo è stato prontamente incassato; - il ricorrente ha presentato all intermediario richiesta di immediato riaccredito sul proprio conto corrente della somma illecitamente sottratta, senza, tuttavia, ricevere un positivo riscontro. La parte ricorrente ritiene di aver subito una frode informatica, perpetrata tramite il servizio messo a disposizione dall intermediario che non ha preso misure adeguate né a prevenire la frode né, una volta avvenuta la frode, a bloccare, comunque il pagamento illecitamente disposto, nonostante la pronta segnalazione effettuata. Nello svolgimento delle sue funzioni, la banca aveva l'onere di agire secondo gli stringenti canoni di diligenza stabiliti in proposito, dalla giurisprudenza, approntando misure idonee ad evitare quanto verificatosi a danno della cliente. In proposito la parte ricorrente richiama le Sentenze della Cassazione, sez. I civile, 24 settembre 2009, n. 20543.e, sez. I civile, 12 giugno 2007, n.3777. Nel caso di specie non risulta che la banca abbia adottato le misure a cui, in base agli obblighi di diligenza imposti, sarebbe stata tenuta. Prova ne sia che, non solo sconosciuti sono riusciti ad appropriarsi delle credenziali della Società, nonostante quest ultima le abbia sempre mantenute segrete, ma, per di più, a differenza di quanto normalmente avviene in questo tipo di rapporti, nessuna segnalazione è stata effettuata dalla banca nei confronti della Società, nonostante l'elevato importo della disposizione effettuata e l'evidente particolarità del suo destinatario. D'altra parte una segnalazione di questo genere avrebbe consentito di bloccare, per tempo, il bonifico ed impedire il ritiro delle relative somme dal conto corrente su cui è stato effettuato. Pag. 3/7
Riferisce la parte ricorrente che la banca si è attivata per il blocco del bonifico con diversi giorni di ritardo e non con la prontezza che sarebbe stata necessaria per prevenire il ritiro delle relative somme. La parte ricorrente sottolinea che, ai sensi dell'articolo 12 del D.lgs. 27 gennaio 2010, la responsabilità massima dell'utilizzatore non può dunque oltrepassare il limite di Euro 150,00, ricadendo, per contro, sul prestatore dei servizi di pagamento il rischio derivante dall'impiego fraudolento dei mezzi di pagamento da quest ultimo messi a disposizione in favore degli utenti. D'altra. parte spetta; comunque, al prestatore di servizi fornire la prova circa il dolo o la colpa grave dell'utilizzatore o la mancata adozione delle idonee misure di sicurezza che costituiscono le uniche eccezioni al principio sopra esposto. L intermediario, dal canto suo, non ravvisando alcuna propria responsabilità chiede all ABF di voler respingere il ricorso. In particolare la banca resistente ricostruisce i fatti come segue. L'operazione di bonifico contestata è stata disposta utilizzando un prodotto rivolto, per le caratteristiche evolute che lo contraddistinguono, a clientela small business/corporate e caratterizzato da elevati livelli di protezione che consentono all'utente di dialogare con la Banca per effettuare numerose tipologie di operazioni sia consultive che dispositive. L intermediario ritiene pertanto che il cliente sia stato "derubato" delle credenziali dispositive da parte di un "terzo soggetto" mediante un'azione fraudolenta di phishing o tramite virus telematico malware annidato nel proprio computer. Della custodia e del corretto utilizzo delle suddette credenziali (ovvero strumenti operativi) è contrattualmente responsabile il cliente come, parimenti, quest ultimo è responsabile del contenuto dei flussi elettronici inviati tramite il servizio e lo stesso riconosce validi gli addebiti e gli accrediti operati dalla Banca, giusto il disposto rispettivamente del punto 5.3 e 8.4 del contratto sottoscritto il 26/06/2007. L intermediario sottolinea che, non appena ricevuta la tardiva segnalazione del cliente (28/12/2011, successiva denuncia del 29/12/2011), ha prontamente interessato la Banca lituana presso cui era stato accreditato il bonifico disposto il 21/12/2011, ma la stessa il 3/01/2012 ha risposto che il bonifico era stato incassato dal beneficiario il 22/12/2011. Pag. 4/7
La parte ricorrente, in risposta alle controdeduzioni, richiama nuovamente il disposto dell'articolo 12 del D.lgs 11/2010; A fronte di tale disposizione normativa e del fatto che, come riconosciuto dallo stesso intermediario, la parte ricorrente è stata "vittima di una frode informatica" e dunque di un "utilizzo indebito dello strumento di pagamento", non comprende le ragioni per cui l intermediario ritenga di non dover procedere al risarcimento richiesto. A nulla vale, secondo la ricorrente, il richiamo operato da controparte alle clausole contrattuali del servizio di home banking che, risalendo al 2007, risultano superate dal D.lgs. 11/2010. In proposito viene richiamata la Decisione ABF N. 2029 del 13 giugno 2012: "all'epoca dei fatti all'origine del presente procedimento era già in vigore la normativa (di recepimento della c.d. Direttiva PSD) di cui al D. Lgs. 27 gennaio 2010, n. 11. Per le medesime ragioni, la parte ricorrente ritiene priva di rilievo anche la descrizione riportata dall intermediario riguardo i livelli di sicurezza del sistema. Premesso che tali misure non possono, infatti, certamente garantire 1'inviolabilità del sistema, come del resto ampiamente dimostrato dalla frode informativa di cui la parte ricorrente è stata vittima, la loro adozione non inficia in ogni caso il disposto del già menzionato articolo 12. DIRITTO Ai fini del decidere, giova preliminarmente rilevare come la società ricorrente sia qualificabile come microimpresa ai fini dell applicazione delle disposizioni contenute nel d.lgs. n. 11/2010. Ne discende che, per quanto interessa in questa sede, non sono da considerarsi valide ed opponibili al cliente eventuali clausole contrattuali che limitino la responsabilità dell intermediario in caso di ordini di pagamento effettuati senza l autorizzazione del titolare dello strumento, secondo quanto disposto dagli articoli 10 e seguenti del citato decreto legislativo. Ciò premesso, si tratta allora di valutare in base alle circostanze di fatto descritte in narrativa e non contestate dalle parti se la richiesta di riaccredito della somma di euro 17.112,00 addebitata dalla banca sul conto del ricorrente a seguito dell esecuzione di un ordine di bonifico on-line da questi successivamente qualificato come non autorizzato debba ritenersi fondata e possa di conseguenza essere accolta. Le coordinate normative sulle quali il giudizio di questo Collegio deve basarsi sono, come detto, contenute nel d.lgs. n. 11/2010 che ha attuato in Italia la c.d. Pag. 5/7
direttiva PSD (Payment System Directive) ed, in particolare, nell art. 10 di tale provvedimento. Il primo comma di questa norma dispone che qualora l utilizzatore di servizi di pagamento neghi di aver autorizzato un operazione di pagamento già eseguita sia onere del prestatore del servizio provare che detta operazione sia stata correttamente eseguita. Il secondo comma aggiunge che, in tal caso, l utilizzo di uno strumento di pagamento registrato dal prestatore del servizio non è di per sé necessariamente sufficiente a dimostrare che l operazione sia stata autorizzata dall utilizzatore medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno degli obblighi di cui all art. 7. L art. 7, a sua volta, pone in capo al cliente l obbligo di: (a) utilizzare lo strumento di pagamento secondo le modalità indicate in contratto;(b) comunicare senza indugio al prestatore del servizio i casi di furto, smarrimento o utilizzo non autorizzato dello strumento da parte di terzi. Dal complesso delle disposizioni sopra riportate emerge, dunque, che in caso di operazioni di pagamento non autorizzate, l onere della prova grava sull intermediario, il quale per sottrarsi alla richiesta di riaccredito del cliente - dovrà dimostrare non solo di aver diligentemente adempiuto a tutti gli obblighi che su di lui gravano ai sensi di legge e di contratto; ma anche e soprattutto che l utilizzo fraudolento dello strumento di pagamento è da imputarsi ad un comportamento illecito doloso o gravemente colposo del cliente. In difetto di tale prova, l intermediario dovrà quindi provvedere a riaccreditare l importo del pagamento non autorizzato sul conto del cliente, al netto di una franchigia non superiore ad euro 150 (art. 12, commi 2 e 3, d. lgs. n. 11/2010). Nel caso che occupa, non è emersa alcuna circostanza in fatto che possa configurare una grave violazione, da parte del cliente, degli obblighi di diligente custodia e utilizzo dello strumento di pagamento che su di lui gravano. Né la semplice circostanza che il bonifico di cui si controverte sia stato effettuato utilizzando le chiavi di accesso riservate in possesso del ricorrente può essere considerato elemento di prova sufficiente a tal fine, stante il chiaro tenore letterale dell art. 10, comma 2, d. lgs. n. 11/2010. Una qualche rilevanza avrebbe forse potuto assumere il ritardo di alcuni giorni con il quale l operazione di pagamento in contestazione è stata segnalata all intermediario. Tuttavia, trattandosi di un periodo a cavallo delle festività natalizie (il bonifico è del 21 dicembre e la segnalazione è del 28 dicembre), si ritiene che il ritardo nella segnalazione sia in Pag. 6/7
parte giustificato da tale circostanza e non sia dunque qualificabile come inadempimento grave all obbligo di comunicazione previsto dall art. 7, comma 1, lett. b, d. lgs. n. 11/2010. Giova altresì rilevare che il bonifico risulta comunque incassato il giorno immediatamente successivo a quello dell ordine (22 dicembre), sicché anche sotto il profilo del nesso di causalità il ritardo in questione non appare meritevole di autonomo apprezzamento. Per contro, l intermediario non ha fornito la prova che l ordine di pagamento è stato effettivamente autorizzato dal titolare dello strumento, né che l utilizzo non autorizzato dello stesso sia stato reso possibile da un inadempimento gravemente colposo (o addirittura doloso) del cliente agli obblighi derivanti dal contratto che regola il servizio di corporate-banking. A ciò si aggiunga che, nella specie, l intermediario non ha neppure dimostrato di aver adottato strumenti tecnici di protezione in grado di assicurare un elevato standard di sicurezza dei propri sistemi informatici in grado di scongiurare utilizzi fraudolenti dei codici di accesso e delle password del cliente, così come richiesto dall Autorità di vigilanza. Di conseguenza in conformità a quanto stabilito dall art. 12, co. 2, d. lgs. n. 11/2010 ed al costante orientamento dell ABF sul punto, recentemente ribadito anche dal Collegio di coordinamento il ricorrente non dovrà sopportare la perdita derivante dall utilizzo non autorizzato dello strumento di pagamento, fatta salva la franchigia di euro 150 prevista dal contratto. P.Q.M. Il Collegio accoglie parzialmente il ricorso nei sensi di cui in motivazione. Dispone inoltre che l intermediario corrisponda alla Banca d Italia la somma di Euro 200,00 (duecento/00) quale contributo alle spese della procedura e al ricorrente di Euro 20,00 (venti/00) quale rimborso della somma versata alla presentazione del ricorso. IL PRESIDENTE firma 1 Pag. 7/7