COLLEGIO DI BOLOGNA
composto dai signori:
(BO) MARINARI Presidente
(BO) BERTI ARNOALDI VELI Membro designato dalla Banca d'Italia
(BO) DI STASO Membro designato dalla Banca d'Italia
(BO) SOLDATI Membro di designazione rappresentativa
degli intermediari
(BO) MARINARO Membro di designazione rappresentativa
dei clienti
Relatore MARCO MARINARO
Seduta del 29/05/2018
FATTO La parte ricorrente espone quanto segue:
è titolare della carta di credito n. ***5201 rilasciata dall’intermediario A ed emessa dall’intermediario B;
in data 5.05.2017, in seguito ad una verifica della lista movimenti effettuati mediante la predetta carta, poteva constatare la presenza di due operazioni di pagamento:
una dell’importo di euro 1.126,97, effettuata il 27.04.2017 ed un’altra dell’importo di euro 1.353,15, eseguita il 2.05.2017, avvenute entrambe sul sito “…”;
le predette operazioni non sono state né autorizzate né eseguite dallo stesso;
chiedeva chiarimenti in merito all’accaduto ad entrambi gli intermediari convenuti, i quali gli rappresentavano che le operazioni disconosciute erano state effettuate mediante il corretto inserimento delle password previste per gli acquisti on line, che risultavano essere state inviate via SMS;
in seguito ad ulteriori verifiche apprendeva dagli intermediari convenuti,
altresì, che in data 29.04.2017, alle ore 8,45, era stato variato il numero di cellulare abbinato alla carta, ove vengono inviate le password necessarie ad autorizzare le operazioni di pagamento, mediante il Portale Titolari messo a disposizione dall’intermediario A;
non ha mai effettuato alcuna variazione del numero di telefono cellulare abbinato alla carta né ricevuto alcun SMS contenente le password dispositive necessarie ad autorizzare le operazioni in questione;
invero, nel periodo in cui sono state effettuate le transazioni disconosciute si trovava all’estero, in Olanda, ed aveva riscontrato problemi con la propria linea telefonica. Infatti, la propria scheda SIM si era bloccata ed era, conseguentemente, diventato impossibile ricevere chiamate ed SMS;
in data 19.07.2017 presentava formale reclamo per l’accaduto che, tuttavia, veniva riscontrato negativamente da entrambi gli intermediari convenuti.
Il ricorrente afferma il proprio diritto al rimborso di una somma pari all’importo delle operazioni di pagamento disconosciute essendo stata vittima di truffa informatica da parte di ignoti. In particolare,
la normativa in materia prevede che il rischio di utilizzazione fraudolenta degli strumenti di pagamento ricada, in prima battuta, sull’intermediario, il quale può sottrarsi all’obbligo di rimborso delle somme fraudolentemente sottratte fornendo la prova del dolo ovvero della colpa grave dell’utilizzatore, ai sensi degli artt. 7 e 12, c.4, del d.lgs.
n. 11/2010 e della Sez. IV § 2 del Provvedimento della Banca d’Italia del 5.07.2011;
in tal senso si è consolidato l’orientamento del Collegio di Coordinamento, con le decc. n. 5304/2013, n. 6168/2013 e n. 1033/2012;
tale orientamento, da ultimo, ha trovato riscontro nella sentenza della Corte di Cassazione n. 2950 del 3.2.2017, la quale ha statuito che la disciplina speciale in tema di strumenti di pagamento ha esplicitato il principio generale in tema di onere probatorio a carico del debitore professionale, nelle azioni di risoluzione contrattuale, risarcimento del danno o adempimento: « in quanto si è ritenuto che non può essere omessa la verifica dell’adozione da parte dell’istituto bancario delle misure idonee a garantire la sicurezza del servizio [….]; infatti, la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell’accorto banchiere » (Cass. n. 2950/17, sulla scia di Cass. 12.06.2007 n. 13777).
L’intermediario A nel confermare i fatti come ex adverso affermati:
eccepisce la propria carenza di legittimazione passiva in qualità di semplice soggetto collocatore della carta di credito in questione;
il foglio informativo della carta in questione individua chiaramente l’intermediario B quale emittente il prodotto e l’intermediario A qual soggetto collocatore della carta;
sempre il foglio informativo della società emittente – intermediario B - (cfr.
allegato n. 2) precisa che: «Il Titolare può presentare reclami all’emittente - Servizio Clienti, con comunicazione scritta... L'emittente darà riscontro al reclamo entro 30 giorni dalla sua ricezione, indicando in caso di accoglimento i tempi previsti per risolvere il problema se non soddisfatto ... il Titolare, nei casi previsti dalla legge, può rivolgersi all’Arbitro Bancario Finanziario»;
inoltre, nel modulo di rimborso indirizzato all’intermediario B, sottoscritto dal ricorrente, nel primo capoverso si legge: «Il sottoscritto richiede alla Banca, verificata la sussistenza dei necessari presupposti, di autorizzare l’intermediario B all'emissione della/e Carte/Carte di pagamento sotto indicata/e » (cfr. allegato n. 3);
conseguentemente, le proprie filiali si limitano alla sola gestione, al censimento anagrafico ed al trattamento dei dati personali dei soggetti richiedenti, segnalando e inviando la relativa documentazione;
il proprio ruolo è stato quello di mero collocatore della carta di credito oggetto del presente ricorso in virtù di un accordo di carattere commerciale concluso con l’intermediario B;
ne consegue che il ricorso deve essere presentato, esclusivamente, nei confronti dell’intermediario B.
L’intermediario B afferma, anche a mezzo della documentazione allegata al ricorso, che:
il ricorrente era titolare di una carta di credito appartenente al circuito Visa ed era regolarmente iscritto al Portale Titolari (cfr. all. 1) con accesso alla sua area riservata mediante chiavi di sicurezza che solo lui avrebbe dovuto conoscere;
il 29 aprile 2017, alle ore 8:45, qualcuno, utilizzando le chiavi di sicurezza note, almeno in teoria, solo al ricorrente, ha fatto una variazione del numero di cellulare inserito in precedenza e abbinato alla carta di credito del ricorrente;
di tale modifica veniva data immediata notizia, tramite SMS, al numero di telefono del ricorrente (cfr. all. 5);
come emerge dai log delle operazioni in questione, entrambe le transazioni disconosciute si sono concluse secondo i protocolli di sicurezza dei circuiti internazionali.
In particolare, al momento della richiesta è stato inviato, sul nuovo numero presente in archivio, un codice OTP (cfr. all. 7) necessario per portare a termine le operazioni di pagamento disconosciute con il presente ricorso.
In punto di diritto:
ha adottato tutte le misure atte alla prevenzione di frodi telematiche. I Circuiti Internazionali hanno da tempo adottato protocolli di sicurezza relativi alle vendite online per tutelare al massimo i clienti e il fatto che le operazioni si siano concluse secondo le regole stabilite (cioè che le transazioni sono state validate dall’inserimento del codice OTP da parte del cliente) rende impossibile tentare di rivalersi in alcun modo intraprendendo azioni di recupero delle somme contestate;
il ricorrente, con il suo comportamento, ha vanificato le misure messe in campo per fornire la massima tutela contro questi eventi criminosi, rendendosi anche inadempiente alle norme contrattuali che raccomandano ai clienti la massima attenzione nella custodia e nell’utilizzo degli strumenti di pagamento e di tutti i dispositivi di sicurezza ad essi collegati (cfr. all. 9).
DIRITTO
1. - L’intermediario A eccepisce la propria carenza di legittimazione passiva (o più correttamente di carenza di titolarità passiva del rapporto dedotto). poiché nel caso di specie questi riveste il ruolo esclusivamente di intermediario collocatore della carta di credito oggetto del presente ricorso.
Sul punto, il Collegio rileva che il rapporto, complesso, che presiede all’emissione della carta di pagamento (emissione da parte di istituto diverso da quello resistente, ma collocazione a cura di quest'ultimo sul cui conto corrente peraltro erano a valere le operazioni effettuate con lo strumento di pagamento), fa sì che, quand’anche nel caso in vertenza manchi la produzione della modulistica contrattuale, al fine di garantire al consumatore la piena tutela delle proprie posizioni giuridiche, anche in omaggio a principi di legittimo affidamento dal medesimo coltivati (le relazioni commerciali venivano sostanzialmente tenute dal cliente con la resistente, in relazione a detto strumento di pagamento), non possa che condurre a un’interpretazione pragmatica ed estensiva della legittimazione passiva, in modo tale che possa essere coinvolto anche l'intermediario che ha collocato (e consentito che venisse collegato a proprio conto corrente) la carta (Coll.
Bologna, dec. n. 12875/17; dec. n. 1883/18).
Un tale orientamento, peraltro, risulta confermato dalla giurisprudenza dell’ABF, la quale, in vertenze di analogo tenore a quello attuale, ha statuito che “il Collegio arbitrale, seguendo il proprio consolidato orientamento (si vedano per tutte le decisioni n. 3341 del 16 ottobre 2012 e n. 320 del 2 febbraio 2012), ritiene che l’eccezione di difetto di legittimazione passiva, sollevata in via preliminare dall’intermediario non possa essere accolta, in considerazione del nesso particolarmente intenso che collega l’intermediario e l’emittente nell’emissione e nel collocamento presso la clientela del peculiare tipo di carta di credito oggetto della presente controversia».
L’eccezione è dunque priva di pregio deve essere disattesa.
2. - La parte ricorrente disconosce due operazioni di pagamento online: una effettuata in data 27.04.2017 dell’importo di euro 1.126,97 e una effettuata in data 2.05.2017 dell’importo di euro 1.353,15 mediante la carta di credito n.***5201 in propria titolarità emessa dall’intermediario B e collocata dall’intermediario A.
2. - La responsabilità dell’emittente di una carta di pagamento elettronico per il suo utilizzo non autorizzato è disciplinata dall’art. 12 del d.lgs. 27 gennaio 2010, n. 11, il quale ha attuato nell’ordinamento giuridico italiano la direttiva 2007/64/CE relativa ai servizi di pagamento nel mercato interno europeo.
Nel caso di specie, la responsabilità dell’emittente è disciplinata pertanto dall’art. 12, comma 3, del medesimo decreto, il quale statuisce che, «salvo il caso in cui abbia agito con dolo o colpa grave ovvero non abbia adottato le misure idonee a garantire la sicurezza dei dispositivi personalizzati che consentono l’utilizzo dello strumento di pagamento, prima della comunicazione eseguita ai sensi dell’art. 7, 1° comma, lett. b), l’utilizzatore medesimo può sopportare per un importo comunque non superiore complessivamente a € 150,00 la perdita derivante dall’utilizzo indebito dello strumento di pagamento conseguente al suo furto o smarrimento».
In virtù di tale disposizione legislativa, il prestatore di servizi di pagamento può escludere la propria responsabilità per l’utilizzo non autorizzato di uno strumento di pagamento soltanto provando la colpa grave dell’utilizzatore, la quale costituisce un fatto impeditivo del risarcimento del danno, ai sensi dell’art. 2697, comma 2, c.c.
A tale proposito, si deve in generale premettere che, secondo la giurisprudenza di legittimità, la colpa grave è costituita da una «straordinaria e inescusabile» imprudenza, negligenza o imperizia, la quale presuppone che sia stata violata non solo la diligenza ordinaria del buon padre di famiglia di cui all’art. 1176, comma 1, c.c., ma anche «quel grado minimo ed elementare di diligenza generalmente osservato da tutti» (Cass., 3 maggio 2011, n. 913; Cass., 19 novembre 2001, n.14456).
È bensì vero che, ai sensi dell’art. 7, comma 1, lett. b), del d.lgs. n.11 del 2010, il titolare di uno strumento di pagamento ha l’obbligo di «utilizzare lo strumento di pagamento in conformità con i termini, esplicitati nel contratto-quadro, che ne regolano l’emissione e l’uso». Tuttavia, l’art. 10, comma 2, del d.lgs. n.11 del 2010 statuisce che, «quando l’utilizzatore di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita, l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utilizzatore medesimo, né che questi abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’art. 7».
3. – Nel caso di specie, l’intermediario eccepisce la legittima esecuzione e sostanziale regolarità delle operazioni contestate, producendo a tal proposito idonea evidenza informatica.
L’intermediario ha prodotto i “log” delle operazioni disconosciute e i “log” dei passaggi di certificazione delle operazioni che ne attestano la sua conformità alle regole del 3D Secure; ha precisato poi che il numero dell’utenza telefonica associata alla carta è stato variato mediante il “Portale Titolari”. L’intermediario ha prodotto, inoltre, l’SMS inviato al ricorrente, con cui lo informava dell’avvenuta variazione del numero dell’utenza telefonica associato alla predetta carta.
Si rileva altresì che dalla suddetta evidenza emerge che il numero di telefono abbinata alla carta è stato variato in data 29.04.2017 mentre le operazioni disconosciute sono state effettuate il 27.04.2017 e il 1.05.2017.
L’intermediario ha fornito, infine, evidenza degli SMS di invio dei codici OTP per le operazioni disconosciute. Dalla suddetta documentazione emerge che:
il numero di telefono a cui è stata inviata l’OTP utilizzata per autorizzare l’operazione di pagamento effettuata il 27.04.2017 corrisponde a quello che era stato fornito antecedentemente al 29.04.2017, data in cui è stato cambiato;
il numero di telefono a cui è stata inviata l’OTP utilizzata per autorizzare l’operazione di pagamento effettuata il 1.05.2017 corrisponde, invece, a quello variato il 29.04.2017.
L’intermediario fa presente che, dalla circostanza che le operazioni disconosciute sono state concluse con il valido inserimento dei codici OTP, è possibile ricavare la negligenza del ricorrente nella custodia dei dispositivi di sicurezza collegati alla carta. Si rileva poi che le parti non hanno prodotto la denuncia sporta all’Autorità di P.S. per l’accaduto.
4. - Appare evidente dalla ricostruzione emersa nel contraddittorio tra le parti che l’intrusione non autorizzata nel sistema - lungi dall’essere causata da un insufficiente grado di protezione informatica e dal servizio offerto dall’intermediario - appare ascrivibile a colpa grave del cliente che ha inserito anche in codice dispositivo OTP ricevuto via SMS consentendo la corretta autenticazione delle operazioni.
In considerazione di tale orientamento – che questo Collegio ritiene di condividere – e delle risultanze agli atti allegati dalle parti, deve ritenersi che parte ricorrente sia incorsa nella violazione degli obblighi prescritti dall’art. 7 del D.Lgs. n. 11/2010. Ne consegue che nel comportamento della ricorrente è ravvisabile la colpa grave che, ai sensi dell’art. 12, commi 3 e 4, del richiamato decreto, non consente di accogliere la sua richiesta di rimborso della somma indebitamente sottratta (cfr. Coll Roma, dec. n. 3076/2015; Coll.
Milano, dec. n. 8841/2016; Coll. Roma, dec. n. 8487/16, Coll. Napoli, dec. n. 1965/2017;
Coll. Bologna, dec. n. 8498/18).
PER QUESTI MOTIVI Il Collegio non accoglie il ricorso.
IL PRESIDENTE
firma 1
