IL COLLEGIO DI ROMA. [Estensore] Membro designato dal Conciliatore Bancario Finanziario

IL COLLEGIO DI ROMA composto dai Signori:

Avv. Bruno De Carolis Membro designato dalla Banca d’Italia, che svolge le funzioni di Presidente

Prof. Avv. Pietro Sirena Membro designato dalla Banca d'Italia [Estensore]

Prof. Avv. Vincenzo Meli Membro designato dalla Banca d'Italia

Avv. Diego Corapi Membro designato dal Conciliatore Bancario Finanziario

Prof. Avv. Maddalena Rabitti Membro designato dal C.N.C.U.

nella seduta del 05/02/2013 dopo aver esaminato x il ricorso e la documentazione allegata;

x le controdeduzioni dell'intermediario e la relativa documentazione;

x la relazione istruttoria della Segreteria tecnica, Fatto

La ricorrente ha affermato: -che sarebbe la titolare di un conto corrente presso la banca resistente e di una carta bancomat; -che, il 3 luglio 2011, avrebbe consegnato la propria carta bancomat al coniuge, il quale si sarebbe recato presso uno sportello ATM della banca resistente per effettuare un prelievo; -che, a seguito della digitazione del codice PIN, la suddetta carta bancomat sarebbe stata trattenuta dallo sportello ATM; -che, in tale circostanza, alcune persone probabilmente straniere, le quali sostavano nelle vicinanze, avrebbero consigliato al marito della ricorrente di fare ritorno il giorno seguente alla filiale della banca resistente, per farsi restituire la carta; -che, recatasi presso la filiale della banca resistente il 4 luglio 2011, la ricorrente sarebbe stata informata dal personale che la suddetta carta bancomat in realtà non era stata trattenuta dallo sportello ATM; - che la ricorrente avrebbe pertanto provveduto a bloccare la carta; -che ella si sarebbe altresì avveduta di due prelievi non autorizzati, effettuati il 3 luglio 2011, alle ore 16:05 (€ 250,00) e il 4 luglio 2011, alle ore 07.57 (€ 250,00 euro); -che, l’11 luglio 2011, avrebbe sporto denuncia all’autorità di Pubblica Sicurezza; -che, il 12 luglio 2011, avrebbe chiesto alla banca resistente la restituzione delle somme

fraudolentemente sottrattele; -che, il 2 agosto 2011, la banca resistente le avrebbe comunicato di non poter accogliere tale richiesta di rimborso.

Ciò premesso, la ricorrente ha chiesto che la banca resistente sia condannata al pagamento di € 500,00 a titolo di restituzione delle somme illegittimamente addebitatele.

La banca ha resistito al ricorso, affermando: -che le operazioni disconosciute dalla ricorrente sarebbero state effettuate mediante la digitazione del relativo codice PIN; -che, da una verifica effettuata a seguito di quanto contestato dalla ricorrente, sarebbe stato esclusa qualsiasi anomalia dello sportello ATM di cui si tratta; -che da tale apparecchiatura non sarebbe peraltro emersa alcuna incongruenza contabile; -che, come risulterebbe da una perizia tecnico-scientifica, non sarebbe possibile estrarre il codice PIN dalla banda magnetica di una carta prepegata, né dal suo microchip (se non a seguito di procedure molto costose e lunghe), né mediante accessi fraudolenti on line; -che le uniche ipotesi in cui il codice PIN potrebbe essere stato fraudolentemente ottenuto da un terzo non autorizzato sarebbero costituite dalla manomissione di un terminale ATM ovvero dalla connivenza del personale della banca; -che tali circostanze non si sarebbero verificate nel caso di specie e non sarebbero comunque state neppure allegate dalla ricorrente; -che non sarebbe configurabile un onere della banca emittente di provare che il codice PIN fosse conservato unitamente alla carta di credito o bancomat; -che quando l’incauto comportamento del cliente costituisca l’unico presupposto possibile dell’utilizzo non autorizzato di una carta di credito o bancomat, si dovrebbe ritenere che la sua colpa grave sia provata mediante indizi gravi, precisi e concordanti; -che, in caso contrario, si determinerebbe un sostanziale svuotamento dell’obbligo del titolare di tale carta di custodire diligentemente il codice segreto di accesso; -che il comportamento di colui che annoti il codice segreto insieme alla carta ovvero non si curi di occultarlo a terzi durante la sua digitazione potrebbe essere addirittura caratterizzato da colpa cosciente o dolo eventuale; -che, opinando diversamente, si creerebbero le premesse per avallare disconoscimenti infondati, e addirittura dolosamente preordinati alla realizzazione di vere e proprie truffe nei confronti delle banche.

Ciò posto, la banca resistente ha chiesto che il ricorso sia rigettato perché infondato.

Diritto

La responsabilità dell’emittente di una carta prepagata per il suo utilizzo non autorizzato è disciplinata dall’art. 12 del d.lgs. 27 gennaio 2010, n.11, il quale ha attuato nell’ordinamento giuridico italiano la direttiva 2007/64/CE relativa ai servizi di pagamento nel mercato interno europeo.

Nel caso di specie, le operazioni di prelievo contestate dalla ricorrente sono state effettuate (il 3 e il 4 luglio 2011, ossia) prima che ella, avvedendosene mediante la verifica da parte del personale della banca, effettuasse la comunicazione del suo utilizzo non autorizzato, ai sensi dell’art. 7, 1° comma, lett.

b), del d.lgs. n.11 del 2010.

In particolare, l’art. 12, 3° comma, del medesimo decreto, statuisce che, «salvo il caso in cui abbia agito con dolo o colpa grave ovvero non abbia adottato le misure idonee a garantire la sicurezza dei dispositivi personalizzati che consentono l’utilizzo dello strumento di pagamento, prima della comunicazione eseguita ai sensi dell’art.7, 1° comma, lett. b), l’utilizzatore medesimo può sopportare per un importo comunque non superiore complessivamente a € 150,00 la perdita derivante dall’utilizzo indebito dello strumento di pagamento conseguente al suo furto o smarrimento».

In virtù di tale disposizione legislativa, il prestatore di servizi di pagamento può escludere la propria responsabilità per l’utilizzo non autorizzato di uno strumento di pagamento soltanto provando la colpa grave dell’utilizzatore, la quale costituisce un fatto impeditivo del risarcimento del danno, ai sensi dell’art. 2697, 2°

comma, c.c.

A tale proposito, si deve in generale premettere che, secondo la giurisprudenza di legittimità, la colpa grave è costituita da una «straordinaria e inescusabile»

imprudenza, negligenza o imperizia, la quale presuppone che sia stata violata non solo la diligenza ordinaria del buon padre di famiglia di cui all’art. 1176, 1° comma, c.c., ma anche «quel grado minimo ed elementare di diligenza generalmente osservato da tutti» (Cass., 3 maggio 2011, n.913; Cass., 19 novembre 2001, n.14456).

È bensì vero che, ai sensi dell’art. 7, 1° comma, lett. b), del d.lgs. n.11 del 2010, il titolare di uno strumento di pagamento ha l’obbligo di «utilizzare lo strumento di pagamento in conformità con i termini, esplicitati nel contratto-quadro, che ne regolano l’emissione e l’uso».

Tuttavia, l’art. 10, 2° comma, del d.lgs. n. 11 del 2010 statuisce che, «quando l’utilizzatore di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita, l’utilizzazione di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utilizzatore medesimo, né che questi abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’art.7».

Il fatto stesso dell’utilizzo non autorizzato della carta prepagata intestata alla ricorrente non costituisce pertanto la prova che, per quanto qui rileva, ella abbia agito con dolo o colpa grave.

La banca resistente ha tuttavia obiettato che, fermo restando il principio di diritto che è stato appena enunciato, sarebbe tecnicamente impossibile ricavare il PIN dalla carta stessa e che le particolari circostanze di luogo e di tempo che caratterizzano il caso di specie costituirebbero piuttosto gli indizi gravi, precisi e concordanti di una colpa grave della ricorrente, ai sensi dell’art. 2729 c.c. (p. 10 s.

delle controdeduzioni).

Tale difesa è tuttavia infondata e deve essere pertanto respinta.

Nelle proprie precedenti decisioni, questo Arbitro ha costantemente ribadito (e per tutte v. la decisione ABF, Collegio di Roma, n. 665 del 2010) che «allo stato delle conoscenze tecnologiche non si può affatto escludere la possibilità della sottrazione al cliente, da parte del terzo frodatore, dei codici identificativi attribuiti al primo per l’accesso ai servizi bancari on line o per l’utilizzo di strumenti di pagamento, senza che al comportamento del cliente possa riconoscersi alcuna efficienza causale nella produzione del fatto illecito (il “furto” dei detti codici d’accesso o numeri identificativi)». Questo principio di diritto è stato recentemente ribadito dal Collegio di Coordinamento di questo Arbitro nella decisione n. 3498 del 2012.

La stessa banca resistente non si perita peraltro di affermare che l’inserimento stesso di una carta di credito o bancomat negli appositi lettori delle postazioni ATM rende tecnicamente possibile la duplicazione dei dati contenuti nella sua

banda magnetica, e pertanto la sua clonazione (p. 8 delle controdeduzioni). Ciò può peraltro avvenire mediante dispositivi estremamente semplici da parte dei terzi frodatori, come il posizionamento nella postazione ATM di un apposito lettore della carta che copia i dati contenuti nella banca magnetica (c.d. skimmer) e l’installazione di una telecamera ovvero di una tastiera identica a quella originale per la “cattura” del PIN (v. la presentazione ABI, 23 marzo 2011, Attacchi ai Bancomat. Le protezioni antiskimmer e “antitaccheggio”. Integrazione protezione esplosioni e scasso).

Per quanto riguarda poi la presunzione che è stata invocata dalla banca resistente ai sensi dell’art. 2729 c.c., si deve anzitutto rilevare che tale difesa si risolve nel tentativo di dedurre da alcune circostanze di fatto la prova della mancata diligente custodia dei codici segreti, da cui per successiva presunzione si vorrebbe avvalorare l’ipotesi che un terzo abbia potuto acquisirli e farne uso.

Questo Arbitro ha tuttavia rilevato che, in mancanza di un fatto noto, non è consentito far riferimento a un fatto presunto (che il PIN utilizzato dal terzo fosse stato sottratto al titolare della carta) per far derivare da questo un’ulteriore presunzione (che il PIN fosse conservato insieme alla carta): secondo un consolidato orientamento della giurisprudenza di legittimità, la c.d. presumptio de praesumpto non è infatti generalmente ammessa dall’ordinamento giuridico (Cass., 20 giugno 2006, n. 14115; Cass., n. 9 aprile 2002, n. 5045; Cass., 28 gennaio 1995, n. 1044).

Peraltro, in base all’esposizione dei fatti che è contenuta della denuncia della ricorrente all’Autorità di Pubblica Sicurezza (e allegata al ricorso), si deve rilevare che la sottrazione della carta bancomat al coniuge della ricorrente è causalmente ricollegata in via esclusiva alla manomissione del terminale ATM della banca resistente, non risultando che sia stata invece cagionata dall’eventuale influenza che le persone le quali sostavano nelle vicinanze possano aver avuto sul coniuge della ricorrente. Proprio quest’ultimo fatto, il quale non è stato specificamente contestato dalla banca resistente, diversifica il caso che costituisce oggetto del presente giudizio da quello che è stato risolto da questo Arbitro mediante la decisione del Collegio di Roma n. 261 del 2011.

Secondo le precedenti decisioni di questo Arbitro, la banca risponde infatti di tutti i rischi tipici della sua sfera professionale per la cui eliminazione non abbia provveduto all’adozione di mezzi idonei. In particolare, nel caso di prelievo

fraudolento fatto con una carta bancomat trattenuta dallo sportello automatico manomesso, la banca è esclusiva responsabile, in quanto, da una parte, le strutture tecniche, vale a dire i terminali ATM, sono di sua esclusiva proprietà e pertinenza, dall’altro, non ha palesemente adottato tutte le misure idonee a garantire la sicurezza del servizio da eventuali manomissioni da parte di terzi (decisioni ABF, Collegio di Milano, n. 1496 del 2010 e n. 1454 del 2011).

Secondo i precedenti decisi da questo Arbitro, inoltre, nessuna negligenza è addebitabile al cliente, in quanto «occorre tenere conto che l’episodio si è svolto in giorno di sabato e che, pertanto, il ricorrente non ha potuto avvertire i dipendenti dello sportello bancario del malfunzionamento dell’ATM» (decisione ABF, Collegio di Milano, n. 1454 del 2011). Nel caso di specie, tale principio di diritto è applicabile a maggior ragione, se si considera che il fatto di cui si tratta è accaduto nel giorno di domenica (3 luglio 2011).

L’orientamento di questo Arbitro che si è appena riassunto è peraltro strettamente conforme al principio di diritto enunciato dalla giurisprudenza di legittimità, secondo il quale «la banca risponde di tutti i rischi tipici della sua sfera professionale per la cui eliminazione non ha provveduto all’adozione di mezzi idonei (nella fattispecie, è responsabile del prelievo fraudolento fatto con bancomat trattenuto dallo sportello bancomat manomesso). […] Ai fini della valutazione della responsabilità contrattuale della banca per il caso di utilizzazione illecita da parte di terzi di carta bancomat trattenuta dallo sportello automatico non può essere omessa, a fronte di un’esplicita richiesta della parte, la verifica dell’adozione da parte dell’istituto bancario delle misure idonee a garantire la sicurezza del servizio da eventuali manomissioni, nonostante l’intempestività della denuncia dell’avvenuta sottrazione da parte del cliente e le contrarie previsioni regolamentari; infatti, la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell’accorto banchiere» (Cass., civ., 12 giugno 2007, n. 13777; le sottolineature sono di chi scrive).

Ciò posto, non si può a priori escludere che, così com’è stato ipotizzato dalla banca resistente (pp. 4-5 delle controdeduzioni), terzi siano venuti a conoscenza dei codici identificativi della ricorrente. Tuttavia, com’è noto, ai sensi dell’art. 2697,

2° comma, c.c., l’onere della prova di tale fatto grava pur sempre sulla banca resistente che, nel caso di specie, non lo ha tuttavia assolto.

Poiché questo Arbitro ritiene che non sia stata provata la colpa grave della ricorrente, ai sensi dell’art. 12, 3° comma, del d.lgs n.11 del 2010 la banca resistente è nei suoi confronti responsabile del danno costituito dalla perdita dell’importo addebitatole, fermo restando quanto si dirà subito dopo a proposito del limite di tale responsabilità (c.d. franchigia).

L’art. 12, 3° comma, del d.lgs. n.11 del 2010 prevede che l’utilizzatore di uno strumento di pagamento possa sopportare per un importo complessivamente non superiore a € 150,00 la perdita derivante dall’utilizzo indebito di tale strumento, conseguente al suo furto o smarrimento.

Questo Arbitro ritiene che tale importo debba essere caso per caso determinato secondo i seguenti criteri (v. la decisione ABF, Collegio di Roma, n. 1412 del 2012):

1. La proporzione con l’entità della somma fraudolentemente sottratta (in particolare, su una somma esigua, di poche centinaia di euro, la franchigia da dedurre non potrà comunque raggiungere la soglia massima di € 150,00);

2. La maggiore o minore levità della compartecipazione colposa del ricorrente nella produzione del fatto illecito (i prelievi fraudolenti);

3. Il grado di negligenza dell’intermediario.

Per quanto riguarda il punto n.1, nel caso di specie questo Arbitro ritiene che l’importo delle operazioni disconosciute sia esiguo. Non si giustifica pertanto l’applicazione di una franchigia.

Per quanto riguarda il punto n.2, questo Arbitro ritiene che non sussistano specifici elementi probatori di un’eventuale compartecipazione colposa della ricorrente nella produzione del fatto illecito. In particolare, come si è già rilevato, la mancata restituzione della carta bancomat risulta causalmente imputabile in via esclusiva alla manomissione del terminale ATM della banca resistente e, trattandosi di fatti accaduti nel giorno di domenica (3 luglio 2011), il coniuge della ricorrente non poteva avvertire i dipendenti della filiale interessata, ma vi ha tempestivamente provveduto il giorno seguente, non appena avvedutosi dei prelievi non autorizzati.

Per quanto riguarda il punto n.3, conviene premettere che il prestatore di servizi di pagamento deve «assicurare che le caratteristiche di sicurezza personalizzate di uno strumento di pagamento siano accessibili solo all’utente di servizi di pagamento abilitato ad utilizzare lo strumento stesso, salvi restando gli obblighi imposti all’utente di servizi di pagamento di cui all’art. 56». A ciò consegue che il prestatore dei servizi di pagamento può dare la prova di aver adempiuto le proprie obbligazioni contrattuali con la diligenza richiesta dalla natura dell’attività che esercita (art. 1176, 2° comma, c.c.) soltanto dimostrando di aver assicurato che lo strumento di pagamento sia accessibile solo dall’utente.

Ciò vale a maggior ragione, se si considera che la diligenza che è richiesta a una banca nell’adempimento delle proprie obbligazioni deve essere valutata con particolare rigore, perché è «qualificata dal maggior grado di prudenza e attenzione che la connotazione professionale dell’agente consente e richiede»

(Cass. civ., sez. I, 24 settembre 2009, n. 20543).

In particolare, «non può essere omessa […] la verifica dell’adozione da parte dell’istituto bancario delle misure idonee a garantire la sicurezza del servizio […]:

infatti, la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento e assumendo quindi come parametro la figura dell’accorto banchiere»

(Cass. civ., sez. I, 12 giugno 2007, n. 13777).

Non si può peraltro non osservare che, come ribadito da questo Arbitro nella decisione del Collegio di Coordinamento n. 3498 del 2012, il Provvedimento della Banca d’Italia del 5 luglio 2011 ha precisato che i prestatori di servizi di pagamento hanno l’obbligo di dare corso a fasi di verifica teorica e pratica della vulnerabilità dei presidi di sicurezza con relativa revisione periodica del processo stesso, nonché di definire un adeguato insieme di presidî di sicurezza logica e fisica per i sistemi informativi, un efficace processo di controllo interno, un appropriato piano di continuità operativa e una gestione dei rapporti contrattuali con i fornitori esterni coerente con i suddetti vincoli: in breve, un preciso obbligo di costante ed effettivo monitoraggio dell’efficienza del sistema di sicurezza che, come tale, non può non tenere in debita considerazione l’evoluzione dei metodi di aggressione e la costante ricerca di soluzioni protese ad ovviarne o aggirarne le offensive.

Contemperando i suddetti criteri, questo Arbitro ritiene che, nel caso di specie, la franchigia di cui all’art. 12, 3° comma, del d.lgs. n.11 del 2010 non possa trovare applicazione.

In accoglimento del ricorso, la banca resistente è pertanto condannata a pagare la somma di € 500,00, oltre agli interessi legali dal giorno del reclamo a quello del pagamento.

P.Q.M.

Il Collegio accoglie il ricorso nei sensi di cui in motivazione.

Dispone inoltre che l’intermediario corrisponda alla Banca d’Italia la somma di Euro 200,00 (duecento/00) quale contributo alle spese della procedura e al ricorrente di Euro 20,00 (venti/00) quale rimborso della somma versata alla presentazione del ricorso.

IL PRESIDENTE

firma 1