La responsabilità dell’utente nei casi di frode informatica: evoluzione normativa e orientamenti dell’Arbitro Bancario Finanziario

Nell’attuale contesto digitale, i casi di frodi informatiche legate ai servizi di pagamento online sono in costante aumento. Tra le più diffuse si annoverano il phishing (invio di comunicazioni ingannevoli per carpire dati sensibili), lo spoofing (falsificazione dell’identità del mittente), il vishing (voice phishing, ossia le truffe telefoniche), lo smishing (messaggi SMS fraudolenti) e le più sofisticate tecniche di “Man in the Browser” (MITB), che operano attraverso l’infezione del dispositivo dell’utente. In questo scenario, per l’utente dei servizi bancari risulta spesso difficile dimostrare di aver adottato una condotta diligente e conforme alle regole di sicurezza richieste. È dunque utile esaminare cosa preveda la normativa di settore e quale sia l’orientamento consolidato della giurisprudenza dell’Arbitro Bancario Finanziario (ABF) in materia.

La disciplina in materia di responsabilità nei servizi di pagamento trova il suo principale riferimento nel D. Lgs. 11/2010, emanato in attuazione della Direttiva 2007/64/CE (PSD1) e successivamente modificato dal D. Lgs. 218/2017 per recepire la Direttiva (UE) 2015/2366 (PSD2). Tale normativa mira a bilanciare gli obblighi e le responsabilità tra utenti e prestatori di servizi di pagamento, con l’obiettivo di tutelare la fiducia dei consumatori nel sistema dei pagamenti digitali.

L’art. 7 del D. Lgs. 11/2010 individua gli obblighi dell’utente, il quale deve utilizzare lo strumento di pagamento secondo le condizioni contrattuali, adottando misure di sicurezza idonee e denunciando tempestivamente l’uso non autorizzato del mezzo. L’art. 12 del D. Lgs. 11/2010, tuttavia, limita la responsabilità dell’utente ai soli casi di dolo, colpa grave o comportamento fraudolento, ponendo in capo al prestatore di servizi l’onere di dimostrare tali elementi. In assenza di prova, l’utente non sopporta le conseguenze economiche della frode, salvo un’eventuale franchigia non superiore a 50 euro.

Sul fronte opposto, l’art. 8 del D. Lgs. 11/2010 impone al prestatore di servizi obblighi di sicurezza e diligenza, tra cui la garanzia che le credenziali personalizzate non siano accessibili a terzi non autorizzati e la predisposizione di sistemi di prevenzione e blocco delle operazioni sospette. L’art. 10 rafforza ulteriormente la tutela dell’utente, stabilendo che il prestatore debba provare non solo l’autenticazione e la corretta esecuzione dell’operazione, ma anche che questa non sia stata viziata da malfunzionamenti o carenze procedurali.

La giurisprudenza dell’Arbitro Bancario Finanziario (ABF) ha progressivamente consolidato un orientamento volto a tutelare l’utente, chiarendo che la prova della mera regolarità formale dell’operazione fornita dal prestatore di servizi non è sufficiente a dimostrare la colpa grave del cliente. Il Collegio di Bologna (dec. n. 7258/2020) ha affermato che l’intermediario deve fornire elementi concreti sulle modalità della frode da cui possa desumersi, anche in via presuntiva, una condotta gravemente colposa. In linea con ciò, i Collegi di Napoli e Roma (dec. nn. 3192/2012; 1910/2012; 2260/2012) hanno precisato che l’adozione di sistemi di autenticazione a due fattori non basta a fondare la presunzione di colpa grave, dovendosi valutare l’efficacia complessiva dei presidi di sicurezza adottati dalla banca.

L’evidente squilibrio probatorio che tale normativa determina in capo all’intermediario è giustificata dal principio del “rischio d’impresa”, secondo cui, come confermato dal Collegio di Roma (dec. nn. 1111/2010 e 3498/2012) “è razionale far gravare i rischi statisticamente prevedibili legati ad attività oggettivamente pericolose, che interessano un’ampia moltitudine di consumatori o utenti, sull’impresa, in quanto quest’ultima è in grado, attraverso la determinazione di prezzi di vendita dei beni o di fornitura del servizio, di ribaltare sulla masse dei consumatori e degli utenti il costo dell’assicurazione di detti rischi. Si tende, in altri termini, a spalmare sulla moltitudine degli utilizzatori il rischio dell’impiego fraudolento”.

Un’importante evoluzione interpretativa si registra anche con riferimento alle truffe di tipo MITB, una sofisticata forma di attacco informatico che, diversamente dal tradizionale phishing, si realizza attraverso un malware capace di inserirsi nel browser dell’utente e intercettare o modificare le operazioni in corso, simulando pagine e messaggi del tutto autentici. L’ABF – Collegio di Coordinamento (dec. n. 3498/2012) ha chiarito che tali casi si distinguono radicalmente dalle ipotesi di phishing, poiché il meccanismo di intrusione è in grado di sorprendere anche un utente diligente e non può di per sé integrare una condotta colposa. Ne consegue che, anche in presenza di un’infezione del dispositivo dell’utente, non può automaticamente desumersi una violazione dei doveri di custodia, essendo l’istituto bancario tenuto ad adottare sistemi idonei a prevenire e contrastare simili attacchi.

In conclusione, l’evoluzione normativa e giurisprudenziale conferma un chiaro orientamento di protezione dell’utente e di allocazione del rischio d’impresa in capo all’intermediario, chiamato a garantire standard elevati di sicurezza e a dimostrare, in caso di frode, l’assenza di proprie negligenze o carenze procedurali.

Edoardo Di Cola