Banca sempre responsabile della gestione del "rischio da ignoto tecnologico"
Lo ha precisato il tribunale di Firenze con la sentenza 3282/2022
La sentenza del Tribunale di Firenze n. 3282/2022 costituisce il tentativo di dare effettiva attuazione all'obiettivo del Legislatore nazionale e comunitario di offrire strumenti di pagamento alternativi al contante, garantendo comunque la sicurezza delle operazioni (e degli utenti!) mediante una maggiore responsabilizzazione degli istituti di credito e degli intermediari finanziari, entro i confini del c.d. rischio professionale.
La decisione mette in evidenza come, in caso di applicazioni illecite, le normative di cui ai Dlgs 11/2010 (attuativo della direttiva PSD) e 58/1998 si intreccino con la disciplina della responsabilità contrattuale ex articolo 1218 c.c. e con quella extracontrattuale dei committenti ex articolo 2049 c.c..
Il caso esaminato
Nel caso di specie, un'anziana signora ha chiesto alla Banca la restituzione di un'ingente somma, fuoriuscita dal suo conto corrente a seguito di alcune operazioni non autorizzate, ma effettuate dal consulente finanziario, venuto in possesso dei codici e delle credenziali di accesso al servizio "home banking". Nonostante l'istituto di credito si sia difeso insistendo sulla mancanza di competenze informatiche e sulla violazione da parte della cliente dei doveri di custodia dei dispositivi, il giudice non ha riscontrato una responsabilità concorrente o colpa grave dell'attrice ed ha accolto in toto le ragioni di quest'ultima.
Tema centrale della vicenda è la "Responsabilità del prestatore dei servizi di pagamento per le operazioni di pagamento non autorizzate" ex articolo 11 del Dlgs 11/2010, che presuppone la consapevolezza degli obblighi di custodia dell'utente (articolo 7) e di protezione del prestatore di servizi (articolo 8). Ciò posto, il Tribunale ha osservato che spetta alla Banca il compito di predisporre misure di prevenzione all'utilizzo abusivo degli strumenti digitali, la cui adeguatezza è da parametrarsi allo sviluppo tecnologico.
In caso di operazioni non autorizzate, l'articolo 10 grava il prestatore del servizio di un doppio onere probatorio, relativo alla corretta autenticazione e al funzionamento dei sistemi e al dolo o colpa grave dell'utente.
La sicurezza delle operazioni informatiche
L'esigenza di rafforzare i presidi di sicurezza delle operazioni informatiche è stata nuovamente avvertita dal Dlgs 218/2017, attuativo della direttiva PSD2, che ha introdotto la cosiddetta procedura di "autenticazione a due fattori", che vincola l'affidabilità dell'accesso (e dell'operazione) alla conoscenza di (almeno) due elementi fra loro indipendenti. Si tratta di un meccanismo "forte", che tuttavia non esonera la Banca da responsabilità, né è sufficiente a giustificare una presunzione di colpa grave dell'utente. Per questo motivo, il Tribunale di Firenze ha precisato che la banca è sempre responsabile della gestione del cosiddetto "rischio da ignoto tecnologico".
Il menzionato obiettivo di rafforzare la fiducia degli utenti nei nuovi strumenti elettronici di pagamento impone di individuare nell'intermediario, quale soggetto professionalmente più competente, la figura garante (e quindi responsabile) dei livelli di sicurezza delle operazioni.
Nella fattispecie concreta, anche a seguito di una valutazione controfattuale ex articolo 40, c. II c.p., l'apparato predisposto dalla Banca è risultato inefficace, consentendo di fatto al consulente finanziario di carpire facilmente le credenziali della cliente.
La quantificazione dei danni
Venendo ai danni cagionati dal consulente finanziario, il Tribunale di Firenze ha ritenuto la Banca doppiamente responsabile.
Dal punto di vista extracontrattuale, la responsabilità bancaria ex articolo. 2049, per il fatto illecito del dipendente, è eziologicamente connessa allo svolgimento dell'incarico. In proposito, la giurisprudenza si esprime in termini di "occasionalità necessaria", tale per cui la banca è responsabile dei danni provocati dai propri impiegati, quando essi agiscono nell'esercizio delle mansioni loro affidate.
Inoltre, nell'escludere l'ipotesi di un concorso colposo dell'attrice, il giudice ha confermato la totale responsabilità contrattuale dell'istituto di credito. Il Tribunale ha rapportato la definizione di "colpa grave", intesa come atteggiamento contrario all'ordinaria diligenza, ad alcuni parametri oggettivi, dati dalla posizione del consulente/truffatore, dal rapporto fiduciario fra le parti, dalle circostanze di luogo in cui si sono svolti i fatti e dalle qualità personali dell'utente.
In sostanza, la Banca, anziché valutare correttamente il profilo della cliente, ha proposto servizi non adatti alle sue conoscenze, offrendo anche una non precisata prestazione di "assistenza tecnica" nell'uso degli strumenti informatici, in contravvenzione ai doveri di protezione e al principio di buona fede contrattuale ex articolo 1375 c.c..
In conclusione, per quanto i fatti storici lascino ancora parecchi dubbi sull'effettività dei presidi di sicurezza adottati dal sistema bancario, la condanna dell'istituto bancaria, avvenuta con sentenza 3282/2022 del Tribunale di Firenze, contribuisce ad accrescere la fiducia degli utenti – almeno – in una maggiore e concreta responsabilizzazione degli intermediari.
Gratuito patrocinio, nessuno “sconto” per le spese di lite della controparte soccombente
di Francesco Machina Grifeo
Non accessibilità digitale di prodotti e servizi, la mancata informazione può configurare una pratica commerciale ingannevole
di Christian Di Mauro e Guido Di Stefano*
