La questione sottoposta all’ABF concerne l’utilizzo fraudolento di una carta di credito intestata al ricorrente, mediante tre operazioni di prelievo non autorizzate, eseguite da parte di ignoti.
La materia oggetto del ricorso è regolata dal d.lgs. n. 11/2010, così come modificato dal d.lgs. n. 218/2017, che ha recepito la nuova Direttiva 2015/2366/UE del Parlamento europeo e del Consiglio del 25 novembre 2015 (c.d. PSD 2).
In particolare, le fonti normative che regolano la strong customer authentication (cd. SCA) sono rinvenibili negli artt. 97 e 98 della PDS2, nell’articolo 10 bis del D. Lgs. 10/2011, nelle norme tecniche di regolamentazione emanate dall’EBA e risultano recepite con Regolamento Delegato Ue 2018/389 della Commissione Europea, applicabile a far data dal 14 settembre 2019, nonché nei criteri interpretativi forniti dall’EBA (v. in particolare il parere dell’EBA del 21 giugno 2019).
La previsione normativa diretta a porre in modo esplicito l’onere della prova a carico del PSP è contenuta in un complesso di norme (quelle del decreto legislativo n. 218/2017) volte ad introdurre nella legge che regola la materia dei servizi di pagamento disposizioni rafforzative del “regime di speciale protezione e di altrettanto speciale favor probatorio a beneficio degli utilizzatori”.
Ed in effetti, la nuova disposizione sull’onere probatorio di cui al comma 2 dell’art.10 va a potenziare la tutela dell’utente il quale, nell’utilizzo degli strumenti di pagamento, può restare vittima di attività fraudolente che, allo stato delle conoscenze tecnologiche, possono prevalere sui presidi di sicurezza approntati dal PSP, senza che al comportamento dell’utilizzatore possa riconoscersi alcuna efficienza causale (o quanto meno non determinante) nella produzione del fatto illecito.
Quanto all’onere probatorio dell’intermediario, dalla documentazione in atti emerge che quest’ultimo ha depositato le evidenze informatiche relative alle tre operazioni di prelievo mediante carta di credito contestate, di cui la prima risulta essere stata eseguita con “flusso ATM” e le ulteriori due risultano effettuate con “flusso POS”; ha prodotto quindi i log delle tre operazioni contestate, con relativa legenda. In base a tali allegazioni, le tre transazioni disconosciute risulterebbero eseguite con la lettura del chip della carta e la corretta digitazione del codice PIN.
In tale contesto, appare evidente che il ricorrente non abbia fornito elementi utili per ricostruire con una maggiore precisione i fatti accaduti e, in specie, per concludere di aver subito un “furto con destrezza” della carta di credito.
In siffatta circostanza, secondo i più recenti orientamenti condivisi dai Collegi, la condotta del ricorrente che subisca il furto del portafoglio in un luogo pubblico è generalmente connotata da colpa grave, fatta salva la valutazione di ulteriori circostanze, allo stato, non allegate.
Ciò nonostante, sebbene il ricorrente non abbia consentito una precisa e puntuale descrizione dei fatti, sussistendo un margine di incertezza sul luogo del furto o sulla precisa collocazione temporale dell’istante, concorre, nella valutazione complessiva del fatto esaminato, la mancata attivazione da parte dell’intermediario del servizio sms alert, tenuto conto della dinamica di attuazione delle operazioni fraudolente.
Ed invero, come si è detto in premessa, la prima operazione si è verificata alle ore 18:58 e le successive due alle ore 19:38 e alle ore 19:47, sicché appare del tutto evidente che se il ricorrente avesse ricevuto un sms o la notifica della prima operazione, le successive transazioni fraudolente si sarebbero verosimilmente evitate, potendo l’istante provvedere al blocco della carta.
Il mancato invio dell’sms (o comunque la mancata prova dell’invio della notifica) da parte dell’intermediario rileva nel delineare la responsabilità concorrente dell’intermediario per quanto attiene le successive operazioni; ciò in quanto, secondo l’orientamento dei Collegio di Coordinamento ABF (decisione n. 24366/2019) “fra i doveri di protezione dell’utente gravanti sull’intermediario rientra l’onere di fornire il servizio di sms alert o assimilabili da cui l’intermediario può essere esonerato solo dimostrando l’esplicito rifiuto dell’utente ad avvalersene. Gli effetti della mancata adozione del servizio di alert dovranno essere valutati alla stregua delle circostanze di fatto del caso concreto”.
