Frodi informatiche e responsabilità della banca: i nuovi orientamenti dell’Arbitro Bancario Finanziario
1. Premessa – 2. La vicenda – 3. Le questioni interpretative sottoposte al Collegio di Coordinamento – 4. La normativa di riferimento – 4.1. Gli obiettivi della PSD2: accrescere la fiducia nell’impiego degli strumenti di pagamento e rafforzarne la sicurezza – 4.2. Gli obblighi dell’utente – 4.3. Gli obblighi del prestatore di servizi di pagamento (PSP) – 4.4. Il riparto dell’onere della prova – 5. La nozione di colpa grave nella giurisprudenza dell’ABF in relazione alle truffe informatiche – 6. Critiche all’orientamento maggioritario dell’ABF in tema di “ignoto tecnologico” – 7. Segue: ulteriori profili critici – 8. La Decisione del Collegio di Coordinamento – 9. Segue: l’operatività della franchigia di legge – 10. La successiva giurisprudenza dell’ABF – 11. Conclusioni
Una recente decisione del Collegio di Coordinamento ABF torna sul tema del riparto, tra clienti e intermediari, delle perdite dovute a utilizzi fraudolenti degli strumenti di pagamento non riconducibili né a una colpa grave dell’utente, né a difetti dei sistemi di sicurezza predisposti dalle banche (c.d. rischio da ignoto tecnologico). La soluzione adottata dal Coordinamento con la pronuncia in esame risulta fortemente innovativa perché censura il precedente orientamento dei Collegi ABF – che deduceva la colpa dell’utente dalla spiccata capacità protettiva dei sistemi di autenticazione “a due fattori” – per inaugurare un indirizzo ispirato alla teoria del rischio di impresa, volto ad allocare in capo agli intermediari il rischio dell’utilizzo indebito degli strumenti di pagamento di origine ignota, in quanto rientrante nella loro attività di impresa. La decisione in commento, quantunque apprezzabile sul piano teorico, non sembra però aver dato un assetto definitivo alla materia degli utilizzi fraudolenti degli strumenti di pagamento: molte sono le decisioni dell’ABF che ancora applicano l’orientamento precedente e altrettanti sono i problemi interpretativi che richiedono di essere risolti.
A recent decision of the ABF Coordinating Panel returns to the subject of the distribution of losses, in relations between customers and intermediaries, resulting from unauthorized payment transactions that are neither attributable to gross negligence on the part of the payment service user nor to a lack of security measures set up by the banks (so-called unknown technological risk). The interpretative solution adopted by the Coordinating Panel is highly innovative since it criticizes the decisional practice followed until that moment by the ABF territorial Panels - which inferred the existence of a negligence of the payment service user by the strong protective capacity of the two-factor authentication systems - to inaugurate a new orientation, inspired by the theory of business risk, aimed at allocating to intermediaries the risk of undue use of payment instruments of unknown origin, as intrinsic to their business activity. The decision under discussion, although theoretically appreciable, does not seem to have given a definitive structure to the issue of fraudulent use of payment instruments: many of the ABF's decisions still apply the previous approach and many are the problems of interpretation that need to be resolved.