Decisione N. 2504 del 22 aprile 2014

Decisione N. 2504 del 22 aprile 2014
COLLEGIO DI NAPOLI
composto dai signori:
(NA) QUADRI
Presidente
(NA) CARRIERO
Membro designato dalla Banca d'Italia
(NA) MAIMERI
Membro designato dalla Banca d'Italia
(NA) RUSSO
Membro designato da Associazione
rappresentativa degli intermediari
(NA) GUIZZI
Membro designato da
rappresentativa dei clienti
Associazione
Relatore RUSSO GIUSEPPE
Nella seduta del 25/03/2014 dopo aver esaminato:
- il ricorso e la documentazione allegata
- le controdeduzioni dell’intermediario e la relativa documentazione
- la relazione della Segreteria tecnica
FATTO
Il ricorrente adiva l’ABF, deducendo che il rappresentante legale della società si era
avveduto, il 16.4.2013, dell’effettuazione di n. 7 bonifici, disposti a valere sul c/c intestato
alla società, in essere presso il resistente, per un totale di € 141.901,06. Disconosceva
pertanto tali operazioni precisando che le stesse non erano state né eseguite, né
autorizzate dal titolare del conto corrente.
I reclami proposti dall’intermediario in data 30.4.2013 e 1.7.2013 con i quali richiedeva il
riaccredito delle somme sottratte per operazioni disconosciute venivano respinti
rispettivamente in data 13.6.2013 e 2.9.2013.
Parte ricorrente rilevava in ricorso, a sostegno della propria domanda restitutoria, anzitutto
la violazione degli obblighi contrattuali, da parte del resistente atteso che la società “non
era abilitata, e giammai lo aveva richiesto, ad eseguire bonifici esteri”.
Contestava, altresì, la violazione, da parte della banca degli ordinari criteri di diligenza,
perizia e vigilanza in ragione dell’esercizio di un’attività professionale rientrante tra quelle
pericolose ex art. 2050 c.c. e di custodia ex art. 2051 c.c. .
Nel caso di specie la società eccepiva altresì che l’intermediario oltre a utilizzare un
sistema di protezione che manifestava “falle ed inadeguatezze”, non aveva ritenuto
Pag. 2/6
Decisione N. 2504 del 22 aprile 2014
“sospette” le operazioni in esame e non aveva provveduto, come avrebbe dovuto, a
“bloccarle” nonostante vi fossero elementi che deponevano in tal senso.
A tale proposito, parte attrice richiamava la mancata effettuazione, in passato, di bonifici
esteri, la mancanza, per tali due bonifici, della causale e la chiara strumentalità della
causale utilizzata per gli altri bonifici [“stipendi”] posto che era risaputo che la [società]
operava mensilmente solo due bonifici […] su conti di banche locali”. Precisava, infine, che
“gli ordini sono partiti da un indirizzo utenza Ip diverso da quello in capo alla società.
Sosteneva, infine, che “al caso di specie è poi applicabile la previsione di cui all’artt. 15 del
d.lgs. 196/2003”.
Lamentava poi, in vari punti del ricorso, l’inadeguatezza dei sistemi di protezione della
banca.
Concludeva pertanto domandando al Collegio di “accertare e dichiarare che i 7 bonifici
effettuati il giorno 16.4.2013 sul conto corrente […] in essere presso la resistente […]
intestato [alla ricorrente] precisamente 2 presso […] di € 49.829,22 […] e di € 77.214,91
[…] e 5 presso altrettanti istituti bancari italiani intestati a 5 soggetti diversi per un totale di
€ 14.842,43 […] per un totale complessivo di € 141.901,06 non sono stati autorizzati
dall’intestatario del conto e dal suo unico delegato.
Chiedeva, inoltre, di accertare e dichiarare che il resistente “è responsabile dei prelievi
illeciti e fraudolenti “a titolo di responsabilità contrattuale ex art. 2050 c.c. e/o 2051 c.c.”.
Conseguentemente, infine, domandava di ordinare alla banca resistente il rimborso delle
somme illecitamente prelevate di cui innanzi, per € 141.901,06 oltre gli interessi bancari
dal 16.4.2013 al soddisfo e il risarcimento dei maggiori danni subiti, indicati in € 20.000,00
e/o comunque nei limiti della competenza dell’Arbitro adito.
Si costituiva ritualmente l’intermediario il quale, dopo aver descritto il “servizio di web
banking” utilizzato dalla società attraverso il quale poteva interagire mediante propri
computer con la banca (e, finanche, con tutte le banche con le quali intratteneva rapporti)
secondo gli standard tecnici previsti dall’ABI mediante firma digitale certificata, desumeva,
dalla denuncia resa dal legale rappresentante della ricorrente alla Polizia Postale, elementi
che indurrebbero a ritenere insufficiente la protezione apprestata ai personal computer
facenti capo alla società. In particolare, obiettava che la rete dei personal computer in
dotazione alla società non era protetta da alcun firewall di protezione da eventuali
intrusioni esterne e, inoltre, la smart card (strumento per la firma digitale certificata) – di
solito – veniva lasciata inserita al “pc server” mediante il lettore relativo tramite porta USB,
il che comportava sicuramente una mancanza di diligenza del titolare nella conservazione
del proprio certificato digitale di firma.
Peraltro, confutava anche alcune circostanze allegata da parte ricorrente. Infatti, un esame
dell’elenco degli indirizzi IP utilizzati per disporre i bonifici fraudolenti, era tale da fugare
ogni dubbio: l’indirizzo IP utilizzato dai presunti truffatori nel pomeriggio del 15.4.2013 era
lo stesso con il quale operava la società cliente.
Rilevava l’infondatezza dell’affermazione circa la limitazione relativa alla tipologia – solo
nazionali – di bonifici suscettibili di essere disposti dalla società, come evincibile dal
documento di sintesi (peraltro, aggiungeva che i bonifici in parola, essendo stati disposti
mediante il sistema SEPA, sono considerati “domestici” ancorché disposti su conti accesi
in Gran Bretagna).
Obiettava ancora che le osservazioni poste dal legale del cliente nel ricorso in punto di
operazioni sospette si attagliano al caso, diverso da quello in esame, di clienti al dettaglio
mentre la società ricorrente rientra nel perimetro Corporate; più in generale, trattandosi di
ordini dispositivi firmati digitalmente essi vanno considerati come “un ordine firmato a tutti
gli effetti dal cliente”, in relazione al quale la diligenza richiesta alla banca si focalizza sulla
“provenienza dell’ordine di bonifico” (poteri di firma e validità del certificato) e non può
Pag. 3/6
Decisione N. 2504 del 22 aprile 2014
investire altri profili, pena, altrimenti, la squalificazione del valore certificativo della firma
digitale certificata. In ogni caso, argomentava ancora il resistente, “non v’è alcun obbligo
per la banca di verificare – minuziosamente – l’oggetto ed i destinatari dei bonifici, come
sembra pretendere [il legale della ricorrente], quasi che si trattasse di operazioni di sconto
o di anticipo fatture”.
Aggiungeva ancora che la società – nel periodo ottobre 2008 – aprile 2013 – “ha effettuato
ben 155 bonifici di importo superiore a 10.000,00 euro, mai contestati e che
rappresentavano pertanto una sistematica operatività con il mezzo impiegato.
Concludeva – dopo aver posto in luce l’assenza di azioni legali imprese dalla società,
nonostante il significativo importo della truffa – affermando che “la truffa […] è ascrivibile
all’imperdonabile superficialità con la quale la società medesima ha curato la protezione
dei propri PC, consentendo ai truffatori di prenderne il pieno controllo”.
L’intermediario pertanto domandava il rigetto del ricorso confermando la colpa grave della
società ricorrente.
DIRITTO
In primo luogo, si rilevano seri dubbi circa la ricevibilità del ricorso, in dipendenza di una
incompetenza per valore dell’ABF.
Come noto l’ABF può conoscere solo di controversie rientranti nel limite di valore di euro
100.000,00 (Cfr. in tal senso le istruzioni ABF che affermano: L'Arbitro Bancario
Finanziario può decidere su tutte le controversie che riguardano operazioni e servizi
bancari e finanziari, quali ad esempio i conti correnti, i mutui, i prestiti personali fino a
100.000 euro, se il cliente chiede una somma di denaro senza limiti di importo, se il cliente
chiede soltanto l'accertamento di diritti, obblighi e facoltà (ad esempio, per la mancata
consegna della documentazione di trasparenza o la mancata cancellazione di un'ipoteca
dopo aver estinto un mutuo).
Orbene con decisione n. 13 del 10.01.2012, il Collegio di Napoli ha dichiarato il ricorso
irricevibile, perché esorbitante dalla competenza per valore ABF, precisando che in tal
senso depone, come appunto nel caso di specie, anche il cumulo di più domande. Pare
opportuno riportare stralcio della condivisibile decisione: “Ritiene il Collegio che la
domand – – !"#
$ %%& *+ $ , di chiusura – chiedendo cioè il
rimborso anche dell’eventuale minore somma che dovesse risultare dovuta – pretenda poi
di trarre da tale circostanza il corollario che la volontà del cliente sarebbe nel senso di
limitare la richiesta di rimborso ad un importo rientrante nei limiti della competenza per
valore dell’Arbitro”. Anche la formulazione utilizzata per la domanda nel caso qui in esame,
in effetti, non pare atta a consentire di superare le perplessità in ordine alla sua
irricevibilità.
Ciò posto, ad ogni buon conto entrando nel merito, il ricorso non è da ritenere meritevole
di accoglimento.
Invero, il sistema che utilizza la firma digitale per inviare i bonifici è dei più sicuri e
presuppone che qualcuno abbia comunque usato la firma digitale nella sfera dell’impresa
Pag. 4/6
Decisione N. 2504 del 22 aprile 2014
ricorrente, ovvero che la stessa sia stata clonata per incuria o per colpa grave
dell’utilizzatore, come previsto dalla normativa d.lgs. n. 11/2010.
E ciò, già in considerazione della stessa definizione giuridica di "firma digitale", ai sensi del
codice dell'amministrazione digitale (legge 17.12.2012, n. 221) ed al combinato disposto
degli artt. 1 e 21 dello stesso: "la firma digitale è un particolare tipo di firma elettronica
avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una
pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e
al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di
verificare la provenienza e l'integrità di un documento informatico o di un insieme di
documenti informatici. Il documento informatico sottoscritto con firma elettronica avanzata,
qualificata o digitale, formato nel rispetto delle regole tecniche di cui all'articolo 20, comma
3, che garantiscano l'identificabilità dell'autore, l'integrità e l'immodificabilità del
documento, ha l'efficacia prevista dall'articolo 2702 del codice civile. L'utilizzo del
dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare,
salvo che questi dia prova contraria".
Risulta agli atti (documento "C" depositato dall'intermediario) che la ricorrente
sottoscriveva contratto di servizio Uniweb in data 18.09.2008, attraverso il quale - tra l'altro
- sotto la voce "norme di utilizzo per il servizio Uniweb", ben veniva a conoscenza delle
modalità di accesso - appunto tramite internet - del predetto servizio e che presupposto di
tale servizio era la firma digitale ottenuta mediante certificato di chiave pubblica rilasciato
da soggetto abilitato iscritto all'apposito Elenco Pubblico di Certificatori e nel caso concreto
"Actalis S.p.a.".
Tale procedura prevede che attraverso uno specifico procedimento vengano generate due
chiavi (l'una pubblica e l'altra privata) residenti in un dispositivo sicur, ovvero in una smart
card (dotata di microchip).
Orbene, è documentato che l'intermediario al momento della sottoscrizione del contratto
suddetto abbia fornito alla cliente la smart card (protetta da un PIN noto solo al titolare), il
lettore di smart card ed il software di firma e di verifica (allegato "C" delle controdeduzioni
dell'intermediario) e da quel momento risulta che - effettivamente - la ricorrente abbia
correntemente utilizzato il sistema in parola con una serie di bonifici (come si rileva dagli
stessi allegati di parte ricorrente).
Al fine di escludere ogni responsabilità della ricorrente per la sottrazione degli importi di
bonifici effettuati on line, risulta allora rilevante la verifica – alla luce degli atti - delle
dichiarazioni della stessa in sede di denuncia alla Polizia Postale in data 22.04.2013.
Nella precitata occasione il legale rappresentante della ricorrente società dichiara che la
rete dei personal computer in dotazione alla società "non era protetta da nessun firewall di
protezione da eventuali intrusioni esterne" e che la "smart card di solito viene lasciata
inserita al pc server mediante il lettore relativo tramite porta USB" (allegato "E" al ricorso).
Di qui, già elementi di una negligenza grave della cliente, soprattutto in considerazione
della natura e della estesa portata della sua attività.
Ed inoltre, dalla documentazione in atti neppure risulta corrispondente al vero che la
società non fosse abilitata ad effettuare bonifici esteri, tanto che la stessa non ne ha
fornito la prova, né tale esclusione è prevista dal contratto depositato in sede di
controdeduzioni dall'intermediario. Così come adeguatamente provata dalla resistente
risulta la non rispondenza alla dinamica della vicenda di quanto affermato in ordine
all’indirizzo IP utilizzato per i bonifici in contestazione.
Non è poi ravvisabile, nel caso di specie, una "violazione da parte della banca degli
ordinari criteri di diligenza, perizia e vigilanza".
In effetti, la banca non avrebbe potuto "spontaneamente" rilevare un sospetto per l'entità
dei bonifici effettuati sul conto corrente in questione. Invero, dal documento allegato
Pag. 5/6
Decisione N. 2504 del 22 aprile 2014
dall'intermediario (doc. "H" delle controdeduzioni) si evince che la ricorrente nel periodo
dal 01.10.2008 al 30.04.2013 ha effettuato n. 155 disposizioni superiori ad euro 10.000,00,
senza che mai la società cliente abbia avuto a lamentarsi di non essere stata contattata
preventivamente dalla banca per avere conferma della genuinità degli ordini di bonifico
disposti via internet con firma digitale certificata (strumento, tra l'altro, utilizzato da circa
cinque anni dalla ricorrente e non contestato neppure in detta circostanza).
Né il contratto prevede un ulteriore controllo da parte della banca, una volta che gli ordini
pervenuti dal cliente muniti di valida firma digitale. Del resto, pare effettivamente non
pretendibile un controllo – secondo quanto adombrato dalla ricorrente – dei singoli bonifici
anche sotto il profilo della relativa specifica causale.
Concludendo, dagli atti e dai documenti prodotti si evince, non disgiunta da profili di
negligenza caratterizzanti il comportamento della ricorrente, la mancanza di una
responsabilità dell’intermediario convenuto per suoi pretesi difetti di diligenza, anche in
considerazione delle caratteristiche dei meccanismi di autenticazione nella specie
impiegati.
PQM
Il Collegio non accoglie il ricorso.
IL PRESIDENTE
firma 1
Pag. 6/6

Download Report