Ripartizione della responsabilità in caso di addebiti non autorizzati sul conto a seguito della divulgazione di dati bancari sensibili – Decisione del Tribunale di Lubecca
Il Tribunale di Lubecca, con recente decisione del 23.08.2023 (n. 3 O 153/23), ha chiarito che un istituto di credito non è obbligato a risarcire i danni subiti da un cliente bancario a causa di addebiti non autorizzati se questi ha divulgato le proprie informazioni personali del conto a terzi. Questa decisione esamina questioni centrali sulla ripartizione della responsabilità nei pagamenti e fornisce importanti indicazioni sull’allocazione del rischio nell’uso improprio delle credenziali di accesso.
Contesto fattuale e motivazione della decisione
Nel caso di specie, un cliente di banca ha avanzato pretese contro il proprio istituto di credito dopo che erano stati eseguiti ordini di pagamento dal suo conto senza la sua autorizzazione. Il cliente aveva precedentemente fornito a un terzo le informazioni di accesso al proprio conto, consentendo così a quest’ultimo di disporre pagamenti dal conto del cliente.
L’istituto di credito ha rifiutato il rimborso degli importi addebitati, sostenendo che la fornitura di informazioni sensibili di accesso a persone estranee costituisce una violazione gravemente colposa degli obblighi contrattuali.
Inquadramento giuridico: obblighi nella gestione delle credenziali di autenticazione
Basi contrattuali rilevanti
Nell’utilizzo dei servizi di pagamento senza contanti, la maggior parte dei contratti bancari e le normative del Zahlungsdiensteaufsichtsgesetz (ZAG) e del Codice Civile tedesco (BGB) stabiliscono che il titolare del conto deve trattare i dati di accesso (es. PIN, TAN) con cura e riservatezza. Tale obbligo serve a tutelare l’utilizzatore dei servizi di pagamento e l’integrità delle transazioni.
Standard di responsabilità: negligenza e grave negligenza
Ai sensi del § 675u BGB, la banca è generalmente responsabile della restituzione dell’importo per operazioni di pagamento non autorizzate. Tuttavia, tale responsabilità è limitata quando il cliente abbia contribuito al danno con grave negligenza o dolo, ad esempio non rispettando gli obblighi di diligenza previsti dalla legge (§ 675l BGB).
Nel caso in esame, il Tribunale di Lubecca ha ritenuto che la consapevole divulgazione di dati sensibili del conto costituisse un tipico caso di grave negligenza. La banca poteva quindi avvalersi dell’esclusione o della limitazione dell’obbligo di risarcimento.
Distinzione rispetto ad altre situazioni e ulteriori conseguenze
Situazioni diverse: phishing e manipolazioni tecniche
Non ogni addebito non autorizzato rientra nell’ambito di esclusione della responsabilità. Nei casi in cui terzi si appropriano senza la collaborazione del titolare del conto – tramite metodi fraudolenti, inganni (“phishing”) o manipolazioni tecniche – delle credenziali di autenticazione, resta di regola la responsabilità del prestatore di servizi di pagamento. La consapevole e autonoma divulgazione delle credenziali da parte del cliente, invece, costituisce una situazione che ricade nella sfera di rischio del cliente bancario.
Requisiti per l’allegazione e la prova
Nel procedimento giudiziario, spetta al cliente bancario dimostrare che ha rispettato gli obblighi di diligenza e che l’operazione abusiva non è avvenuta per sua colpa. La decisione del Tribunale di Lubecca sottolinea l’importanza di tali obblighi: una comprovata divulgazione delle credenziali di autenticazione a terzi rende comunque notevolmente più difficile l’affermazione delle pretese di risarcimento.
Implicazioni per i pagamenti e misure preventive degli istituti di credito
Banche e prestatori di servizi di pagamento, in conformità con la direttiva europea sui servizi di pagamento (PSD2), hanno implementato misure aggiuntive per rafforzare la sicurezza delle transazioni digitali. I consumatori sono regolarmente informati sui rischi della divulgazione dei dati sensibili, ma se non rispettano tali avvertenze non possono invocare la responsabilità dell’istituto di credito.
Valutazione nel contesto della giurisprudenza generale
La decisione del Tribunale di Lubecca è conforme alla giurisprudenza prevalente sul § 675u BGB: per le conseguenze di un comportamento gravemente negligente il cliente deve rispondere personalmente, mentre in caso di manipolazioni senza il suo intervento sussiste di norma un diritto al rimborso da parte della banca. Il caso esaminato dal Tribunale di Lubecca concretizza le aspettative circa la gestione autonoma delle proprie informazioni bancarie e offre così certezza operativa nell’equilibrio tra tutela dei consumatori e prevenzione degli abusi.
Conclusione
La decisione del Tribunale di Lubecca sottolinea nuovamente la necessità di un trattamento diligente dei dati sensibili del conto da parte dei clienti bancari. Gli istituti di credito non possono essere obbligati a risarcimenti nei casi di grave negligenza nella divulgazione delle credenziali di autenticazione.
Per aziende e privati che intendono chiarire questioni giuridiche in materia di pagamenti e sicurezza dei conti, o verificare eventuali pretese, è consigliabile rivolgersi a un supporto esperto. Il team di MTR Legal Rechtsanwalt è a disposizione con una comprovata esperienza nel diritto bancario e dei mercati finanziari.
