Bonifico con IBAN errato e responsabilità della banca – guida rapida

Bonifico con IBAN errato e responsabilità della banca – guida rapida

• • Il bonifico errato
  • L’onere di controllo del cliente
  • Le repliche del cliente
  • Le controdeduzioni della banca
  • La Direttiva UE sui servizi di pagamento
  • Mancano le prove documentali
  • Discordanza tra il nominativo del beneficiario e il titolare del conto
  • Il controllo di congruità
  • Le facoltà del prestatore dei servizi di pagamento

Il Collegio ABF di Milano, con decisione n. 1497 del 2 febbraio 2024, si è espresso su un’operatività piuttosto comune, relativa a un bonifico con IBAN errato, e alle conseguenze per le parti.

Il caso trae origine dal fatto che in data 14/09/22 il ricorrente, per saldare due fatture emesse da un suo fornitore, si è recato allo sportello fisico della Filiale di riferimento della banca per ordinare all’operatrice l’emissione di due distinti bonifici (di cui uno “parlante”) per i rispettivi importi di € 5.000,00 e € 6.600,00, indicando come IBAN beneficiario quello che ricavava da una fattura dallo stesso ricevuta e dallo screenshot di un messaggio ricevuto sul proprio cellulare.

Il giorno successivo, però, il fornitore affermava di non aver ricevuto alcun pagamento e sollecitava così i bonifici, poiché non pervenuti.

Verificando le ricevute di bonifico, si accorgeva che il codice IBAN risultava diverso da quello dettato all’operatore.

La verifica permetteva di ipotizzare che i sistemi informatici della banca fossero stati oggetto dell’azione di un hacker. Il malintenzionato ha dunque deviato il pagamento su diverso IBAN, relativo ad un conto corrente radicato all’estero ed intestato a soggetto diverso dall’effettivo creditore.

Il ricorrente esperisce il reclamo, infruttuoso, domandando il rimborso di € 11.600,00 quale somma dei due bonifici trasferiti con IBAN errato.

Il bonifico errato

La banca nelle sue controdeduzioni precisa che il ricorrente è tornato in Filiale in un secondo momento. Qui gli sarebbe stato confermato che in realtà le coordinate inserite dall’operatrice erano quelle indicate dallo stesso ricorrente, come si evince dalle disposizioni che gli venivano fornite in allegato per pronta consultazione.

Il funzionario della banca condivise con il ricorrente come appare verosimile che sia stato vittima di una frode conosciuta come “BEC – Business Email Compromise”. In altri termini, il ricorrente potrebbe aver ricevuto una E-mail apparentemente genuina, in cui veniva data disposizione di effettuare pagamenti commerciali a mezzo bonifico su un determinato IBAN, ma ove in realtà sia la e-mail di provenienza che l’IBAN non erano riconducibili al reale creditore.

Entrando più direttamente nella dinamica dei fatti, dopo la dettatura dei dati all’operatore, il cliente riceve sul tablet a disposizione degli utenti allo sportello il riepilogo dei dati dell’operazione quali

• importo,
• dati del beneficiario,
• partita iva beneficiario

In ogni caso, la banca precisa che non sussiste alcun obbligo da parte dell’intermediario beneficiario di verificare l’eventuale discordanza tra il titolare del conto di pagamento individuato dall’IBAN inesatto ed il nominativo del beneficiario menzionato nell’ordine di bonifico.

Il ricorrente ha in verità potuto visionare gli estremi delle operazioni disposte. Ha quindi potuto sottoscriverle in digitale per la loro convalida/autorizzazione.

A quel punto, l’operatrice allo sportello, notando la singolare circostanza che la banca di appoggio di una ditta italiana fosse radicata all’estero, aveva fatto presente al cliente la possibile anomalia. Lo stesso cliente aveva però minimizzato, intendendo proseguire nelle operazioni. Il suo convincimento di correttezza si basava sul fatto che l’IBAN estero fosse quello riportato nei documenti a sue mani (Email e screenshot).

L’onere di controllo del cliente

Per la banca, insomma, ricadeva necessariamente sul cliente/disponente l’onere di controllare l’esattezza dei dati forniti sulla base della fattura e dello screenshot a sue mani.

L’istituto di credito rileva inoltre come ad un primo confronto l’IBAN dei due documenti a mani cliente non corrispondeva a quello riportato nelle distinte dallo stesso firmate e nelle contabili di bonifico.

Richiama dunque in materia l’art. 24 del D. Lgs. 11/2010 che prevede che

Il prestatore di servizi di pagamento è responsabile solo dell’esecuzione dell’operazione di pagamento in conformità con l’identificativo unico (IBAN) fornito dall’utilizzatore anche qualora quest’ultimo abbia fornito al suo prestatore di servizi di pagamento informazioni ulteriori rispetto all’identificativo unico. Se l’identificativo unico fornito dall’utilizzatore è inesatto, il prestatore di servizi di pagamento non è responsabile, ai sensi dell’art 25, della mancata o inesatta esecuzione dell’operazione di pagamento.

A ulteriore conferma di ciò, la banca rammenta come anche nei suoi moduli di richiesta di esecuzione del bonifico è specificato che l’ordine di pagamento viene eseguito in conformità con l’identificativo unico (IBAN), e che è l’ordinante il responsabile della correttezza dell’identificativo unico fornito alla banca.

Al netto di ciò, la banca ha deciso comunque di farsi parte diligente nel tentare il recupero delle somme. Tuttavia, il richiamo dei bonifici presso la banca beneficiaria ha avuto esito negativo per insufficienza dei fondi presso il conto corrente presso cui erano state destinate le somme del ricorrente.

Di qui, la richiesta della banca di rigettare il ricorso perché infondato.

Le repliche del cliente

Il cliente però non ci sta. Afferma per esempio che per quanto riguarda il controllo “a video” del riepilogo dei dati  delle operazioni, l’unico supporto è stato un piccolo tablet da cui risulta difficile leggere le informazioni, a causa delle piccole dimensioni e del riflesso che lo sovrasta.

Il cliente ricorda inoltre  come la convalida l’operazione sia avvenuta con la propria apposizione della firma digitale. Non è stato però in grado di verificare la schermata integrale del videoterminale, che risultava essere rivolto verso il cassiere.

Ancora, il cliente precisa di essere stato in possesso di documentazione (e-mail contenente la fattura e screenshot del messaggio) che riportavano l’IBAN corretto della società fornitrice. Apparirebbe a sua detta inverosimile che per ben due volte abbia dettato un IBAN errato.

Le controdeduzioni della banca

Infine, in sede di controdeduzioni, la banca precisa come il proprio sistema informatico sia dotato di strumenti antivirus e del supporto di un ufficio antifrode che portano a escludere la fondatezza dell’ipotesi di un’intrusione criminale sul solo PC del cassiere e per la sola posizione del comune cliente.

Inoltre, la banca ricorda che l’operatrice ha inserito a sistema i dati dettati dallo stesso cliente. Ricorda che è sul cliente che ricade l’onere esclusivo di verifica dell’esattezza degli stessi, dal momento che gli viene consegnata anche la distinta cartacea.

La stessa controparte ha così riferito che l’IBAN è stato tratto da documenti nella disponibilità materiale. Appare dunque verosimile – si chiarisce ancora – che lo stesso abbia dettato tale IBAN – errato -, pure ignorando l’avvertimento della cassiera circa il collegamento dell’IBAN dettato ad una banca estera.

La Direttiva UE sui servizi di pagamento

Si giunge così alle valutazioni di diritto. Si precisa così che le operazioni contestate sono poste in essere sotto il vigore del d.lgs. 27 gennaio 2010 e successive modifiche, con recepimento della Direttiva UE 2015/2366 sui servizi di pagamento nel mercato interno (c.d. PSD 2).

In particolare l’art. 24 del D.Lgs. 11/2010, rubricato Identificativi unici inesatti, prevede che:

1. Se un ordine di pagamento è eseguito conformemente all’identificativo unico, esso si ritiene eseguito correttamente per quanto concerne il beneficiario e/o il conto indicato dall’identificativo unico.
2. Se l’identificativo unico fornito dall’utente è inesatto, il prestatore di servizi di pagamento non è responsabile, ai sensi dell’articolo 25, della mancata o inesatta esecuzione dell’operazione di pagamento. Il prestatore di servizi di pagamento del pagatore compie tuttavia sforzi ragionevoli per recuperare i fondi oggetto dell’operazione di pagamento. Il prestatore di servizi di pagamento del beneficiario è tenuto a collaborare, anche comunicando al prestatore di servizi di pagamento del pagatore ogni informazione utile. Se non è possibile il recupero dei fondi, il prestatore di servizi di pagamento del pagatore, su richiesta scritta del pagatore, è tenuto a fornirgli ogni informazione disponibile che sia utile ai fini di un’azione di tutela. Ove previsto nel contratto quadro, il prestatore di servizi di pagamento addebita all’utente le spese sostenute per il recupero dei fondi.
3. Il prestatore di servizi di pagamento è responsabile solo dell’esecuzione dell’operazione di pagamento in conformità con l’identificativo unico fornito dall'((utente)) anche qualora quest’ultimo abbia fornito al suo prestatore di servizi di pagamento informazioni ulteriori rispetto all’identificativo unico.

Mancano le prove documentali per il bonifico con IBAN errato

Nel merito, il ricorrente dichiara di aver dettato un codice IBAN corretto. Tuttavia, precisa che a seguito una non meglio circostanziata anomalia tecnica e/o manomissione da parte di terzi del terminale della banca, la disposizione sarebbe stata deviata a favore di un differente IBAN, connesso a un soggetto terzo estraneo alla presente controversia.

Tuttavia, il cliente non produce alcuna documentazione a supporto di ciò e non allega specificamente i fatti da cui l’intrusione abusiva o il malfunzionamento del terminale dell’operatrice sarebbe originata.

Di contro, la banca ha prodotto distinte di entrambe le operazioni, regolarmente sottoscritte dal cliente per accettazione. Nelle stesse, è riportato l’IBAN beneficiario radicato presso conto estero, cui le somme sarebbero state in effetti destinate. Il conto ha titolarità di un terzo estraneo al ricorso.

La banca precisa ancora che il ricorrente ben aveva la possibilità e l’onere di verificare l’esattezza dei dati inseriti. Avrebbe potuto per esempio consultare il riepilogo dei dati messo a disposizione dello stesso sul tablet posto sul ripiano dello sportello, lo stesso su cui ha inserito firma digitale per autorizzare le operazioni.

Il ricorrente non ha infine contestato che il riepilogo gli sia stato effettivamente offerto mediante il tablet. Non disconosce nemmeno di aver apposto la firma digitale per procedere alla conferma dell’operazione.

Discordanza tra il nominativo del beneficiario e il titolare del conto

Ora, in relazione specifica alla discordanza tra nominativo del beneficiario ed il titolare del conto di accredito identificato tramite l’IBAN, il Collegio di Coordinamento ABF con decisione n. 162/2017 aveva precisato alcuni spunti di particolare interesse, cominciando dai vaiggi per gli utilizzatori dell’introduzione della direttiva PSD2. Tra i principali:

• la creazione di un mercato integrato per i pagamenti elettronici in euro, senza distinzione tra pagamenti nazionali e transfrontalieri;
• la drastica riduzione dei tempi di esecuzione dei bonifici: oggi l’intermediario di pagamento deve assicurare l’accredito del bonifico sul conto del beneficiario entro la fine della giornata operativa successiva a quella di ricezione dell’ordine (art. 69 della direttiva e 20 d.lgs.11/2010). Prima erano normalmente necessari almeno tre giorni;
• la riduzione dei costi di bonifico, particolarmente nel caso di bonifici transfrontalieri nell’area SEPA.

Ora, per conseguire questi risultati il legislatore europeo si è mosso nel senso di uniformare le prassi in uno nell’industria dei servizi di pagamento sulle procedure di trasferimento fondi previste dallo schema SEPA, che si basano sul principio che il conto di destinazione del bonifico si individua tramite il solo IBAN, al fine di consentire il trattamento completamente automatizzato dell’ordine di bonifico secondo gli standards elaborati dal consorzio interbancario SWIFT.

Il controllo di congruità per il bonifico con IBAN errato

Dunque, continuare a richiedere l’effettuazione del controllo di congruità fra IBAN e titolare del conto di accredito implica ancora un intervento manuale nella realizzazione dell’operazione di pagamento. Un funzionario dell’intermediario ricevente dovrebbe infatti verificare gli ordini recanti informazioni incoerenti bloccati dal sistema informatico, al fine di verificare se l’incongruità sia irrilevante o costituisca effettivamente indice di anomalia.

In caso contrario, si avrebbe lo storno sistematico di tutti i bonifici in cui il nome del beneficiario presenti una qualsiasi differenza con i dati anagrafici posseduti dalla banca di destinazione, con inconvenienti verosimilmente non trascurabili se questa prassi fosse adottata in modo generalizzato in tutti gli Stati membri.

Sulla base di queste considerazioni sistematiche, è diffuso convincimento che la direttiva PSD abbia introdotto un nuovo standard di comportamento per tutti gli intermediari coinvolti nella realizzazione di un bonifico, finalizzato a stimolare l’effettuazione della transazione solo sulla base dell’identificativo unico fornito dall’ordinante senza bisogno di effettuare alcun riscontro con le ulteriori informazioni eventualmente contenute nell’ordine.

Ora, non vi è dubbio – prosegue il Collegio – che la rinuncia al controllo di congruità sul nome del beneficiario possa determinare una minor tutela dell’ordinante contro truffe o errori nell’indicazione dell’IBAN.

È però vero che la scelta compiuta al riguardo dall’ordinamento comunitario è stata quella di non imporre agli intermediari verifiche ex ante che potrebbero ostacolare l’efficienza dei sistemi di pagamento. Si è dunque affidata la tutela dell’ordinante a rimedi recuperatori successivi, per i quali il pagatore può eventualmente avvalersi anche dell’ausilio degli intermediari coinvolti nell’operazione.

Le facoltà del prestatore dei servizi di pagamento

Sotto questo profilo le informazioni che sono contenute nell’ordine di bonifico (come il nome del beneficiario e la causale del versamento) possono risultare utili per dimostrare il carattere indebito del pagamento ricevuto dal titolare del conto identificato tramite l’IBAN errato.

In altre parole ancora, il prestatore di servizi di pagamento può legittimamente ignorare la difformità fra il beneficiario del bonifico e il titolare del conto da accreditare in quanto la legge gli consente di non effettuare riscontri sui dati dell’anagrafe dei conti nell’esecuzione dell’operazione.

Non può in sintesi essere imputata alcuna responsabilità per l’esecuzione del bonifico al PSP resistente per mancanza di un obbligo a suo carico di verifica della corrispondenza tra il nominativo del soggetto beneficiario e l’indicazione dell’identificativo unico.

Per quanto poi riguarda l’obbligo di collaborazione posto a carico della banca, l’istituto rileva di aver tempestivamente effettuato il tentativo di recall, una volta reso edotto dell’errore nella disposizione del bonifico. Precisa ancora che il tentativo non è andato a buon fine per la mancanza di disponibilità del conto corrente del beneficiario e di ciò ha prodotto adeguate evidenze documentali.

Alla luce di ciò il Collegio esclude che la banca possa essere considerata responsabile dell’erroneo pagamento dei bonifici disposti.