NEWS

Sul bonifico inviato all’iban sbagliato non c’è la privacy per chi ha ricevuto i soldi per errore

L'istituto bancario deve aiutare il vero beneficiario del bonifico a individuare a chi è andato in concreto il pagamento eseguito con l'iban errato, e non potrà nascondersi dietro un dito sostenendo che per la privacy non può fornire alcuna informazione utile per risalire al soggetto che ha effettivamente ricevuto i soldi sul proprio conto. Altrimenti, la banca sarà ritenuta responsabile degli importi.

L'istituto bancario deve aiutare il vero beneficiario del bonifico a individuare a chi è andato in concreto il pagamento eseguito con l'iban errato

È vero che non rientra tra gli obblighi dell'ente di credito verificare sempre che siano corrette le informazioni fornite dall'utente, ma sull'intermediario finanziario grava comunque la responsabilità da “contatto sociale qualificato” nei confronti del beneficiario del bonifico rimasto insoddisfatto perché l'indicazione dell'iban si è rivelata inesatta: la banca, dunque, deve dimostrare di avere eseguito l'operazione disposta dall'ordinante adottando tutte le cautele necessarie per evitare errori nell'individuare il destinatario del pagamento.

Oppure di essersi almeno adoperata per consentire all'interessato di rintracciare chi ha in concreto ottenuto l'accredito senza titolo, fornendo al vero avente diritto i dati anagrafici o societari: sul punto, infatti, non c'è privacy che tenga. Diversamente si troverà obbligata a pagare. Così si è pronunciata la Corte di Cassazione Civile nell'ordinanza 17415 del 25/6/2024.

Con l'istituzione dell'area unica dei pagamenti Sepa (Single euro payments area) il legislatore europeo si è posto l'obiettivo di conciliare servizi rapidi ed efficienti con la sicurezza dei movimenti e la tutela degli utenti, soprattutto i consumatori.

La disciplina in materia, regolata dal Dlgs 11/2010, muove attorno agli aspetti principali delle operazioni di pagamento, come il versamento, il trasferimento o il prelievo di fondi tramite i servizi elencati nell’art. 1 del TUB.

In particolare, gli articoli 24 e 25 del Dlgs 11/2010 stabiliscono che l’esecuzione di un ordine di pagamento è considerata corretta se effettuata conformemente all’iban fornito. In caso di errore dell’iban, il prestatore di servizi di pagamento non è responsabile dell’inesatta esecuzione dell’operazione, ma deve fare il possibile per recuperare quei fondi.

La normativa prevede due forme di tutela per l’utente: la tutela restitutoria e la tutela risarcitoria. La prima garantisce al pagatore il recupero delle somme trasferite erroneamente, mentre la seconda, che può essere concessa sia al pagatore che al beneficiario, dipende dalla responsabilità dell’intermediario per eventuali danni causati dalla mancata diligenza professionale.

La prima disposizione definisce l'adempimento esatto, quanto al beneficiario e al conto indicato, con esclusivo rilievo all'iban: esclude quindi la responsabilità dell'intermediario se il cliente indica in modo errato il codice; la norma conferma che è esatto l'adempimento di chi presta il servizio di pagamento se ha eseguito l'ordine in base all'Iban anche se il disponente ha indicato dati ulteriori, come le generalità del beneficiario.

La seconda disposizione, invece, segmenta la responsabilità degli intermediari coinvolti nei pagamenti: ognuno risponde soltanto dell'esecuzione della parte di operazione che controlla e che è oggetto dell'obbligazione verso il cliente.

I dubbi sorti nel frattempo sull'interpretazione della prima norma sono stati sciolti dal collegio di coordinamento dell'arbitrato bancario finanziario (Abf) e dalla Corte di giustizia europea: il comma 3 dell'articolo 24 del Dlgs 11/2010 esonera entrambi gli intermediari coinvolti nell'operazione dall'eseguire il controllo di congruità. E di conseguenza esclude la loro responsabilità per tutte quelle operazioni eseguite secondo l'iban indicato dal pagatore: è quest'ultimo che è tenuto a controllare la correttezza dei dati e in particolare dell'identificativo, unico elemento necessario per la regolare esecuzione. D'altronde il diritto europeo ha deciso di uniformare le procedure di trasferimento fondi dell'area unica dei pagamenti (Sepa) sulla base del principio secondo cui il destinatario del pagamento va individuato tramite un solo elemento, comune a tutti gli intermediari.

L'articolo 24 del Dlgs 11/2010, tuttavia, non ha carattere precettivo: non impone quindi all'intermediario di eseguire il pagamento secondo l'Iban indicato, ma si limita a disciplinare i casi in cui la responsabilità della banca può essere esclusa. E dunque la norma attribuisce all'identificativo unico la funzione di individuare il beneficiario del pagamento, ma non esclude che l'istituto possa adottare le misure che ritiene più idonee a escludere il rischio di esecuzione inesatta.

Tra le ipotesi nelle quali l'intermediario può rifiutare di eseguire l'operazione c'è l'errore materiale del cliente che ha indicato un Iban sbagliato o inesistente: in entrambi i casi l'istituto deve comunicare all'utente l'errore e la procedura per correggerlo con la massima sollecitudine, in ogni caso entro la fine della giornata operativa successiva.

Se invece la banca decide di procedere ugualmente può essere ritenuta responsabile nei confronti dell'utente: una responsabilità che ha natura senz'altro contrattuale se il conto corrente corrispondente all'identificativo sbagliato è radicato presso lo stesso intermediario che detiene anche il conto del legittimo beneficiario; in tal caso tra il prestatore del servizio e il soggetto che avrebbe dovuto ricevere il pagamento risulta in essere un rapporto contrattuale e dunque sull'intermediario grava l'obbligo di conformare la propria condotta ai principi di buona fede e diligenza nell'esecuzione del contratto.

Insomma, nello svolgimento del mandato la banca deve salvaguardare gli interessi della controparte, assicurando l'esecuzione corretta. E se esegue comunque l'operazione, benché sia consapevole che l'Iban è sbagliato, può essere ritenuta responsabile ai sensi del combinato disposto degli articoli 1856, 1710 e 1172 del Codice Civile.

Altrimenti, il legittimo beneficiario che non ha ricevuto il pagamento può agire nei confronti dell'intermediario invocandone la responsabilità extracontrattuale ai sensi dell'articolo 2043 del Codice Civile con tutte le conseguenze in termini di onere della prova e risarcibilità del danno patito.

Anche quando con l'utente c'è un rapporto di mero contatto sociale qualificato, l'intermediario risulta soggetto non soltanto alla disciplina dei servizi di pagamento ma anche alle regole di diritto comune che prescrivono di agire secondo i principi di diligenza professionale e di eseguire l'incarico salvaguardando gli interessi dell'altra parte, nei limiti del possibile.

Le regole di diligenza e buona fede, in verità, non impongono all'intermediario di adottare in modo preventivo metodi per individuare l'errore nei dati bancari forniti dall'utente: sarebbe un onere troppo gravoso.

Se tuttavia l'intermediario finanziario è consapevole dell'errore e porta a termine l'operazione, deve almeno adoperarsi per cercare di recuperare la somma trasferita un beneficiario diverso da quello legittimato. E resta esposto al rischio di risarcire l'utente per gli eventuali danni subiti per l'operazione eseguita con l'iban errato.

La banca è tenuta poi a fornire all'interessato i dati anagrafici e/o societari di chi ha ricevuto senza titolo il pagamento perché la privacy deve cedere di fronte all'azione di ripetizione della somma indebitamente percepita: per l'ordinamento giuridico, infatti, l'esercizio del diritto di difesa in giudizio deve prevalere sull'interesse alla riservatezza dei dati personali, a condizione che sia autentico e non surrettizio, nell'ambito di un necessario bilanciamento delle prerogative in gioco.

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev L'Agenzia per la cybersicurezza nazionale assume 45 giuristi a tempo indeterminato
Next Pubblicato in Gazzetta Ufficiale dell’UE il Regolamento sull’intelligenza artificiale

App di incontri e rischi sulla privacy

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy