News

I pagamenti “contactless” sotto i 25euro: rischi e conseguenze alla luce di una recente sentenza della Corte di Giustizia Europea

  • November 29th, 2020
  • Massimo
  • Commenti disabilitati su I pagamenti “contactless” sotto i 25euro: rischi e conseguenze alla luce di una recente sentenza della Corte di Giustizia Europea

A cura dell’Avv. Massimo Simbula

L’11 novembre 2020 la Corte di Giustizia Europea si è pronunciata, nella causa C‑287/19, su un tema particolarmente delicato e che interessa non solo gli Istituti di Pagamento che operano in Europa, ma tutti noi cittadini che ogni giorno effettuiamo acquisti tramite carte di credito o bancomat contactless.

Molti di noi hanno certamente apprezzato questa soluzione poiché accelera le procedure di pagamento senza noiosi inserimenti di pin o conferme di altro tipo. Ma vi siete mai chiesti quanto effettivamente questa pratica sia sicura e quali possono essere le conseguenze legali?

La questione non poteva non finire nella rete della Corte di Giustizia europea perché il tema è sicuramente complesso e gli incidenti dietro l’angolo, ma soprattutto perché la materia è regolata a livello comunitario dalla nota direttiva (UE) 2015/2366, o PSD2 (o Payment Service Directive 2), normativa che sta rivoluzionando il mondo dei pagamenti digitali in Europa e che ha introdotto nuovi operatori di pagamento.

Ma veniamo ai fatti.

Il 5 aprile 2019 la Corte Suprema Austriaca ha sottoposto alla Corte di Giustizia Europea una domanda relativa all’interpretazione di una serie di deroghe previste dalla PSD2 in tema di pagamenti contactless, a seguito di una causa che vedeva contrapposti la giovane banca austriaca DenizBank AG (fondata nel 1996) contro l’Associazione dei Consumatori del paese.

La funzione contactless delle carte emesse dalla Banca austriaca, che si attiva automaticamente quando il cliente utilizza la carta per la prima volta, consente di effettuare pagamenti di importo ridotto, fino a € 25 per unità, senza dover inserire la carta in un terminale di pagamento e senza dover digitare un numero di identificazione personale (il “codice PIN”), presso le casse dotate degli appositi dispositivi. Il pagamento di importi superiori è, invece, soggetto a un’autenticazione tramite codice PIN.

Deniz Bank, stando a quanto riportato nella sentenza, avrebbe inserito, tra le condizioni generali con cui regola i rapporti con i suoi clienti, le seguenti clausole:

  1. la clausola 14 la quale prevede, in particolare, che le modifiche delle condizioni generali relative alle carte di debito siano proposte al cliente con almeno due mesi di anticipo rispetto alla data prevista per la loro entrata in vigore e che, salvo rifiuto espresso di quest’ultimo prima di tale data, dette modifiche si ritengono accettate; il cliente che sia un consumatore ha la possibilità di recedere liberamente, informazione questa di cui il cliente deve essere reso edotto nella proposta di modifica rivoltagli dalla DenizBank;
  2. la clausola 15 la quale enuncia che la DenizBank non è tenuta a dimostrare che i pagamenti di importo ridotto effettuati senza inserimento del codice personale, quindi mediante la funzione NFC, siano stati autorizzati, né che tali operazioni non siano state compromesse da un guasto tecnico o da altro problema;
  3. la clausola 16 la quale esonera la DenizBank dalla sua responsabilità e da qualsiasi obbligo di rimborso, qualora tali operazioni di pagamento non siano state autorizzate dal titolare della carta;
  4. la clausola 17 la quale stabilisce che il rischio di uso improprio della carta bancaria per pagamenti di tale tipo è a carico del titolare del conto;
  5. la clausola 18 la quale indica che, in caso di perdita della carta bancaria, ad esempio a causa di smarrimento o furto, non sia tecnicamente possibile bloccare la carta per i pagamenti di importo ridotto e senza possibilità di rimborso da parte della DenizBank;
  6. ed infine la clausola 19 la quale prevede che le disposizioni relative al servizio carte siano, in linea di principio, applicabili anche ai pagamenti di importo ridotto.

Orbene, da una prima lettura, le clausole redatte da DenizBank sembrerebbero essere rispettose della PSD2 con particolare riferimento al regime di deroghe concesso per le operazioni di pagamento relative ad importi minori.

Si fa in particolare riferimento all’articolo 54, paragrafo 1 PSD2 (tempi di comunicazione delle modifiche relative al contratto quadro e diritto di recesso dell’utente del servizio di pagamento), all’ articolo 63, paragrafo 1, lettere a) e b) (deroghe per gli strumenti di pagamento di importo ridotto) e alle deroghe concernenti gli obblighi previsti all’ art. 69, punto 1, lett. b (notifica di operazioni non autorizzate), all’ art. 70, punto 1, lett. c e d (obblighi in merito alla immediatezza, trasparenza e gratuità delle notifiche), all’art. 72 (prova di autenticazione ed esecuzione delle operazioni di pagamento), all’art. 73 (Responsabilità del prestatore di servizi di pagamento per le operazioni di pagamento non autorizzate) e all’art. 74, par. 1, 2 e 3 (responsabilità del pagatore per le operazioni di pagamento non autorizzate).

Tuttavia ci si chiede, ed è questa poi la domanda più rilevante che la Corte Suprema Austriaca ha posto alla Corte di Giustizia Europea, se i pagamenti tramite NFC (contactless) possano essere considerati a tutti gli effetti uno strumento di pagamento ai sensi della definizione di cui all’art. 4, punto 14 della PSD2 e, come tale, beneficiare delle sopra citate deroghe e se le modifiche contrattuali proposte dalla banca in relazione a tale particolare strumento, possano considerarsi accettate da un cliente consumatore, tramite un sistema di silenzio assenso con il quale si approvano tutte le condizioni generali e non solo quelle concernenti l’utilizzo di tale strumento nelle operazioni sotto un determinato ammontare.

Orbene, con atto del 9 agosto 2016, l’Associazione dei Consumatori Austriaca, ha proposto un’azione inibitoria dinanzi al Tribunale del commercio di Vienna, al fine di ottenere il divieto per la DenizBank di utilizzare le sei clausole summenzionate, a causa della loro nullità. A sua difesa, la DenizBank ha obiettato che la clausola 14 era lecita e che occorreva valutare separatamente le diverse funzioni di pagamento delle carte dotate della funzione NFC.

Con sentenza del 28 aprile 2017, il giudice di primo grado ha accolto la domanda della Associazione Consumatori Austriaca. Esso ha dichiarato che la clausola 14 era gravemente pregiudizievole e che la funzione NFC non rientrava nell’ambito di applicazione della deroga prevista per gli strumenti di pagamento di importo ridotto, sulla base dei rilievi che la carta poteva essere utilizzata anche per altri tipi di pagamenti e che la funzione NFC non può essere considerata, di per sé, uno strumento di pagamento.

Tale concetto è stato ribadito poi, dalla sentenza del 20 novembre 2017 emessa dal Tribunale superiore del Land di Vienna, il quale, pronunciandosi in sede di appello, ha parzialmente confermato la sentenza pronunciata in primo grado, precisando – come fatto dal Giudice di prime cure – che l’utilizzo della funzione NFC non costituisse un impiego di uno strumento di pagamento, ma fosse assimilabile alle transazioni con carta di credito effettuate per posta o telefonicamente. Al riguardo, esso ha affermato che la funzione NFC si attivava automaticamente, a differenza del “portafoglio elettronico”, e che la carta dotata di tale funzione non era anonima, bensì al contempo personalizzata e protetta da un codice.

La Banca ha quindi proposto ricorso alla superiore Corte Austriaca la quale, trovandosi di fronte la necessità di dirimere una controversia interpretativa connessa ad una Direttiva comunitaria recepita in tutti gli Stati Membri, ha sospeso il procedimento e sottoposto alla Corte di Giustizia Europea la domanda di pronuncia pregiudiziale, ai sensi dell’articolo 267 del Trattato sul Funzionamento dell’Unione Europea, con i seguenti quesiti:

  • La proposta di modifica delle condizioni contrattuali può considerarsi accettata dal cliente inteso come cliente consumatore (così come definito ai sensi della normativa comunitaria contro le pratiche sleali e ingannevoli), tramite un sistema di silenzio assenso da considerarsi esteso a tutte le possibili condizioni contrattuali?
  • La funzione NFC [Near Field Communication; comunicazione in prossimità] di una carta bancaria personalizzata multifunzionale, mediante la quale vengono effettuati pagamenti di importo ridotto addebitati sul conto collegato intestato al cliente, è uno strumento di pagamento?
  • In caso di risposta affermativa al quesito indicato al punto 2, lo strumento di pagamento contactless tramite NFC, può effettivamente essere considerato come utilizzo anonimo dello strumento di pagamento e pertanto usufruire delle deroghe in materia di responsabilità della Banca, di cui all’art. 63, par. 1, lett. b) della PSD2?
  • Un prestatore di servizi di pagamento può avvalersi di tali deroghe solo qualora sia dimostrabile che lo strumento di pagamento, in base all’attuale, obiettivo, sviluppo tecnologico, non possa essere effettivamente bloccato o che non è possibile impedirne un ulteriore utilizzo?

La Corte di Giustizia Europea, con sentenza pubblicata l’11 novembre 2020 ha stabilito quanto segue:

Con riferimento al primo quesito ha stabilito che la proposta di modifica delle condizioni contrattuali, così come normata dall’art. 52, punto 6, lettera a), della PSD2, in combinato disposto con l’articolo 54, paragrafo 1, di quest’ultima, si ritiene accettata con il sistema del silenzio assenso e che la normativa a) non opera distinzioni in relazione alla qualità dell’utente (professionale o consumatore) e b) non stabilisce limitazioni quanto al numero/tipologia di clausole contrattuali che possono essere oggetto di un simile accordo

Tuttavia la Corte ha ritenuto opportuno precisare che, ove si tratti di un utente consumatore, nonostante la PSD2 non faccia precisazioni di sorta, troverà comunque applicazione la normativa europea contro le pratiche sleali e ingannevoli con particolare riferimento alla Direttiva UE 93/13, è  sarà quindi comunque necessario svolgere in concreto un accurato controllo delle clausole contrattuali al fine di verificare se tali clausole possano essere effettivamente considerate “abusive”.

Con riferimento al secondo quesito, la Corte ha stabilito che l’articolo 4, punto 14, della direttiva 2015/2366 deve essere interpretato nel senso che la funzione NFC di cui è dotata una carta bancaria personalizzata multifunzionale e mediante la quale è possibile effettuare pagamenti di importo ridotto addebitati sul conto bancario collegato a tale carta costituisce uno “strumento di pagamento”, come definito da tale diposizione.

Con riferimento al terzo quesito, la Corte ha stabilito che la funzione NFC sopra citata deve essere considerata quale utilizzo anonimo dello strumento di pagamento.

Con riferimento al quarto quesito, la Corte ha stabilito che l’articolo 63, paragrafo 1, lettera a) della PSD2 deve essere interpretato nel senso che un prestatore di servizi di pagamento che intenda avvalersi della deroga prevista da tale disposizione non può limitarsi ad affermare che è impossibile bloccare lo strumento di pagamento interessato o impedire l’ulteriore utilizzo di quest’ultimo, allorché, alla luce dello stato oggettivo delle conoscenze tecniche disponibili, una siffatta impossibilità non può essere dimostrata.

Invero andrebbe detto che la terminologia lessicale utilizzata nel predetto articolo, lascia alquanto perplessi, poiché ci si chiede quando sia effettivamente “impossibile” impedire ulteriori utilizzi della carta. Questo precedente (così come altri in realtà) evidenzia ancora una volta l’opportunità di evitare l’inserimento di termini come “impossibile” all’interno di un contesto tecnologico in costante evoluzione e che spesso non consente di identificare con chiarezza il sottile confine tra ciò che è possibile e ciò che non lo è.

Alla luce di tutto quanto sopra si può ritenere quanto segue:

Le clausole della Banca austriaca con particolare riferimento al sistema di silenzio assenso per l’approvazione delle nuove clausole contrattuali in tema di pagamenti contactless, sono formalmente corrette da un punto di vista della PSD2. Tuttavia la Corte Europea invita ad una attenta valutazione del caso al fine di verificare che siano state rispettate le altre disposizioni comunitarie in materia di tutela del consumatore.

D’altra parte la clausola 18 delle condizioni generali della DenizBank non andrebbe bene così come redatta.

Ed infatti tale clausola indica che, in caso di perdita della carta bancaria, ad esempio a causa di smarrimento o furto, non sia tecnicamente possibile bloccare la carta per i pagamenti di importo ridotto e cio’ senza possibilità di rimborso da parte della banca.

Orbene, con riferimento a tale ultima clausola, la Corte ha precisato che questa non può limitarsi ad affermare che è impossibile bloccare lo strumento di pagamento interessato o impedire l’ulteriore utilizzo di quest’ultimo ma deve vincolare tale limitazione di responsabilità ad una impossibilità tecnica da verificarsi in concreto e caso per caso, sulla base della tecnologia esistente.

La sentenza è di particolare importanza considerati i rischi tecnologici connessi ai nuovi sistemi di pagamento e all’aumento delle truffe conseguenti la crescita esponenziale dei pagamenti digitali, incrementata nell’ultimo anno anche a causa del (o grazie al) Coronavirus che ha imposto severe regole di distanziamento sociale.