Consenso all’operazione di pagamento e ordine impartito al prestatore di servizi
Consenso all’operazione di pagamento e ordine impartito al prestatore di servizi

Consenso all’operazione di pagamento e ordine impartito al prestatore di servizi

Nel sistema dei servizi di pagamento, la volontà del pagatore e l’ordine di pagamento non coincidono sul piano giuridico. Il consenso costituisce la decisione del cliente di autorizzare una determinata operazione o una serie di operazioni, mentre l’ordine di pagamento rappresenta l’atto formale con cui tale decisione viene trasmessa al prestatore di servizi di pagamento affinché provveda alla sua esecuzione, secondo le modalità tecniche e procedurali convenute tra le parti.

Il Tribunale di Milano Sesta Sezione civile nella sentenza n. 7466 pronunciata dalla Dottoressa Laura Massari il 7 ottobre 2025 ha valorizzato questa distinzione, ricollegandovi conseguenze rilevanti in materia di responsabilità per operazioni di pagamento disconosciute.

La procedimentalizzazione del consenso nel D Lgs 11 2010

Contenuto dell’articolo 5 comma 2

L’articolo 5 comma 2 del decreto legislativo 11 2010, di recepimento della disciplina europea sui servizi di pagamento, formalizza la separazione concettuale tra consenso del pagatore e ordine operativo. La norma stabilisce infatti che “il consenso ad eseguire un’operazione di pagamento o una serie di operazioni di pagamento è prestato nella forma e secondo la procedura concordata nel contratto quadro o nel contratto relativo a singole operazioni di pagamento”. In questo modo la legge ancora la validità dell’autorizzazione alla puntuale osservanza di meccanismi tecnici e formali previamente stabiliti tra utente e prestatore di servizi di pagamento PSP.

Ne deriva che la manifestazione di consenso non è più un atto meramente interno, bensì un processo strutturato che si realizza attraverso strumenti informatici e dispositivi di autenticazione. L’ordine di pagamento diventa quindi la componente procedimentale e documentabile di tale consenso, che ne consente la tracciabilità e la verifica ex post.

Allocazione dei rischi e condotte fraudolente

La scelta legislativa di procedimentalizzare il consenso incide direttamente sulla ripartizione dei rischi tra PSP e utilizzatori dei servizi, soprattutto in presenza di condotte fraudolente di terzi che mirano a simulare l’autorizzazione del pagatore. Proprio in considerazione di tale aspetto, l’articolo 5 comma 2 D Lgs 11 2010 assume rilievo nella valutazione delle fattispecie in cui l’operazione, apparentemente autorizzata secondo le procedure concordate, sia in realtà frutto di un indebito utilizzo delle credenziali di sicurezza.

Responsabilità del prestatore di servizi e doveri dell’utente

Responsabilità aggravata per operazioni non autorizzate

La disciplina dei servizi di pagamento, nell’ottica di tutela del consumatore e dell’utente, prevede una responsabilità accentuata in capo al PSP nel caso di operazioni non autorizzate. Quando il cliente contesta un addebito sostenendo di non aver prestato il consenso, il prestatore è chiamato a dimostrare che l’operazione sia stata correttamente autenticata e che l’iter procedurale di acquisizione del consenso si sia svolto in conformità all’articolo 5 comma 2 D Lgs 11 2010.

In altri termini, il PSP non può limitarsi a invocare il mero funzionamento del sistema informatico ma deve provare che l’operazione rispetti le procedure di autenticazione concordate, dimostrando che l’ordine di pagamento è riconducibile alla sfera di controllo dell’utente, secondo le regole tecniche e contrattuali applicabili.

Controparte dell’aggravamento di responsabilità obblighi di diligenza dell’utente

L’appesantimento del regime di responsabilità degli intermediari è bilanciato dall’introduzione di specifici obblighi di diligenza gravanti sugli utenti dei servizi di pagamento. Il cliente è tenuto a custodire con cura le proprie credenziali di sicurezza personalizzate, evitando che soggetti terzi possano impossessarsene o utilizzarle abusivamente, e a utilizzare tali credenziali unicamente per impartire ordini di pagamento che rappresentano la traduzione procedurale della propria volontà di effettuare una determinata operazione.

All’interno di questo perimetro, l’utilizzo delle credenziali secondo le modalità previste costituisce un elemento decisivo per stabilire se l’operazione sia da considerarsi autorizzata, o meglio se il meccanismo di manifestazione del consenso si sia svolto in modo conforme alle procedure pattuite, anche nell’ipotesi in cui il cliente affermi di non aver effettivamente voluto l’operazione.

Onere della prova del PSP in caso di contestazione

Quando il cliente disconosce uno o più ordini di pagamento eseguiti dal proprio PSP, spetta a quest’ultimo l’onere di dimostrare che la procedura di autenticazione sia stata correttamente applicata e che l’operazione contestata sia il risultato di un consenso validamente prestato ai sensi dell’articolo 5 comma 2 D Lgs 11 2010. Il fulcro della prova risiede nella tracciabilità tecnica dell’operazione e nella documentazione delle fasi di autenticazione, autorizzazione ed esecuzione.

In tale ottica, assumono particolare importanza gli strumenti informatici in grado di attestare il percorso digitale dell’ordine di pagamento e di collegarlo alle credenziali di sicurezza attribuite al cliente, nonché ai dispositivi da lui utilizzati per accedere ai canali di home banking o mobile banking.

Il rilievo probatorio dei file di log nella decisione del Tribunale di Milano

Autenticazione forte e tracciabilità dell’operazione

Nel caso esaminato dal Tribunale di Milano, il giudice ha ritenuto che l’istituto di credito avesse fornito adeguata dimostrazione dell’adozione di sistemi di autenticazione forte per la trasmissione e la ricezione degli ordini di pagamento. Tale prova è stata ritenuta raggiunta in particolare attraverso la produzione in giudizio dei file di log relativi alle operazioni contestate.

I file di log sono archivi in formato testuale che registrano in modo sistematico le attività compiute da un utente durante una sessione di utilizzo di un dispositivo elettronico, quali personal computer smartphone o tablet. Essi tracciano le interazioni con il sistema, i momenti di accesso, le operazioni effettuate e una serie di dati tecnici che consentono di ricostruire il comportamento digitale dell’utente e le circostanze in cui un determinato ordine di pagamento è stato impartito.

L’orientamento della Cassazione penale e la metafora delle impronte digitali 20

Il Tribunale ha richiamato sul punto l’orientamento della giurisprudenza di legittimità, valorizzando il contenuto della sentenza della Corte di cassazione penale n 18464 del 2025. In tale pronuncia i file di log sono stati qualificati come uno strumento probatorio particolarmente significativo, al punto da essere definiti “vere e proprie ‘impronte digitali 2 0’, particolarmente importanti in sede investigativa in quanto consentono di individuare molteplici profili relativi all’utilizzo dell’apparecchio, tra cui: a) gli orari e la durata della connessione ad Internet, con il relativo l’indirizzo IP (codice univoco che identifica un dispositivo su Internet o in una rete locale); b) le informazioni che questi ha inviato o ricevuto attraverso lo stesso indirizzo; c) l’anagrafica dell’intestatario di un contratto di utenza. I file di log, inoltre, interessano le intercettazioni effettuate con captatore informatico (come nella vicenda in esame), fornendo tutte le informazioni relative al momento, preciso, della programmazione della captazione, della sua effettuazione e dell’ascolto, o della ‘smarcatura’, dell’intercettazione così effettuata”.

Questa impostazione, traslata nell’ambito dei servizi di pagamento, conferisce ai file di log un ruolo centrale nella dimostrazione del corretto utilizzo delle credenziali di sicurezza e della riconducibilità dell’ordine di pagamento all’utenza del cliente, secondo le regole di autenticazione pattuite.

Esito del giudizio e implicazioni operative

Alla luce delle risultanze tecniche emergenti dai file di log prodotti in giudizio, il Tribunale di Milano ha ritenuto che l’istituto di credito avesse impiegato un sistema di autenticazione forte per tutte le comunicazioni degli ordini di pagamento con il cliente, comprese le operazioni successivamente disconosciute. Da tali registrazioni è emerso che gli ordini contestati erano stati impartiti attraverso le medesime procedure e con le stesse credenziali utilizzate abitualmente dal correntista.

Il prestatore di servizi di pagamento aveva pertanto dato esecuzione a operazioni correttamente autenticate, le quali, sul piano giuridico, risultano riconducibili a un consenso espresso nella forma e secondo la procedura stabilita contrattualmente, anche se, sul piano intenzionale, esse si sono rivelate contrarie alla volontà consapevole del cliente. Proprio questo scarto tra volontà interna del pagatore e manifestazione procedimentalizzata del consenso costituisce il terreno su cui si gioca, in concreto, la valutazione della responsabilità nei casi di frodi informatiche e operazioni contestate, ambito nel quale la prova tecnologica fornita dai file di log assume un ruolo sempre più determinante.