Collocamento elettronico di prodotti assicurativi e accessori connessi al finanziamento.

Aggiornato il: 23 apr 2019

1. Premessa.


L’indagine ha ad oggetto l’individuazione di possibili problematicità connesse al collocamento di prodotti alla clientela (contratti di credito al consumo, prestiti personali o prestiti collegati, etc.) per il tramite di una c.d. one time password (OTP) su smart phone mediante raccolta di firma digitale, nonché, in abbinamento, la vendita di polizze assicurative a copertura del credito, quindi malattia, morte ed infortunio (CPI) e mezzo finanziato (furto incendio - CVT) e la vendita di prodotti accessori quale un alert sul furto di identità del contraente per un periodo abbinato alla durata del finanziamento.

Il tema evidenzia l’obiettivo degli intermediari di favorire l’adozione di soluzioni tecnologiche tali da consentire, a favore dei clienti che ne facciano richiesta, il collocamento dei propri prodotti attraverso l’utilizzo di mezzi tecnologici innovativi e sicuri.

La tendenza, più precisamente, è quella di ampliare la propria gamma di servizi, da un lato, offrendo alla clientela un’idonea tecnologia che consenta di firmare contratti su supporto informatico, eliminando in tal modo il ricorso alla carta; dall’altro, proponendo contratti connessi, aventi ad oggetto protezioni assicurative ed accessorie, da firmare con le medesime modalità telematiche.

Alla luce di ciò si impone di esaminare preliminarmente le diverse fattispecie al vaglio, per riferirle poi alla disciplina applicabile, anche in considerazione del fatto che il quadro normativo di riferimento è caratterizzato da una forte evoluzione.


2. Il quadro normativo: le definizioni introdotte dal Regolamento UE n. 910/2014 (c.d. “regolamento eIDAS”) e la firma digitale disciplinata dal d. lgs. 7 marzo 2005, n. 82/2005 (“codice dell’amministrazione digitale”).


Le ipotesi rilevanti paiono le seguenti:

(a) Prima fattispecie: la sottoscrizione presso le filiali dell’intermediario (o bancarie del gruppo di appartenenza) a mezzo di firma elettronica avanzata (FEA) su tablet.

La prima ipotesi da esaminare riguarda il caso in cui il cliente si rechi personalmente presso una filiale dell’intermediario (o una filiale del gruppo) e utilizzi la firma grafometrica per la conclusione degli accordi contrattuali: la conclusione del contratto avviene a mezzo della sottoscrizione apposta su tavolette grafiche a tecnologia avanzata in una forma che consenta di verificarne, successivamente e su richiesta di una delle parti, la paternità e l’integrità.

(b) Seconda fattispecie: la sottoscrizione presso le filiali dell’intermediario (o bancarie del gruppo) a mezzo di “one time password” (“OTP”).

(c) Terza fattispecie: la sottoscrizione presso i dealers a mezzo di OTP.

In queste due fattispecie, il cliente si reca personalmente presso i locali del gruppo o dei dealers e procede alla sottoscrizione dei contratti a mezzo di OTP che viene visualizzata sul dispositivo mobile per procedere alla sua identificazione e avere certezza della firma apposta (il metodo è, dunque, diverso rispetto alla firma grafometrica). La peculiarità risiede nella circostanza che il cliente è fisicamente “vicino” alla controparte contrattuale, ma utilizza l’OTP che potrebbe utilizzare per sottoscrivere gli accordi anche da remoto, come nella fattispecie descritta di seguito.

(d) Quarta fattispecie: la sottoscrizione da remoto con firma crittografata. Diversamente dalle precedenti, questa ipotesi riguarda il caso in cui il cliente operi direttamente “da remoto” per il tramite di strumenti quali PC, tablet o smart phone e utilizzi la FEA nella sua variante crittografica e utilizzando una OTP.

Precisato quanto precede, occorre rilevare che la normativa italiana in materia di firme elettroniche è stata recentemente riformata in sede di adeguamento alla disciplina del Regolamento UE n. 910/2014 in materia di identificazione elettronica per le transazioni elettroniche nel mercato interno (noto con l’acronimo di “eIDAS: Electronic IDentification Authentication and Signature”), direttamente applicabile in tutti gli Stati membri dal 1 luglio 2016.

La riforma ha avuto un impatto rilevante sulla nozione di documento informatico, inteso quale “rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”, e sulla definizione delle tipologie di firme riconosciute in ambito europeo.

Per questo motivo, nel d. lgs. 7 marzo 2005, n. 82 (c.d. “codice dell’amministrazione digitale” o “CAD”), sono state soppresse le precedenti definizioni di firma elettronica, firma elettronica avanzata e firma qualificata. L’art. 1, comma 1-bis, rimanda ora alle definizioni contenute nell’art. 3 del Regolamento eIDAS.

L’art. 3, n. 10, del Regolamento eIDAS definisce la firma elettronica come “l’insieme dei dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare” (c.d. “firma elettronica semplice”). Con l’intervenuta riforma, la firma elettronica perde il valore di mezzo di identificazione informatica (di autenticazione) e assume il valore di mero strumento di sottoscrizione. La firma elettronica di questo tipo è detta anche “debole” o “leggera”, perché costituisce la sottoscrizione meno sicura ed affidabile; d’altra parte, però, alla stessa, per espressa previsione di legge, non possono essere negati effetti giuridici.

In sé essa non è altro che un insieme di dati connessi attraverso un’associazione logica ad altri dati elettronici, vale a dire un’operazione informatica con la quale il sottoscrittore esprime la volontà di attribuirsi la titolarità di un documento. È quello che avviene, ad esempio, con la email tramite l’associazione di username e password.

L’art. 3, n. 11, del Regolamento eIDAS definisce poi “firma elettronica avanzata” (appunto la FEA) quella che soddisfa i requisiti di cui all’art. 26: “1) è connessa unicamente al firmatario; 2) è idonea a identificare il firmatario; 3) è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo; 4) è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati.

La normativa eIDAS osserva il principio c.d. di “neutralità tecnologica”: non individua specifici formati, ma solo standard tecnici di riferimento, ai quali possono ricondursi diverse soluzioni di firma.

Quale prima species di FEA si rinviene la c.d. “firma grafometrica”, che consiste in una firma apposta su un particolare tablet con uno speciale dispositivo (“pen drive”) che consente di memorizzare alcune caratteristiche biometriche del soggetto: velocità di scrittura, pressione della firma, accelerazione del movimento. La firma grafometrica, rilevata previa identificazione del firmatario nel rispetto delle regole tecniche vigenti, soddisfa il requisito della connessione univoca e della identificazione certa del firmatario e del suo controllo esclusivo sullo strumento di firma.

Quale ulteriore species di FEA si riscontra poi la “firma elettronica qualificata” (o “FEQ”) definita, dall’art. 3, n. 12, del Regolamento eIDAS, quale “firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche. Si tratta di un attestato elettronico che collega i dati di una firma elettronica ad una persona fisica: ad esempio una SIM card con chip che contiene alcuni dati anagrafici e il codice fiscale (è il caso della tessera sanitaria).

In ragione del richiamato principio di neutralità tecnologica, la firma elettronica qualificata viene definita nel CAD (art. 1, comma 1, lett. s) quale “firma digitale” ed intesa come “basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare di firma elettronica tramite la chiave privata e a un soggetto terzo tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”.

La travagliata produzione normativa sulle firme elettroniche confluita nel CAD ha determinato un moltiplicarsi di soluzioni e sottocategorie destinate ad aumentare la complessità del sistema, anche in ragione della non perfetta coincidenza con le definizioni comunitarie ([1]).

Ad ogni buon conto, ai fini del presente parere appare sufficiente precisare che, per il combinato disposto di cui agli artt. 21, comma 2-bis, CAD e 1350 c.c., non tutte le sottoscrizioni elettroniche sono idonee ad assolvere al requisito della forma scritta ad substantiam, dando luogo nel nostro ordinamento ad un fenomeno di “gradazione” della validità della scrittura privata elettronica: vi sono scritture private elettroniche che, pur provviste di sottoscrizione (elettronica), non sono state ritenute idonee ad integrare il requisito formale minimo richiesto dall’art. 1350 c.c., là dove si fa riferimento alle scritture private che devono necessariamente farsi per iscritto a pena di nullità ([2]).

Il riferimento è alle scritture private elettroniche munite di firma elettronica semplice (o debole), per le quali, a prescindere da ogni considerazione in ordine ai profili di carattere probatorio, non v’è possibilità di far ritenere validamente sottoscritto l’atto per il quale sia richiesta la forma scritta a pena di nullità.

Tra le altre firme, all’opposto, quella elettronica qualificata e quella digitale, basate entrambe su un certificato qualificato rilasciato da un’autorità di certificazione ad hoc, sono considerate sempre idonee a soddisfare il requisito formale richiesto ad substantiam dal nostro ordinamento, purché vi sia il rispetto delle regole tecniche imposte dalla disciplina di riferimento e la validità del certificato di firma, periodicamente rinnovabile ([3]).

L’art. 21 del CAD precisa, al comma 2, che “il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all’ articolo 20, comma 3, che garantiscano l’identificabilità dell’autore, l’integrità e l’immodificabilità del documento, ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria”.

Per la concreta attuazione di tale disposto, le relative linee guida sono contenute nel decreto del Presidente del Consiglio dei Ministri del 22 febbraio 2013, n. 68380, recante le “regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi del CAD”.

Ai sensi dell’art. 56 del citato decreto, i soggetti che erogano o realizzano soluzioni di firma elettronica avanzata si distinguono in (a) coloro che erogano soluzioni di firma elettronica avanzata al fine di utilizzarle nei rapporti intrattenuti con soggetti terzi per motivi istituzionali, societari o commerciali, realizzandole in proprio o anche avvalendosi di soluzioni realizzate dai soggetti di cui alla lettera b) e (b) coloro che, quale oggetto dell’attività di impresa, realizzano soluzioni di firma elettronica avanzata a favore dei soggetti di cui alla lettera a).

Le regole tecniche impongono, tuttavia, al soggetto “erogatore” di una soluzione di firma elettronica avanzata anche l’ulteriore obbligo - delineato dall’art. 57, comma 2 - di dotarsi “di una copertura assicurativa per la responsabilità civile rilasciata da una società di assicurazione abilitata ad esercitare nel campo dei rischi industriali per un ammontare non inferiore ad euro cinquecentomila”. Ciò al dichiarato “fine di proteggere i titolari della firma elettronica avanzata” (ossia i “firmatari”, destinatari finali della soluzione di FEA messa in circolazione dal soggetto “realizzatore”) e i terzi “da eventuali danni cagionati da inadeguate soluzioni tecniche”.

Inoltre, una copertura assicurativa è prevista anche in caso di firme elettroniche qualificate, come si evince dall’art. 15, comma 1, lett. i), del decreto, là dove viene prevista, a carico dei “certificatori che rilasciano al pubblico certificati qualificati ai sensi del Codice” (art. 15, comma 1, cit.) la comunicazione, all’Agenzia per l’Italia Digitale (“AgID”), della “copia di una polizza assicurativa a copertura dei rischi derivanti dall’attività e dei danni causati a terzi” (A differenza di quanto previsto per le firme elettroniche avanzate, quindi, l’obbligo è posto a carico dei soggetti che realizzano e gestiscono le tecnologie usate per la firma e che, per tale motivo, sono in grado di gestire e controllare i rischi).


3. Sottoscrizione presso le filiali o presso i locali commerciali dei dealers: l’identificazione del cliente e il ruolo del “registration authority officer”.


In ragione delle descritte specificità tecniche connesse alla firma digitale, un ruolo importante è rivestito dalla persona fisica che svolge le funzioni di c.d. “registration authority officer” (“RAO”), ovvero l’operatore dell’ufficio di registrazione: si tratta del soggetto incaricato di verificare l’identità e, se applicabile, ogni specifico attributo del cliente/consumatore, nonché di attivare la procedura di certificazione per conto della “registration authority” (“RA”), come, ad esempio, Infocert.

Quest’ultima entità è deputata ad eseguire le operazioni di (1) validazione della richiesta del certificato, (2) distribuzione ed inizializzazione del dispositivo sicuro di firma, (3) attivazione della procedura di certificazione della chiave pubblica, (4) supporto al cliente/consumatore e al RAO.

In sintesi: il RAO identifica il cliente e richiede l’attribuzione di identità one-shot ([4]) alla RA, la quale – effettuate le opportune verifiche – invia sullo smart phone del cliente l’OTP per chiudere il documento digitale.

Tanto chiarito, nell’ipotesi di accesso del cliente alle filiali dell’intermediario, il ruolo di RAO è svolto dal soggetto – eventualmente anche dipendente del gruppo – che concretamente si interfaccia con il cliente per svolgere le operazioni richiamate, avendone il relativo potere.

Per converso, ove il cliente sia fisicamente presente presso i locali del dealer, il ruolo di RAO dovrà necessariamente essere assunto da quest’ultimo, ovvero dal legale rappresentate o preposto del dealer, con intuitivi rischi da errata e/o fraudolenta attribuzione di identità.

In tale prospettiva pare consigliabile valutare l’opportunità di implementare e rafforzare i presidi organizzativi (anche ex d.lgs. n. 231/2001) al fine di evitare il coinvolgimento, anche solo in termini di responsabilità derivata, della Società con riferimento alla condotta del singolo Dealer. Rischio che, evidentemente, si atteggia in maniera differente per le ipotesi di firma grafometrica e di firma da remoto.


4. Sottoscrizione per via telematica con firma da remoto OTP.


Con riferimento alla diversa fattispecie della firma da remoto, la prestazione di servizi finanziari o bancari per via telematica rientra nell’ambito delle attività c.d. “a distanza”, nello svolgimento delle quali, come disposto dall’art. 32, comma 1, t.u.f., semplicemente non si rinviene “la presenza fisica e simultanea del cliente e del soggetto offerente o di un suo incaricato” ([5]).

In fondo, tutto dovrebbe ridursi alla considerazione della distanza tra offerente e cliente, che lo strumento telematico annulla sul piano fattuale: è questo che fa affermare alla Direttiva UE 2015/2366 del 25 novembre 2015 (riferita ai servizi di pagamento) che costituisce “tecnica di comunicazione a distanza” “un metodo che, senza la presenza fisica simultanea del prestatore e dell’utente di servizi di pagamento, possa essere utilizzato per la conclusione di un contratto di servizi di pagamento” (così art. 4, alinea 34).

Il punto è, allora, come rendere applicabile la disciplina dettata per la promozione, la conclusione e la gestione dei rapporti finanziari o bancari de visu a fronte della lontananza fisica delle parti.

Per il cliente professionale non sono ritenute necessarie previsioni di maggior cautela per eventuali rischi che il mezzo telematico dovesse comportare, al di là della sicurezza informatica che l’“offerente”, nel senso più ampio possibile del termine, deve assicurare ([6]).

Per converso, il legislatore adotta una considerazione diversa per il cliente “telematico” (non professionale) ([7]).

L’obiettivo è quello di consentire gli di ottenere la medesima documentazione che avrebbe ricevuto in caso di incontro fisico con l’offerente, assicurandosi, tuttavia, che tale documentazione sia messa a disposizione prima della conclusione del contratto. In ogni caso, infatti, il testo contrattuale deve essere fornito al cliente anche cartaceamente o, comunque, su supporto durevole, e chi accede al sito internet deve immediatamente poter individuare come reperire tutte le informazioni prescritte ([8]).

Parimenti, con specifico riferimento ai contratti di credito al consumo, l’art. 124, comma 3, t.u.b. prescrive che “se il contratto di credito è stato concluso, su richiesta del consumatore, usando un mezzo di comunicazione a distanza che non consente di fornire le informazioni di cui al comma 1, il finanziatore o l’intermediario del credito forniscono al consumatore il modulo di cui al comma 2 immediatamente dopo la conclusione del contratto di credito”.

Del resto, la disciplina bancaria e finanziaria prescrive, come noto, il requisito della forma scritta dei contratti e, ai sensi dell’art. 117 t.u.b., i contratti delle banche e degli intermediari finanziari devono essere redatti per iscritto e una copia va consegnata ai clienti: il mancato rispetto della forma prescritta determina la nullità del contratto (cfr. altresì l’art. 23 t.u.f.).


5. La sicurezza dei servizi bancari e finanziari per via telematica.


La prestazione di servizi bancari e finanziari telematici solleva quale tema centrale quello della sicurezza dei soggetti coinvolti.

In argomento, l’art. 8 del d.lg. 27 gennaio 2010, n. 11 – di recepimento della direttiva 2007/64/CE – prescrive che il prestatore di servizi di pagamento deve “assicurare che le credenziali di sicurezza personalizzate non siano accessibili a soggetti diversi dall’utente abilitato a usare lo strumento di pagamento”, assumendosi ogni rischio, sostanzialmente, in caso di abusivo utilizzo del sistema da parte di terzi.

Tale posizione trova un limite nei corrispondenti obblighi di comportamento posti a carico dell’utilizzatore, il quale deve rendersi parte attiva nel rapporto con il prestatore, sia in termini di cautela nell’utilizzo dello strumento, dovendo, non appena lo riceve, adottare “le misure idonee a garantire la sicurezza dei dispositivi personalizzati che ne consentono l’utilizzo”, sia in termini di pronta informativa al prestatore dell’uso illegittimo dello strumento del quale si sia in qualsiasi modo avveduto o avrebbe dovuto, secondo una diligenza ordinaria, avvedersi (egli dovrà, quindi, “comunicare senza indugio, secondo le modalità previste nel contratto quadro, al prestatore di servizi di pagamento o al soggetto da questo indicato lo smarrimento, il furto, l’appropriazione indebita o l’uso non autorizzato dello strumento non appena ne viene a conoscenza”).

L’art. 10, in particolare, dispone che, qualora l’utilizzatore di servizi di pagamento neghi di aver autorizzato un’operazione già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che la stessa non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.

In caso di disconoscimento della transazione da parte del cliente, inoltre, l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi non è di per sé sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utilizzatore medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di utilizzo conforme alle regole o di segnalazione di anomalia.

Infine, l’art. 11 prevede che nel caso in cui un’operazione di pagamento non sia stata autorizzata, il prestatore dei servizi debba rimborsare immediatamente all’utilizzatore l’importo dell’operazione medesima. Solo in caso di motivato sospetto di frode ([9]), il prestatore di servizi può sospendere il rimborso, dandone immediata comunicazione al cliente. In caso di rifusione, ciò non preclude la possibilità per il prestatore di servizi di dimostrare, anche in un momento successivo, che l’operazione era stata legittimamente addebitata, con il conseguente diritto di ripetizione nei confronti dell’utilizzatore.

Da quanto precede si ricostruisce un regime per cui l’onere di provare la genuinità della transazione ricade essenzialmente sul prestatore del servizio. Il tratto appare solo parzialmente bilanciato ove si considerino gli obblighi posti a carico del cliente, che sopporta le perdite se la truffa è avvenuta a causa di una sua negligenza nella custodia e nell’utilizzo dello strumento.

Un potenziale temperamento delle responsabilità del prestatore del servizio è peraltro recentemente emerso in sede applicativa (in tema di frodi commesse a mezzo bancomat) nella misura in cui si è consentito all’intermediario di utilizzare la prova per presunzioni ex art. 2729 c.c. al fine di dimostrare la negligenza del cliente nella custodia dei codici segreti di accesso al servizio ([10]).

Tuttavia, come emerge dalla casistica giurisprudenziale, l’“ignoto tecnologico” resta a carico dell’intermediario ([11]) e in ragione dell’applicabilità, comunque, delle norme di cui all’art. 15 del d.lgs. n. 196/2013 e dell’art. 2050 c.c. (dando per non contestata la caratteristica di pericolosità dell’attività bancaria e finanziaria) si è delineato un quadro normativo che attribuisce allo stesso un regime di responsabilità “semi-oggettivo” ([12]), conforme anche al quadro normativo comunitario e, più esattamente, all’art. 23 e al considerando 55 della Direttiva 95/46/CE.

Da ciò consegue che l’attore-cliente è onerato soltanto della prova del danno, riferibile al trattamento del suo dato personale, mentre ricade sul convenuto (l’intermediario) dimostrare di aver adottato tutte le misure idonee ad evitare il pregiudizio ([13]).

Anche in ragione di quanto precede, la procedura di identificazione del cliente deve comunque conformarsi al modello multifattoriale raccomandato per gli strumenti “a maggior sicurezza” dall’allegato tecnico di cui al provvedimento della Banca d’Italia del 5 luglio 2011, per cui “le metodologie di autenticazione forte degli utenti si basano su una pluralità di «fattori», tra i quali: i) qualcosa che l’utente conosce (es: password/PIN); ii) qualcosa che l’utente possiede (es. smart card, token, OTP, SIM cellulare, firma digitale); iii) qualcosa che l’utente è (es: caratteristiche biometriche). Fattori di diverso tipo possono essere combinati insieme per ottenere soluzioni di autenticazione «multifattore» in grado di elevare il livello complessivo di sicurezza” ([14]).

Al riguardo è opportuno ricordare anche il più recente orientamento del Regolamento n. 2016/679/UE (c.d. “general data protection regulation” o “GDPR”), che, all’art. 4, n. 1, individua il “dato personale” come “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” ([15]).

È quindi verosimile che, vista l’ampia accezione, numerose informazioni utilizzate nello svolgimento dell’attività economica — e bancaria in particolare — possano venire ad assumere la veste di dato personale ([16]). Fra queste, assume un rilievo centrale proprio l’utilizzo di codici personali e, in genere, di credenziali informatiche che il cliente impiega al fine di accedere all’operatività on line sui propri conti.

In questo ambito, fra l’altro, si registra un ulteriore dato normativo, che riprende il tema dell’individuazione del cliente mediante l’utilizzo di codifiche alfanumeriche: ci si riferisce, in particolare, all’istituto del c.d. “identificativo unico”, introdotto dall’art. 1, lett. r), d. lgs. n. 11/2010, espressamente definito come combinazione di lettere, numeri o simboli atti a identificare un utilizzatore del servizio di pagamento o il suo conto.

In conclusione su questo specifico punto, il percorso logico-interpretativo della giurisprudenza parrebbe atteggiarsi come segue: a) i codici segreti di accesso ai servizi bancari e finanziari costituiscono un dato personale del cliente; b) qualora terzi non autorizzati si inseriscano nel sistema carpendo dette credenziali e operando sui conti della clientela, si delinea una responsabilità dell’intermediario, in quanto gestore del sistema, per non aver predisposto adeguate misure di sicurezza; c) la fattispecie va inquadrata (anche) nell’ambito della normativa sul trattamento dei dati personali, con diretta applicazione del severo regime codicistico ivi richiamato in tema di attività pericolose.


6. Rischio di riciclaggio e adempimenti di adeguata verifica.


Quanto allo specifico profilo del potenziale rischio di violazione di previsioni di legge e regolamentari funzionali alla prevenzione del riciclaggio, occorre fare riferimento a due documenti di consultazione di Banca d’Italia.

I documenti riguardano, rispettivamente, (a) le previsioni in materia di organizzazione, procedure e controlli interni per il contrasto al riciclaggio e al finanziamento del terrorismo, contenute nel d. lgs. 21 novembre 2007, n. 231, come modificato dal d. lgs. 25 maggio 2017, n. 90 di recepimento della c.d. quarta direttiva antiriciclaggio (Direttiva UE 2015/849) ([17]) e (b) le previsioni sull’adeguata verifica della clientela sempre contenute nel decreto legislativo 21 novembre 2007, n. 231 ([18]).

Con riferimento al rischio di riciclaggio, il primo documento precisa che, a fronte della possibilità di graduare gli assetti procedurali e di controllo in base al rischio, si richiede agli intermediari di definire una policy che indichi in modo analitico e motivato le scelte (in termini di processi, assetto dei controlli e funzioni aziendali deputate) che intendono adottare per adempiere in concreto agli obblighi di antiriciclaggio.

In attesa che vengano forniti dall’Autorità di Vigilanza i criteri specifici applicabili alle varie categorie di intermediari (con particolare riferimento alla Parte Settima del documento in consultazione), l’autovalutazione del rischio di riciclaggio dovrà necessariamente considerare i metodi di operatività a distanza (ad esempio, effettuata attraverso canali digitali) e valutare l’adozione di specifiche procedure informatiche finalizzate al rispetto della normativa antiriciclaggio, con particolare attenzione all’individuazione automatica di operazioni anomale.

Con riferimento all’adeguata verifica a distanza, le disposizioni stabiliscono che, in tutti i casi di operatività a distanza, gli intermediari devono procedere all’identificazione e alla verifica del cliente attraverso la copia di un documento di identità, prevedendo che ulteriori verifiche vengano condotte secondo le modalità ritenute più opportune, in relazione al rischio specifico. In coerenza con quanto previsto in altri Paesi europei, sono stati inclusi tra gli strumenti di verifica i meccanismi di riscontro basati su affidabili soluzioni tecnologicamente innovative, quali, ad esempio, quelle che prevedono forme di riconoscimento biometrico.

Le disposizioni, inoltre, definiscono una procedura dettagliata per effettuare l’adeguata verifica in digitale da remoto tramite strumenti di registrazione audio/video; la procedura riprende quella prevista dall’Agenzia per l’Italia Digitale nel regolamento recante le modalità attuative per la gestione del c.d. “SPID” (“sistema pubblico di identità digitale”) del 28 luglio 2015.

L’Autorità di Vigilanza precisa, inoltre, che gli intermediari devono porre particolare attenzione all’operatività a distanza, in considerazione dell’assenza di un contatto diretto con il cliente o con i soggetti dallo stesso eventualmente incaricati, soprattutto con riferimento al rischio di frodi connesse al furto di identità elettronica.

Dalle indicazioni derivanti dai documenti in consultazione, pare opportuno, ai fini della minimizzazione per l’intermediario dei rischi citati, approntare un sistema dei controlli ispirato a quanto sopra illustrato.

In sintesi (e conclusivamente su questo specifico punto) pare opportuno che l’intermediario: (i) acquisisca i dati identificativi del cliente e ne effettui il riscontro sulla base di una copia – ottenuta tramite fax, posta, in formato elettronico o con modalità analoghe – di un valido documento di identità, ai sensi della normativa vigente; (ii) provveda a un’ulteriore verifica dei dati acquisiti secondo le modalità ritenute più opportune, in relazione al profilo di rischio ([19]).

Ove non si sia in grado di ottenere i dati e le informazioni indicate, non si dovrebbe dar corso all’operazione, né avviare il rapporto continuativo ovvero si dovrebbe procedere alla cessazione del rapporto già in essere, valutando se inviare una segnalazione di operazione sospetta.

La stessa condotta va tenuta se l’intermediario non riesce a verificare l’attendibilità dei dati o ad avere altrimenti certezza circa la coincidenza fra il cliente da identificare e il soggetto cui si riferiscono i dati e le informazioni trasmesse ovvero se, dalle verifiche effettuate e dalle misure adottate, emerge la falsità o l’incoerenza delle informazioni fornite a distanza.

L’identificazione del cliente-persona fisica può essere effettuata dagli intermediari anche in digitale da remoto tramite strumenti di registrazione audio/video nel rispetto delle disposizioni contenute nell’Allegato 3 al documento di consultazione, al quale si rinvia per gli aspetti di maggior dettaglio.


7. Il rischio di lesione della privacy e l’acquisizione del consenso.


La particolare attenzione del GDPR alla tematica del “consenso” emerge già dall’art. 4, che definisce quest’ultimo quale “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” ([20]).

Quindi il consenso deve essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale.

Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per i servizi della società dell’informazione o qualsiasi altra dichiarazione o comportamento che indichi chiaramente che l’interessato accetta il trattamento proposto.

Non dovrebbe invece configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità; qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso ([21]).

Conseguentemente, ai sensi dell’art. 7, comma 2, se il consenso è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso va presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Ciò presuppone che l’identificazione dovrebbe includere l’identificazione digitale dell’interessato, ad esempio mediante un meccanismo di autenticazione come le credenziali utilizzate dall’interessato per l’accesso (“log in”) al servizio on line offerto dal titolare del trattamento.

In tale prospettiva pare importante segnalare che le “guidelines on consent under regulation 2016/679 (wp259rev.01)” dell’Unione Europea ([22]) prescrivono l’unicità della finalità per le quali il consenso al trattamento è stato ottenuto; di conseguenza, il consenso ottenuto per una determinata finalità non potrà essere utilizzato per una finalità diversa. In tal caso sarà necessario raccogliere un nuovo consenso avente ad oggetto il trattamento per detta nuova finalità. Allo stesso modo dispongono le “guidelines on transparency under regulation 2016/679 (wp260rev.01)” ([23]).

Per tali motivi, e in ragione della continua evoluzione normativa, pare opportuno apprestare idonei presidi avverso potenziali rischi da violazione della normativa privacy che siano già allineati alle citate guidelines, attraverso l’adozione di strumenti tecnici e informatici in grado di garantire gli standard richiesti.


8. La specifica sottoscrizione delle clausole vessatorie.


La specifica approvazione delle clausole vessatorie contenute nei contratti che si intendono collocare pone il tema delle modalità di sottoscrizione che possano considerarsi giuridicamente equivalenti alla doppia sottoscrizione cartacea, posto che lo strumento tecnico di veicolazione dell’accordo contrattuale (lo stampato oppure il formato elettronico) appare del tutto indifferente rispetto al contenuto dell’accordo medesimo.

La conclusione del contratto attraverso internet si può perfezionare mediante la tecnica detta “point and click” dove l’utente (sia esso un professionista ovvero un consumatore) esprime il proprio consenso con la semplice selezione di una casella o di un form e la pressione di un apposito bottone ([24]).

Sul punto risultano soltanto due precedenti giurisprudenziali che decidono in maniera opposta la medesima fattispecie e dai quali, per le finalità che ci occupano, si può di fatto prescindere, in considerazione del fatto che si tratta di provvedimenti piuttosto risalenti e, comunque, maturati in un contesto normativo diverso da quello attualmente in vigore e in fase di evoluzione ([25]).

Il quesito pare doversi risolvere facendo riferimento agli approdi raggiunti con riferimento alla conclusione del contratto e doppia sottoscrizione delle clausole vessatorie nell’ambito del rapporto cartaceo, traslando tali pacifiche conclusioni sul diverso terreno del digitale.

La norma cardine risulta l’art. 1350 c.c. in combinato disposto sia con le norme codicistiche degli artt. 1341 e 1342 c.c., sia con la normativa di settore di cui agli artt. 33 e ss. del codice del consumo.

Conseguentemente i principi giurisprudenziali maturati sui singoli aspetti del tema dovranno essere declinati in chiave digitale con applicazione delle conclusioni già raggiunte nella forma cartacea alla diversa e nuova forma della conclusione del contratto in via telematica a mezzo della firma digitale nella sua variante forte.

Tale sottoscrizione digitale dovrà dunque essere apposta al documento digitale contenente il contratto di volta in volta rilevante, con le stesse modalità visive, di separazione e di singola indicazione per approvazione che si rinviene nella tradizione cartacea ([26]), approntando ovviamente gli accorgimenti tecnici e informatici necessari a giungere a tale scopo.


9. Il collocamento di polizze assicurative a copertura del credito (malattia, morte ed infortunio) e mezzo finanziato (furto, incendio)


Con riferimento al quesito relativo alla possibilità di offrire in abbinamento ai prodotti collocati da L’intermediario eventuali polizze assicurative a copertura del credito o del mezzo finanziato, va anzitutto evidenziato che, in linea di principio, il fenomeno delle polizze abbinate a finanziamenti da parte di banche e di altri intermediari finanziari si inquadra nell’ambito dell’autonomia negoziale dei privati e della possibilità concessa agli stessi di adottare figure negoziali atipiche ex art. 1322 c.c. Difatti, come è stato da tempo osservato, tali polizze in astratto appaiono suscettibili di realizzare sia l’interesse dell’assicurato - finanziato, sia quello della società finanziatrice ([27]).

Da una parte, il cliente si pone in condizioni di fronteggiare le difficoltà finanziarie mettendo a riparo il proprio patrimonio da azioni esecutive da parte del soggetto che eroga il finanziamento (per il caso della morte, del furto, etc.) e risparmia anche i costi relativi alla costituzione di mezzi di garanzia più tradizionali. Dall’altra, la società finanziatrice può aumentare la propensione alla concessione di crediti, riducendo gli impatti negativi sul portafoglio prestiti.

La possibilità per l’intermediario, in posizione di forza al momento dell’erogazione del finanziamento, di porre in essere comportamenti opportunistici (se non addirittura distorsivi delle dinamiche concorrenziali o comunque lesivi degli interessi della clientela) ha indotto l’IVASS e la Banca d’Italia ad intervenire a più riprese, come, ad esempio, con le “linee guida per le polizze assicurative connesse a mutui e altri contratti di finanziamento”, dell’ottobre 2008, e la “lettera congiunta” del 26 agosto 2015. Ne è scaturito nel tempo un intervento delle due Autorità sempre più penetrante, tipico dell’ultima frontiera della regolazione, che si caratterizza per l’assunzione di contenuti positivi diretti all’intensificazione degli obblighi di condotta, con una crescita del potere delle Autorità di conformazione del contenuto del contratto.

Complessivamente, sulla base di un quadro normativo molto articolato ([28]), le imprese finanziarie e gli intermediari assicurativi devono:

- comportarsi con diligenza, correttezza, trasparenza e professionalità;

- operare in materia tale che i contraenti siano adeguatamente informati nella fase precontrattuale, al momento del perfezionamento del contratto e durante tutto il periodo di validità del contratto;

- valutare le esigenze del cliente, acquisendo le necessarie informazioni, e proporre prodotti adeguati a tali esigenze;

- attrezzarsi per individuare ed evitare potenziali conflitti di interessi;

- adottare una sana, indipendente e prudente gestione in modo tale da salvaguardare i diritti dei clienti:

- operare al fine di contenere i costi a carico dei contraenti ed ottenere il miglior risultato possibile in relazione agli obbiettivi assicurativi;

- astenersi dal proporre variazioni contrattuali e dal suggerire operazioni con frequenza non necessaria alla realizzazione degli obbiettivi assicurativi;

- astenersi da ogni comportamento che possa avvantaggiare alcuni clienti a danno di altri.

In questo contesto appare opportuno ricordare anche gli interventi dell’AGCM, la quale ha recentemente reso noto di aver avviato, su segnalazione dell’IVASS, due distinti procedimenti nei confronti di altrettanti intermediari per presunte pratiche commerciali scorrette. Infatti, secondo la ricostruzione dell’Autorità, i due intermediari avrebbero condizionato, di fatto, la concessione a favore dei consumatori di prestiti personali alla sottoscrizione da parte degli stessi di polizze assicurative prive di connessione con il finanziamento, realizzando in tal modo una “pratica legante” tra i prodotti bancari e assicurativi, in violazione degli artt. 24 e 25, comma 1, lett. a), del codice del consumo ([29]).

Tali condotte sarebbero idonee a limitare considerevolmente la libertà di scelta dei consumatori in relazione ai prodotti di finanziamento in questione, nella misura in cui le imprese prospettano ai consumatori - intenzionati a richiedere prestiti - di poter accedere a questi ultimi solo sottoscrivendo le menzionate polizze, che nulla hanno a che vedere con il finanziamento, attuando un abbinamento forzoso tra le due tipologie di prodotti.

Per tali motivi, pare necessario implementare i presidi organizzativi approntati per garantire il rispetto della disciplina in materia di trasparenza e correttezza delle relazioni con la clientela evitando potenziali rischi riferibili alla eventualità che la sottoscrizione della polizza, ovvero di altri prodotti e servizi accessori, possa essere intesa come obbligatoria dal consumatore.

In definitiva, la polizza abbinata deve essere adeguata alle effettive esigenze del cliente e coerente con le caratteristiche del finanziamento, con riferimento al capitale assicurato, al premio, alla durata, nonché con ragionevoli commissioni di intermediazione; parimenti va garantita la previsione di adeguate procedure per la restituzione del rateo di premio non goduto in caso di estinzione anticipata parziale ([30]).

Il costo relativo alla polizza, inoltre, deve essere considerato correttamente nel calcolo del TAEG pubblicizzato, al fine di evitare la possibile declaratoria di invalidità o nullità della clausola contrattuale contenente il TAEG stesso.

Anche con riferimento alla firma telematica da parte del cliente di questo genere di polizze il quesito pare doversi risolvere facendo riferimento alle possibilità concesse dalla disciplina alle sottoscrizioni cartacee da parte del cliente di polizze collocate da una società bancaria o finanziaria, traslando le conclusioni sul diverso terreno del digitale.


10. Il collocamento del prodotto di alert contro il furto di identità.


Infine, con riferimento alla fattispecie relativa alla vendita del prodotto di alert contro il furto ([31]) in abbinamento al prestito finalizzato (a sua volta eventualmente già abbinato ad una polizza), non paiono sussistere impedimenti normativi in tal senso, soprattutto ove tale prodotto sia coerente sotto il profilo della durata del finanziamento e delle esigenze del cliente, nonché ove siano garantite le tutele previste dal codice del consumo.

Infatti, ricorrendone i presupposti - ossia contratto di compravendita fra venditore professionista e consumatore, avente ad oggetto un bene o un servizio - trova sempre applicazione la disciplina speciale contenuta nel codice del consumo, a meno che non siano previste dal codice civile ulteriori norme a tutela del consumatore, potendo applicarsi le disposizioni del codice civile in materia di contratto di vendita in generale solo ad integrazione di eventuali lacune nella regolamentazione di specifiche ipotesi.

Sotto tale profilo, rileveranno dunque le norme del codice del consumo relative all’informativa precontrattuale, alla trasparenza delle condizioni applicate, al foro inderogabile, e così via. Allo stesso modo, nell’eventualità di conclusione del contratto da remoto, troverà applicazione la disciplina codicistica in termini di contratti conclusi a distanza, con conseguente applicazione di quanto richiamato nei paragrafi precedenti.


11. Conclusioni.


Al termine del superiore percorso argomentativo, si può concludere nel senso che le problematicità connesse al collocamento di prodotti alla clientela si declinano secondo differenti intensità a seconda della concreta fattispecie in discorso, con la comune caratteristica di evidenziare nuove e più significative necessità di presidio rispetto all’operatività antecedente alle innovazioni informatiche di cui abbiamo trattato.

La prima fattispecie (la sottoscrizione presso le filiali dell’intermediario o bancarie del gruppo a mezzo di FEA su tablet) solleva - come principale novità derivante alla mutata operatività - taluni problemi connessi alla figura del RAO quale persona fisica sulla quale ricadrà, in ultima analisi, la responsabilità effettiva della corretta identificazione del consumatore intenzionato a sottoscrivere il prodotto.

Tali problematicità si presentano in misura maggiore nella diversa fattispecie che vede il Dealer fungere da RAO in relazione a nuova clientela c.d. “walk in” (sottoscrizione presso i Dealers a mezzo di OTP), che suggerisce di monitorare con crescente prudenza l’operatività dei convenzionati anche in ragione dei potenziali rischi ex d.lgs. 231/2001 e disciplina in materia di antiriciclaggio.

Si è anche dato conto di come restino sostanzialmente a carico dell’intermediario tutte le conseguenze derivanti dal rischio di incognito tecnologico, smarrimento, furto o distrazione di dati personali (quali credenziali d’accesso o bancomat), rischio di black out informatico, e così via.

Per quanto attiene al collocamento da parte dell’intermediario di polizze assicurative e di prodotti di alert, può concludersi che la firma telematica da parte del cliente di questo genere di contratti sia del tutto ammissibile, traslando le conclusioni raggiunte dalla disciplina sul terreno delle sottoscrizioni cartacee sul diverso terreno del digitale.

Pare, infine, difficile, nel quadro delineato, riuscire a immaginare una mappatura completa ed esaustiva di presidi idonei ad escludere con certezza il rischio del verificarsi delle potenziali violazioni di legge passate in rassegna con conseguenti rischi per l’intermediario, anche in considerazione dell’intensa evoluzione normativa e regolamentare.

[1] In argomento, ex multis, F. Delfini - G. Finocchiaro (a cura di), Identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno. Commento al Regolamento UE 910/2014, Torino, 2017; G. Finocchiaro, Una prima lettura del reg. UE n. 910/2014 (c.d. eIDAS): identificazione on line, firme elettroniche e servizi fiduciari, in NLCC, 2015, p. 419 ss.; Id., La metafora e il diritto nella normativa sulla cosiddetta “firma grafometrica”, in Dir. informaz. e informat., 2013, 1, p. 1 ss.; si veda altresì il documento del Consiglio Nazionale dei Dottori Commercialisti ed Esperti Contabili, Breve guida sulle firme elettroniche, 2018.


[2] Sul fenomeno di “gradazione” delle scritture private elettroniche cfr., in particolare, F. Bravo, Validazione temporale elettronica, in F. Delfini - G. Finocchiaro (a cura di), Identificazione, cit., p. 318 ss., Id., Diritto di proprietà in Internet, in Aa.Vv., Fra individuo e collettività. La proprietà nel secolo XXI, Milano, 2013, pp. 171 ss.


[3] La scelta di assicurare una equivalenza tra firma tradizionale e firme elettroniche qualificate (inclusa quella digitale) viene ribadita anche nel Reg. (UE) n. 910/2014, il quale, all’art. 25, stabilisce che “una firma elettronica qualificata ha effetti giuridici equivalenti a quelli di una firma autografa”, con riconoscimento di tali effetti in tutti gli Stati membri dell’Unione Europea.


[4] Attraverso la richiesta di emissione alla RA di un certificato digitale qualificato avente durata limitata nel tempo ad un periodo non superiore a 60 minuti a decorrere dalla sua emissione. Inoltre, per le particolari caratteristiche di rilascio e durata del certificato one-shot non è prevista la possibilità di specificare all’interno dello stesso i poteri di rappresentanza o altri titoli relativi all’attività professionale o a cariche rivestite dal cliente/consumatore.


[5] Cfr. in proposito A. Blandini, Servizi finanziari per via telematica e le prospettive del diritto societario online, in Banca, borsa, tit. cred., 2016, I, p. 46 s.


[6] Sulla qualificazione del “cliente” nell’ordinamento bancario e finanziario, v., per tutti, le limpide osservazioni di V. Di Cataldo, L’ordinamento italiano del mercato finanziario tra continuità e innovazioni. Le ragioni del cliente, in Banca, borsa, tit. cred., 2013, I, p. 231 ss.


[7] Banca d’Italia, Disposizioni in materia di trasparenza delle operazioni e dei servizi bancari e finanziari, 30 settembre 2016, in https://www.bancaditalia.it/compiti/vigilanza/normativa/archivio-norme/disposizioni/trasparenza_operazioni/testo-disposizione-2017/Disp_trasparenza.pdf


[8] Con la precisazione che il consumatore ha diritto di richiedere, in qualsiasi momento del rapporto, copia cartacea del contratto nonché di cambiare la tecnica di comunicazione utilizzata, a meno che ciò sia incompatibile con il contratto concluso o con la natura del servizio prestato (cfr. l’articolo 67-undecies, comma 3, codice del consumo).


[9] Per un recente commento di questo profilo, in caso di frode commessa con il bancomat, si vedano R. Frau, Prelevamenti illeciti dal bancomat e responsabilità della banca, in Resp. civ. e prev., 2017, p. 219 ss., che annota Cass., 19 gennaio 2016, n. 806, ivi, 216; G. Marasà, Utilizzo fraudolento di carta bancomat e diligenza professionale della banca, in Banca, borsa, tit. cred., 2016, I, p. 396 ss.. Sulla ripartizione dell’onere della prova derivante da questa normativa, v. A.A. Dolmetta - A. Malvagna, Vicinanza della prova e prodotti d’impresa del comparto finanziario, ibidem, 2014, p. 659 ss.


[10] In tal senso cfr. ABF, decisione n. 1058 del 4 febbraio 2016; ABF, decisione n. 8167 del 22 ottobre 2015; ABF, decisione n. 4131 del 20 maggio 2015; ABF, decisione n. 5304 del 17 ottobre 2013; ABF, decisione n. 1058 del 27 febbraio 2013.


[11] Cfr. per tutti di R. Costi, Ignoto tecnologico e rischio di impresa, in Aa.Vv., Il rischio da ignoto tecnologico, Milano, 2002, spec. 56.


[12] Cfr. R. Frau, Responsabilità civile della banca per operazioni di home banking disconosciute dal cliente, commento a Cass., 23 maggio 2016, n. 10638 e Trib. Roma, 31 agosto 2016, n. 16221, in Resp. civ. prev., 2017, 853 ss.


[13] Si v. da ultimo Cass., 12 aprile 2018, n. 9158, secondo cui “questa Corte ha già avuto modo di affermare, pronunciando nei confronti della medesima odierna controricorrente, in fattispecie sostanzialmente analoga, che, in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell’entrata in vigore del d.lgs.

n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire la prova della riconducibilità dell’operazione al cliente (Cass. 3 febbraio 2017, n. 2950)”.


[14] Cfr. ABF Napoli, decisione n. 329 del 19 gennaio 2015 e decisione n. 1985 del 1 marzo 2016.


[15] Fra i dati normativi più recenti, pare opportuno ricordare anche l’indicazione contenuta nell’art. 3, comma 1, n. 3, Regolamento n. 910/2014/UE del 23 luglio 2014, che indica il concetto di “dati di identificazione personale” come insieme di dati che consente di stabilire l’identità di una persona fisica o giuridica (o di una persona fisica che rappresenta una persona giuridica).


[16] Con specifico riferimento al trattamento dell’impresa bancaria, v. P. Gaggero, Il trattamento dei dati personali nel settore bancario. Brevi note, in Contr. impr. Europa, 1998, p. 259 ss.; L. Bonzanini, Attività bancaria e tutela dei dati personali, in Banca, borsa, tit. cred., 1998, I, p. 213 ss.; Id., Privacy e banche: il nuovo regime di trattamento dei dati personali (d.lgs. 28 dicembre 2001, n. 467), ibidem, 2003, p. 481 ss.. Per un primo riferimento al trattamento del dato bancario in senso tradizionale (identificazione del cliente mediante visione ed estrazioni di copia dei documenti di identità), si rinvia al provvedimento del Garante dei dati personali del 27 ottobre 2005, in www.garanteprivacy.it documento n. 1189435 e in Bollettino, n. 65, ottobre 2005.


[17] Banca d’Italia, Disposizioni su organizzazione, procedure e controlli in materia antiriciclaggio, Documento per la consultazione, aprile 2018, https://www.bancaditalia.it/compiti/vigilanza/normativa/consultazioni/2018/disposizioni-antiriciclaggio/documento_consultazione_controlli_antiriciclaggio.pdf


[18] Banca d’Italia, Disposizioni in materia di adeguata verifica della clientela, Documento per la consultazione, aprile 2018, https://www.bancaditalia.it/compiti/vigilanza/normativa/consultazioni/2018/disposizioni-adeguata-verifica/documento_consultazione_adeguata_verifica.pdf


[19] A titolo esemplificativo, si indicano le seguenti modalità: contatto telefonico su utenza fissa (“welcome call”); invio di comunicazioni a un domicilio fisico con ricevuta di ritorno; bonifico proveniente da un intermediario bancario con sede in Italia o in un paese comunitario; richiesta di invio di documentazione controfirmata; verifica su residenza, domicilio, attività svolta, tramite richieste di informazioni ai competenti uffici ovvero mediante incontri in loco, effettuati avvalendosi di personale proprio o di terzi; nel rispetto dell’approccio basato sul rischio, utilizzo di altri meccanismi di riscontro basati su affidabili soluzioni tecnologiche innovative (quali, ad esempio, quelle che prevedono forme di riconoscimento biometrico), purché assistite da robusti presidi di sicurezza.


[20] Cfr. F. Naddeo, Il consenso al trattamento dei dati personali del minore, in Dir. informaz. e informat., 2018, p. 27 ss. L’esclusione di qualsivoglia rilevanza al consenso tacito, che si ricava chiaramente dal testo normativo, è sottolineata anche nel Considerando n. 32, secondo il quale “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale [...] Non dovrebbe pertanto configurare consenso il silenzio, l'inattività o la preselezione di caselle”.


[21] Cfr. Considerando n. 32.


[22] Cfr. http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051.


[23] Cfr. http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227.


[24] Cfr. M. Bassini, Point and click: la tutela del consumatore nel commercio elettronico, ILSU working paper n. 2008-13/T, in www.diritto.it/pdf_archive/27016.pdf, p. 39; cfr. inoltre G. Cassano, Diritto dell’internet, Milano, 2005, p. 295: “comunemente si intende per tale quella modalità di conclusione del contratto on line che passa attraverso la visualizzazione sul monitor del PC connesso ad Internet del regolamento contrattuale predisposto dal commerciante on line, con il quale si richiede il riempimento dei campi (c.d. form) volutamente lasciati in bianco dal proponente; quali, ad esempio, il nome dell'aderente, il luogo ove si desidera venga spedita la merce […] e quant'altro sia ritenuto necessario ai fini della determinazione dell'accordo”.


[25] Il riferimento è a Giudice di Pace di Partanna, 1 febbraio 2002, in Contr., 2002, p. 869 ss. (con nota di G. Cassano - I. P. Cimino, Contratto con internet e tutela della parte debole) e a Trib. Catanzaro, 18 aprile 2012, in Resp. civ. prev., 2013, p. 2020 ss. (con nota di F. De Leo, Sospensione dell'account da parte di Ebay: tecniche di risoluzione, clausole vessatorie e abuso di dipendenza economica) precedenti citati anche dalla più recente dottrina come incastonati in un panorama normativo ormai superato: cfr. A. R. Popoli, Social network e concreta protezione dei dati sensibili: luci ed ombre di una difficile convivenza, in Dir. informaz. e infomat., 2014, p. 981; D. Lamanna Di Salvo, La tutela del consumatore nell'ordinamento italiano tra strumenti privatistici e pubblicistici, in Giur. mer., 2013, p. 2658 ss-.

Il primo Giudice ha stabilito che la conclusione di un contratto di vendita tramite Internet non comporta accettazione incondizionata delle clausole contenute nelle condizioni generali pubblicate sul web, poiché il D.P.R. n. 513/97, pur riconoscendo efficacia di scrittura privata al documento informatico, non comporta alcuna deroga alla disciplina delle clausole vessatorie di cui all'art. 1341, comma 2, c.c. Nel caso di specie, il giudice, negando efficacia alla clausola che stabiliva una deroga alla competenza dell'autorità giudiziaria, aveva altresì precisato che un doppio click di accettazione avrebbe integrato nella contrattazione telematica la doppia sottoscrizione imposta dalla norma civilistica.

Per altro verso, la seconda pronuncia ha reputato nulle ed inefficaci le clausole ospitate nelle condizioni generali di e-Bay in ragione della circostanza che la disciplina delle clausole vessatorie, “non sia sufficiente la sottoscrizione del testo contrattuale, ma sia necessaria la specifica sottoscrizione delle singole clausole, che deve essere assolta con la firma digitale. Dunque, nei contratti telematici a forma libera il contratto si perfeziona mediante il tasto negoziale virtuale, ma le clausole vessatorie saranno efficaci e vincolanti sole se specificamente approvate con la firma digitale”.


[26] Come ad esempio, per il caso di richiamo a tutte le condizioni del contratto, il requisito della specifica approvazione ex art. 1341, comma 2, c.c. richiede non solo che la sottoscrizione sia separata, ma che sia anche idonea a individuare le clausole approvate (Trib. Reggio Emilia, sez. II, 24 aprile 2018, n. 623; Trib. Roma, sez. IX, 10 febbraio 2017, n. 2673; Cassazione civile, sez. II, 31 ottobre 2016, n. 22026; Trib. Bologna, sez. IV, 27 agosto 2015, n. 2597).


[27] Per una ricostruzione di sintesi, v. C. Pagni, Polizze abbinate e finanziamenti (PPI): le criticità rilevate da IVASS e Banca d’Italia e le indicazioni congiunte al mercato, in Dir. banc., 2015, in http://www.dirittobancario.it/sites/default/files/allegati/pagni_c._polizze_abbinate_e_finanziamenti_ppi_le_criticita_rilevate_da_ivass_e_banca_ditalia_e_le_indicazioni_congiunte_al_mercato_2015.pdf


[28] Nel quadro normativo di riferimento, rilevano, tra altri, i seguenti provvedimenti:

- d. lgs. 209/2005 (“codice delle assicurazioni private”): in particolare gli artt. 120 co. 3 e 183 dispongono determinate regole di comportamento in capo all’intermediario assicurativo prevedendo, rispettivamente, (i) con riferimento alla fase precontrattuale, il dovere di proporre o consigliare al cliente un prodotto adeguato alle esigenze di quest’ultimo, illustrando altresì le caratteristiche essenziali del contratto sotteso a tale prodotto, (ii) con riferimento alla fase di offerta ed esecuzione del contratto, l’obbligo di tenere un comportamento conforme a regole di diligenza, correttezza e trasparenza nonché di acquisire dai contraenti le informazioni necessarie a valutare le loro esigenze assicurative, operando in modo che siano sempre adeguatamente informati;

- Regolamento IVASS 5/2006, che il quale dispone in materia di condizioni all’esercizio dell’attività di intermediazione assicurativa, ai requisiti di onorabilità e professionalità richiesti agli addetti e alle norme di comportamento, gestione dei conflitti di interessi, trasparenza e tutela del cliente;

- Regolamento IVASS 35/2010, che dispone, con riguardo alla restituzione del premio non goduto in caso di estinzione anticipata del finanziamento, nonché all’obbligo di comunicazione di tutti i costi a carico del consumatore con indicazione delle provvigioni percepite dall’intermediario;

- Provvedimento IVASS 2946/2011, il quale, a modifica dell’art. 48 del Regolamento IVASS 5/2006, dispone il divieto per gli intermediari di assumere contemporaneamente il ruolo di beneficiario/vincolatario delle prestazioni assicurative e quello di intermediario del relativo contratto;

- Regolamento IVASS 40/2012, che dispone i contenuti minimi del contratto, strumentali al confronto tra i diversi preventivi da consegnare al cliente in caso in cui l’erogazione del finanziamento sia subordinato alla stipula della polizza vita;

- Lettera al mercato IVASS del dicembre 2013 che in materia di valutazione di adeguatezza ha sollecitato gli operatori a prevederla anche per le polizze collettive (struttura tipicamente utilizzata per le polizze PPI), nonché previsto l’obbligo di proporre al cliente solo prodotti allo stesso adeguati;

- Provvedimento Banca d’Italia del 9 febbraio 2011, che ha previsto l’obbligo di assicurare al cliente un’informazione corretta, chiara ed esauriente che agevoli la comprensione delle competenze, dei rischi, dei costi dei prodotti offerti e che consenta di prendere una decisione informata e consapevole in merito alla conclusione del contratto, nonché – limitatamente al credito al consumo – il diritto del cliente a un’equa riduzione del costo complessivo del credito in caso di estinzione anticipata parziale, garantendo pertanto anche la restituzione in misura proporzionale delle quote di premio della polizza abbinata riferibili al periodo non goduto;

- L. 214/2011, di conversione del c.d. “Decreto Salva Italia” che ha modificato l’art. 21, comma 3- bis, del codice del consumo disponendo che “è considerata scorretta la pratica commerciale di una banca, di un istituto di credito o di un intermediario finanziario che, ai fini della stipula di un contratto di mutuo, obbliga il cliente alla sottoscrizione di una polizza assicurativa erogata dalla medesima banca, istituto o intermediario”;

- L. 221/2012 di conversione del decreto c.d. “Crescitalia”, il quale ha esteso l’obbligo di rimborso del premio non goduto anche alle polizze collocate prima dell’entrata in vigore del Regolamento IVASS n. 35/2010 e abbinate a finanziamenti oggetto di estinzione anticipata totale dopo l’entrata in vigore della legge;

- Protocollo ABI-ASSOFIN del 30 novembre 2013 relativo all’offerta di polizze accessorie ai finanziamenti, il quale ha promosso la diffusione di buone pratiche nell’offerta ai consumatori di coperture assicurative facoltative ramo vita o miste, accessorie ai finanziamenti.

- IVASS, Indagine sui costi delle polizze abbinate a finanziamenti (PPI – payment protection insurance) - primi risultati, maggio 2016.


[29] Il concetto di “servizi finanziari” è piuttosto ampio nel codice del consumo, e viene definito nell’art. 67-ter, lett. b, come “qualsiasi servizio di natura bancaria, creditizia, di pagamento, di investimento, di assicurazione o di previdenza individuale”.


[30] V. IVASS, Indagine sui costi delle polizze abbinate a finanziamenti (PPI – payment protection insurance) - primi risultati, maggio 2016, in https://www.ivass.it/consumatori/azioni-tutela/indagini-tematiche/documenti/Report_indagine_costi_PPI.pdf nonché IVASS, Lettera al mercato del 3 aprile 2017 “Polizze abbinate a finanziamenti (PPI) – rimborso del premio non goduto in caso di estinzione anticipata parziale del finanziamento” in

https://www.ivass.it/normativa/nazionale/secondaria-ivass/lettere/2017/lett-03-04/index.html


[31] Quale servizio di alert finalizzato a informare prontamente il cliente per il caso di furto d’identità (come l’utilizzo non autorizzato dei dati o della carta di credito) ovvero di frodi creditizie (come l’utilizzazione dei dati per compiere operazioni che possono danneggiare la reputazione creditizia del cliente stesso).