Il PHISHING BANCARIO: NORMATIVA ED ORIENTAMENTI GIURISPRUDENZIALI

Abstract: Lo sviluppo delle tecnologie trasforma sempre più rapidamente le modalità delle transazioni commerciali e dei sistemi di pagamento, ma accresce anche la sofisticazione ed i rischi delle truffe telematiche, effettuate mediante appropriazione indebita ed accesso illegale alle banche-dati che custodiscono gli elementi identificativi ed i conti degli operatori economici. In particolare, è assai diffuso il fenomeno del phishing bancario. Le normative europee e la legislazione nazionale di recepimento si preoccupano di garantire la sicurezza dei dati personali e delle operazioni di pagamento, imponendo specifici obblighi di protezione a carico degli istituti di credito. Il presente articolo analizza la vigente disciplina europea, con riferimento a quella generale in tema di tutela della Privacy e di quella specifica in tema di operazioni di pagamento, individuando in particolare gli obblighi di protezione e le connesse responsabilità degli istituti di credito, anche alla luce degli orientamenti giurisprudenziali della S. Corte di Cassazione e dell’Arbitro Bancario Finanziario.

  1. LA DIFFUSIONE DEL PHISHING NELLE OPERAZIONI DI PAGAMENTO ELETTRONICO A DISTANZA

Il proliferare di fenomeni di truffe informatiche sofisticate costituisce la logica conseguenza dell’utilizzo sempre più diffuso di sistemi tecnologici da parte degli istituti bancari per l’erogazione dei servizi di credito. Tra questi, indubbia rilevanza ha assunto nel corso degli ultimi anni il cosiddetto “phishing”. Con tale espressione vengono individuati tutti quei comportamenti illeciti diretti all’intrusione illeciti di terzi nelle piattaforme di home banking al fine di sottrarre liquidità dai conti correnti degli utenti delle banche.

Il phishing è una truffa digitale realizzata attraverso l’acquisizione fraudolenta dei dati sensibili degli utenti. Avviene principalmente tramite l’invio di e-mail o sms ingannevoli da parte di un hacker alla vittima designata, con utilizzo del nome o del logo di istituti bancari, attraverso un sito molto simile a quello loro proprio, con invito ad accedere al proprio account bancario e con richiesta di inserimento di username, password, codici fiscali o addirittura codici di accesso ai conti bancari, in modo da carpire i dati personali dell’utente. Ove si assecondano queste richieste, i dati inseriti entreranno in possesso dei terzi che tenteranno di utilizzarli per furti d’identità o pagamenti non autorizzati.

Il cliente, convinto di essere stato contattato dall’istituto bancario, cede, in modo inconsapevole e incolpevolmente, le credenziali per l’accesso al proprio conto corrente, rischiando in tal modo di subire la sottrazione di somme di denaro anche molto consistenti.

Dai dati dei ricercatori dell’Avast, una delle più grandi aziende competenti per contrastare gli attacchi informatici, è emerso un quadro problematico per il comparto bancario italiano rispetto alle ripetute truffe informatiche. Infatti, più di 100 banche italiane sono state prese di mira dal malwareUrsnif”, un software capace di entrare in possesso delle credenziali per accedere, attraverso l’home banking, ai conti correnti degli utenti che inconsapevolmente lo installano sul loro personal computer.

Questa situazione offre lo spunto per riflettere sulla vigente normativa, europea e nazionale, finalizzata ad assicurare la sicurezza delle transazioni on line ed a prevenire queste forme di frodi. Ciò consentirà di individuare la ripartizione delle responsabilità e dei rischi tra gestori dei servizi di pagamento ed utenti, nonché gli strumenti più adeguati al fine di tutelare gli interessi di questi ultimi. In particolare, giova analizzare la disciplina contenuta nel Regolamento UE 2016/679, del Parlamento Europeo e del Consiglio, del 27 aprile 2016, applicabile a decorrere dal 25 maggio 2018 e noto anche come GDPR (General Data Protection Regulation), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali; nella Direttiva 2015/2366/UE, del Parlamento europeo e del Consiglio, del 25 novembre 2015, relativa ai servizi di pagamento nel mercato interno [nota anche come PSD2 – Payment Services Directive, che ha sostituito con effetto dal 13 gennaio 2018 la 2007/64/CE (cd. PSD), recepita nell’ordinamento interno per mezzo del decreto legislativo del 27 gennaio 2010 n. 11, poi modificato con il d.lgs. n. 218 del 15 dicembre 2017], e nel Regolamento delegato (UE) 2018/389, entrato in vigore il 14 settembre 2019, che integra la Direttiva 2015/2366/UE per quanto riguarda le norme tecniche di regolamentazione per l’autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri.

  1. GLI STRUMENTI DI TUTELA DEI DATI PERSONALI DELL’UTENTE: DAL CODICE DELLA PRIVACY AL REGOLAMENTO UE 2016/679.

La normativa in tema di protezione dei dati personali fornisce il quadro generale al quale devono ispirarsi i fornitori di servizi di pagamento per impedire l’accesso abusivo di terzi alle banche dati che custodiscono gli elementi identificativi dei propri clienti, in modo da scongiurare il possibile compimento di operazioni illecite e la conseguente sottrazione di denaro dai propri conti. Ad essa si ispirano le sentenze fino ad ora emanate dalla Suprema Corte di Cassazione per affermare la responsabilità delle banche per l’inadeguata protezione dei dati personali dei clienti, che abbia concorso al compimento di frodi informatiche ai loro danni.

Nell’ordinamento interno l’originaria disciplina della materia era contenuta nella legge 31 dicembre 1996, n. 675, adottata in attuazione della direttiva 95/46/CE ed abrogata, a decorrere dal 1° gennaio 2004, a seguito dell’entrata in vigore del Codice sulla Privacy, introdotto con il d.lgs. 30 giugno 2003, n. 196 [1]. Il Codice è stato poi integralmente riformato con il d.lgs. 10 agosto 2018, n. 101, che ha adeguato l’ordinamento nazionale al regolamento (UE) n. 2016/679, entrato in vigore il 25 maggio 2018, che ha abrogato la direttiva 95/46/CE. Pertanto, la materia è attualmente disciplinata sia dal Regolamento UE (GDPR), sia dal Codice Privacy, così come modificato ed adeguato alla normativa europea dal d.lgs. 101/2018  [2].

La normativa originaria ancorava il trattamento dei dati personali a previsioni minime di sicurezza, definite in modo puntuale nel disciplinare tecnico contenuto nell’allegato B del Codice della Privacy. L’art. 15 del Codice ricollegava il trattamento illecito dei dati personali alla responsabilità civile prevista dall’art. 2050 c.c. per i casi di esercizio di attività pericolosa, e sanciva inoltre la risarcibilità del danno non patrimoniale (art. 2059 c.c.). Ciò comportava che il titolare del trattamento era tenuto al risarcimento per i danni eventualmente prodotti, se non avesse provato di avere adottato tutte le misure idonee a evitarli.

La normativa introdotta dal Regolamento europeo si concentra sul principio dell’ accountability, che si sostanzia nell’obbligo posto in capo ai titolari del trattamento dei dati personali di valutare le informazioni in loro possesso ed il loro conseguente valore, al fine di approntare le misure tecniche ed organizzative adeguate a mettere al sicuro tali dati. Il principio di accountability impone una gestione responsabile che tenga conto dei rischi connessi all’attività svolta e che sia idonea a garantire la piena conformità del trattamento dei dati personali ai principi sanciti dal Regolamento e dalla legislazione nazionale [3].

A questo principio si associa quello di “proporzionalità”: il trattamento dei dati deve essere proporzionato rispetto allo scopo legittimo perseguito e riflettere in tutte le fasi un giusto equilibrio tra tutti gli interessi coinvolti e i diritti e le libertà in gioco. La concretizzazione del principio di accountability impone dunque al titolare di disporre le misure tecniche e organizzative adeguate per garantire che siano trattati solo i dati personali necessari per ogni specifica finalità del trattamento. Affinché una misura rispetti il principio di proporzionalità, i vantaggi derivanti dalla misura non dovrebbero essere compensati dagli svantaggi che la stessa comporta rispetto all’esercizio dei diritti fondamentali. Per adottare le misure di sicurezza adeguate in base al tipo di trattamento svolto, il titolare del trattamento deve effettuare un’analisi del rischio, vale a dire valutare tutti i possibili rischi che possono verificarsi in ordine ai dati trattati (articolo 24 del Reg. (UE) 2016/679 GDPR) [4].

Dalla normativa europea emerge chiaramente la volontà del legislatore di instaurare un apparato di tutela in relazione ai trattamenti effettuati con strumenti elettronici, individuando i necessari oneri che il titolare del trattamento deve porre in essere per assicurare il necessario standard di sicurezza, legislativamente previsto. Rispetto al Codice Privacy del 2003, si abbandona l’intento di ancorare i titolari del trattamento a previsioni minime di sicurezza, diversamente preferendo la loro responsabilizzazione, affidando ad essi l’incarico di comprendere l’importanza dei dati in proprio possesso; di decidere autonomamente le misure tecniche ed organizzative che si ritengono necessarie per assicurare la effettiva tutela dei dati personali, in considerazione della realtà produttiva in cui si opera; di dimostrare di aver adottato i necessari adempimenti con l’osservanza delle adeguate misure, per soddisfare gli standard di tutela richiesti.

A tal fine, l’art. 5 del GDPR prevede espressamente i principi generali applicabili al trattamento dei dati personali. In particolare, esso richiama i principi della liceità e correttezza, riprendendo altri concetti quali la trasparenza, la minimizzazione, l’esattezza, la limitazione di conservazione, l’integrità e la riservatezza.

In sintesi, il passaggio dall’Allegato B del Codice della Privacy ad un sistema fondato sulla responsabilizzazione del titolare si fonda sia sugli effetti derivanti dal progresso tecnologico, sia – e soprattutto – sulla comprensione della diversità dei contesti in cui i dati sono trattati, prescrivendo ai titolari del trattamento un onere di rendicontare e dimostrare di aver predisposto tutti gli adempimenti necessari [6]. Il titolare è quindi tenuto ad adottare tutti quegli strumenti che siano inerenti al contesto di riferimento e che mettano al sicuro i dati in loro possesso, tenendo conto che alcune misure di sicurezza che risultano adeguate ad un contesto potrebbero non esserlo in altri.

In applicazione di questi principi, l’art.  24 del GDPR prescrive che il titolare del trattamento è tenuto ad adottare tutte le misure di sicurezza adeguate, prime tra tutte quelle atte a verificare l’identità di chi chiede l’accesso, con particolare attenzione ai casi in cui ciò avvenga direttamente on line. In questo contesto, egli è responsabile in via generale per qualsiasi trattamento di dati personali che abbia effettuato direttamente o che altri abbiano effettuato per suo conto, nonché del pregiudizio per i diritti e le libertà delle persone fisiche. Sotto quest’ultimo profilo, si rileva che i rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale [7]. Il rischio dovrebbe essere considerato in base a una valutazione oggettiva, mediante cui si stabilisce se i trattamenti di dati comportano un rischio ordinario o elevato.

Nella nuova normativa, il sistema della responsabilità civile per l’illecito trattamento dei dati personali, trova cardine nell’art. 82 del GDPR; di conseguenza, il d.lgs. 101/2018, che costituisce la legge di raccordo con il regolamento europeo, ha abrogato espressamente l’art. 15 del Codice Privacy. L’articolo 82 del Regolamento europeo sancisce al primo paragrafo che chiunque subisca un danno “materiale o immateriale” (ossia, patrimoniale o non patrimoniale), causato da una violazione del GDPR, ha diritto ad ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento dei dati personali. Viene così riconosciuta espressamente l’ammissibilità anche del danno non patrimoniale e vengono identificati gli elementi necessari per la nascita dell’obbligazione risarcitoria: la condotta attiva o quella omissiva contraria al regolamento; il danno; il rapporto causa-effetto tra questi. Il legislatore pone al centro della fattispecie il soggetto debole del rapporto, costruendo la disposizione attorno al danneggiato ed al suo diritto al risarcimento [8].

La disposizione normativa dell’art. 82, comma 3, del GDPR, chiarisce le condizioni di esonero dalla responsabilità; in particolare, stabilisce che il titolare e il responsabile del trattamento sono esenti da responsabilità solo nel caso in cui dimostrano che l’evento dannoso non è in alcun modo a loro imputabile.

La ragione dell’inversione dell’onere della prova risiede nel fatto che il trattamento dei dati è attività considerata pericolosa. Infatti, essa è consentita dall’ordinamento giuridico perché utile, con conseguente compensazione del rischio di violazione dei dati personali tramite l’obbligo a carico delle organizzazioni di garantirne la sicurezza dei trattamenti.

Soprattutto al fine di proteggere il soggetto debole del rapporto è il titolare, ovvero il contitolare e il responsabile del trattamento a dover dimostrare che l’evento dannoso non è a loro imputabile. In altri termini, seguendo la logica dell’inversione dell’onere della prova, i suddetti soggetti, per poter essere esonerati da responsabilità, dovranno provare che l’evento dannoso non è loro ascrivibile in quanto dipendente da una fonte estranea alla loro sfera di competenza o di controllo, oppure che sono state da loro predisposte ed attuate, in seguito alla valutazione dei rischi (Data Protection Impact Assessment: art. 35 GDPR), tutte le prevedibili misure adeguate (art. 32 GDPR) al fine di evitare che si verificasse il danno. Diversamente, nel chiedere il risarcimento del danno, l’interessato dovrà provare l’esistenza del danno e la sua quantificazione, la sussistenza di una condotta in violazione della normativa a tutela dei dati personali e la relazione causale tra i primi due elementi.

Nel definire le misure di sicurezza da adottare, il paragrafo 1 dell’articolo 32 prevede alla lettera b) “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” e alla lettera c) “la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico”. Infine, la lettera d) prevede il ricorso ad una procedura che ha l’obiettivo di “testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”. Il secondo paragrafo dell’articolo richiede inoltre che si valuti “l’adeguato livello di sicurezza” e che si tenga conto dei rischi presentati dal trattamento che derivano “dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”.

Pertanto, la norma individua una serie di misure tecniche e di condotte che misurano il grado di diligenza che il responsabile del trattamento dei dati personali ha l’obbligo di adottare, dal punto di vista tecnico e organizzativo [9]; nel contempo, essa pone in evidenza i rischi che potrebbero emergere dalla distruzione, dalla perdita o dalla modifica dei dati, e fa emergere la tipologia dei danni che potrebbero derivare dalla violazione dei necessari obblighi di protezione [10].

Secondo il Regolamento, le azioni legali per l’esercizio del diritto al risarcimento del danno devono essere promosse dinanzi alle Autorità giurisdizionali dello Stato membro in cui l’interessato risiede abitualmente, salvo che il titolare, il contitolare o il responsabile del trattamento sia un’Autorità pubblica di uno Stato membro nell’esercizio dei pubblici poteri (art. 79, par. 2); nel qual caso, prevale la giurisdizione che comprende l’Autorità pubblica.

In Italia, la competenza spetta in via ordinaria al Giudice civile, fatto sempre salvo, in sintonia con quanto stabilito dal Regolamento, il criterio del riparto di giurisdizione tra giustizia ordinaria ed amministrativa di cui all’art. 103 Cost. e art. 7 Codice del processo amministrativo (d.lgs. 104/2010). Un ruolo importante è riconosciuto all’Arbitro Bancario Finanziario (ABF), il quale costituisce un sistema di risoluzione alternativa delle controversie (ADR-Alternative Dispute Resolution) che possono sorgere tra i clienti e le banche e gli altri intermediari in materia di operazioni e servizi bancari e finanziari.

Nella logica della protezione dei dati personali la presenza di un obbligo risarcitorio civile, unitamente alla presenza di sanzioni penali e amministrative, costituisce un incentivo per il titolare e il responsabile a mantenere maggiore attenzione e diligenza, così da predisporre, verificare e aggiornare le misure di sicurezza idonee ad impedire la violazione dei dati personali. Nel caso in cui vi fossero più responsabili, al fine di garantire l’effettivo e tempestivo risarcimento all’interessato, il soggetto o i soggetti lesi potranno domandare anche ad uno solo dei danneggianti l’intero ammontare del danno, e questi sarà tenuto a corrisponderlo, salva poi la possibilità di rivalersi nei confronti dei coobbligati in solido per la quota ad essi imputabile [11].

In altri termini, ove siano coinvolti più soggetti nella stessa qualità [due o più titolari (contitolari) o due o più responsabili] oppure in qualità diverse (un titolare ed un responsabile), tutti risponderanno in solido del danno cagionato. Dal combinato disposto delle norme di cui agli artt. 28 e 82 GDPR emerge che la richiesta di risarcimento potrà essere proposta non solo nei confronti del titolare del trattamento, ma anche verso il responsabile del trattamento designato, limitatamente all’inadempimento degli obblighi a lui imposti dal GDPR o se abbia agito in modo difforme o in contrasto con le istruzioni ricevute dal titolare. Questa limitazione si giustifica in virtù dell’incarico conferito al titolare e della strumentalità della cornice complessiva che deve essere definita da parte del titolare [12].

In ogni caso sia il titolare, sia il responsabile hanno obblighi generali di prevenire i danni derivanti da un trattamento di dati. L’imputabilità del titolare e del responsabile dovrà essere necessariamente interpretata alla luce del principio di responsabilizzazione o accountability che incentra il GDPR. Tuttavia, tale principio configura una responsabilità civile quando si concretizzerà un danno e sarà quindi necessario accertare l’imputabilità dell’evento dannoso al titolare e al responsabile, i quali dovranno provare non di aver predisposto tutte le misure idonee a prevenire il danno, ma che tale danno si è verificato per un fatto che non poteva essere prevenuto (e quindi previsto), poiché esulava dal loro controllo (caso fortuito o forza maggiore).

Sul punto, possono esserci molteplici elementi idonei a dimostrare che il fatto non potesse essere ricondotto al controllo del titolare e del responsabile, quali, ad esempio, l’adesione a codici di condotta approvati, la tenuta di un registro delle attività di trattamenti, il ricorso a responsabili del trattamento con comprovata conoscenza specialistica per approntare le misure tecniche ed organizzative richieste dal GDPR. Tali elementi però non saranno sufficienti, in quanto occorrerà dimostrare che le misure di azzeramento o diminuzione del rischio di violazione dei dati fossero proporzionali al grado di rischio che il trattamento presentava originariamente.

Per quanto concerne le tipologie di danni risarcibili, l’art. 82 GDPR afferma che l’interessato può richiedere il risarcimento dei danni materiali e immateriali. In pratica dovrà essere risarcito ogni tipo di danno che l’interessato possa subire dalla violazione dei suoi dati personali, quali: la perdita del controllo dei dati personali; la limitazione dei loro diritti; il furto o l’usurpazione d’identità; perdite finanziarie; perdita di riservatezza dei dati personali protetti da segreto professionale; o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata.

Il senso è ovviamente quello di attribuire all’interessato il diritto ad essere risarcito per ogni tipo di danno che quest’ultimo possa subire dalla lesione dalla violazione dei suoi dati personali, anche se le definizioni di danni materiali e immateriali non sono letteralmente identiche a quelle del codice civile italiano, ove il riferimento è ai danni patrimoniali e non patrimoniali. Inoltre, il concetto di danno dovrebbe essere interpretato alla luce della giurisprudenza della Corte di Giustizia ai fini di ripristino del pregiudizio subito dall’interessato. Ciò apre la possibilità di estendere al campo della protezione dei dati personali (quale diritto fondamentale dell’UE) numerose tipologie di danni enucleate negli anni dalla Corte in questione.

Pertanto, vista l’importanza e la delicatezza della materia e soprattutto dei dati degli utenti che vengono trattati, è doveroso affidarsi a soggetti competenti in materia, tenuti ad effettuare una valutazione del rischio legato al trattamento stesso ed a mettere quindi in campo adeguate contromisure per limitare gli eventuali rischi. Si tratta di misure che hanno come fine la garanzia di un livello di sicurezza adeguato, e quindi anche della riservatezza.

        3. LE NORMATIVE EUROPEE SUI SERVIZI DI PAGAMENTO.

Con riguardo agli istituti di credito, la normativa generale sulla tutela dei dati personali deve essere integrata con quella che disciplina la tutela dell’utente per i servizi di pagamento. La prima direttiva europea in materia – identificabile con la Direttiva 2007/64/CE, anche nota come PSD – Payment Services Directive – ha definito un quadro giuridico comunitario moderno per i servizi di pagamento elettronici. Più in dettaglio, la PSD si è proposta i seguenti obiettivi: regolamentare l’accesso al mercato per favorire la concorrenza nella prestazione dei servizi; garantire maggiore tutela degli utenti e maggiore trasparenza; standardizzare i diritti e gli obblighi nella prestazione e nell’utilizzo dei servizi di pagamento per porre le basi giuridiche per la realizzazione dell’Area unica dei pagamenti in euro (Sepa); stimolare l’utilizzo di strumenti elettronici e innovativi di pagamento per ridurre il costo di inefficienti strumenti, quali quelli cartacei ed il contante. La PSD è stata recepita nell’ordinamento nazionale con il d.lgs. 27 gennaio 2010, n. 11.

La Direttiva 2007/64/CE è stata sostituita dal 13 gennaio 2018 dalla Direttiva 2015/2366/UE (cosiddetta PSD2), la quale si inserisce nell’ambito degli interventi di modernizzazione del quadro legislativo del mercato europeo dei pagamenti al dettaglio, volti a sviluppare sistemi di pagamento elettronico sicuri, efficienti ed innovativi per consumatori, imprese ed esercenti. Le maggiori novità della PSD2 rispetto alla prima direttiva sui servizi di pagamento riguardano le nuove procedure di sicurezza per l’accesso al conto online ed i pagamenti elettronici e ai nuovi servizi di pagamento offerti dalle banche e dai nuovi operatori di mercato nell’area dell’e-commerce e dello shopping online. Essa tiene conto dell’evoluzione, anche culturale, che si è registrata nel settore dei pagamenti digitali, che registrano una crescita elevata anche in Italia [13].

La PSD2 è stata recepita nell’ordinamento nazionale con il d.lgs. del 15 dicembre 2017, n. 218, che ha modificato con effetto dal 13 gennaio 2018 il d.lgs. 11/2010. Essa è integrata dalle disposizioni del Regolamento delegato (UE) 2018/389, entrato in vigore il 14 settembre 2019, che disciplina le nuove misure di sicurezza e la comunicazione sicura tra i soggetti coinvolti nella prestazione dei servizi di pagamento.

In particolare, la nuova direttiva PSD2 ridefinisce il mercato europeo dei pagamenti, tracciando una linea di rottura con il passato e favorendo lo sviluppo di un nuovo inquadramento. Essa si propone soprattutto di creare un mercato unico dei pagamenti elettronici e di fronteggiare l’aumento dei rischi per la sicurezza dovuto sia alla previsione di nuovi strumenti di pagamento, tecnologicamente più avanzati, sia allo sviluppo del volume dell’e-commerce [14].

Aspetto centrale della direttiva PSD2 è la maggior tutela per l’utente, in risposta al bisogno di regolamentare le transazioni digitali, che negli ultimi anni stanno subendo un forte sviluppo, con conseguente evoluzione del settore dei pagamenti, attribuendo un ruolo centrale alla digital transformation del mondo bancario, soprattutto con riferimento all’operato sia delle banche, sia dei soggetti considerati fornitori di “servizi di tipo bancario“. La PSD2 prevede un modo di operare delle banche più semplice ed una gestione dei pagamenti più sicura e conveniente. Dal punto di vista della semplicità i nuovi sistemi di pagamento online consentono di evitare il ricorso alle carte di credito ed ai bancomat; dal punto di vista della sicurezza dei pagamenti online, la direttiva in esame prevede che tutte le piattaforme di e-commerce devono prevedere, nelle proprie procedure di pagamento, sistemi di autenticazione innovativi, in grado di ottimizzare la sicurezza nelle transazioni (quali la 3DS 2.0 e la SCA – Strong Customer Authentication) [15].

Specificamente, al fine di assicurare un’adeguata tutela dell’utente, l’articolo 64 della PSD2 prevede che ciascuna operazione di pagamento deve essere da lui autorizzata mediante appositi strumenti di pagamento e credenziali di sicurezza personalizzate. Nel contempo, la disposizione in esame pone specifici obblighi di diligenza a carico dell’utente: infatti, egli è tenuto a notificare al prestatore del servizio lo smarrimento, il furto, l’appropriazione indebita o l’utilizzo non autorizzato dello strumento di pagamento e ad adottare le misure necessarie per proteggere le credenziali di sicurezza personalizzate dello strumento di pagamento.

Tuttavia, la normativa europea prevede obblighi più rigorosi e pregnanti nei confronti del prestatore dei servizi in relazione agli strumenti di pagamento, ex artt. 70, 72 e 73 PSD2. Infatti, il favor per la tutela dell’utente trova riscontro nelle disposizioni che disciplinano le sue responsabilità [16].

In particolare, il prestatore dei servizi di pagamento sostiene il rischio dell’invio all’utente di uno strumento di pagamento o delle eventuali credenziali di sicurezza personalizzate necessarie. Inoltre, egli deve assicurare che le credenziali di sicurezza personalizzate siano accessibili solo all’utente autoriz­zato ad usufruire dello strumento e la disponibilità di mezzi adeguati affinché́ egli possa provvedere alla notifica in caso di furto o uso indebito.

L’articolo 73 della PSD2 prevede poi espressamente che il prestatore di servizi di pagamento è responsabile per le operazioni di pagamento non autorizzate e deve rimborsare al pagatore l’importo dell’operazione di pagamento non autorizzata, immediatamente e in ogni caso al più tardi entro la fine della giornata operativa successiva a quella in cui prende atto dell’operazione o riceve una notifica in merito, salvo il caso di sospetto di frode.

Reciprocamente, l’articolo 74 prevede che l’utente può essere obbligato a sopportare fino alla concorrenza massima di 50 EUR la perdita relativa ad operazioni di pagamento non autorizzate, derivante dall’uso di uno strumento di pagamento smarrito o rubato o dall’appropriazione indebita di uno strumento di pagamento [17]. Tuttavia, tale franchigia non si applica se lo smarrimento, il furto o l’appropriazione indebita di uno strumento di pagamento non potevano essere notati dal pagatore prima di un pagamento, ad eccezione dei casi in cui il pagatore ha agito in modo fraudolento, ovvero se la perdita è stata causata da atti o omissioni di dipendenti o agenti del fornitore di servizi o di un’entità a cui sono state esternalizzate le attività̀.

Il pagatore sarà tenuto a sostenere tutte le perdite relative ad operazioni di pagamento non autorizzate soltanto nel caso in cui ha agito in modo fraudolento o non adempiendo a uno o più̀ obblighi di prescritti con dolo o con negligenza grave. In tali casi, il massimale non si applica.

Quanto agli oneri probatori, qualora siano disposte ed eseguite operazioni non autorizzate dall’utente, spetta al prestatore di servizi di pagamento dimostrare che l’operazione di pagamento è stata autenticata, corret­tamente registrata e contabilizzata, e che non ha subito le conseguenze di guasti tecnici o altri inconvenienti del servizio fornito dal prestatore di servizi di pagamento. Inoltre, l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sé sufficiente a dimostrare che l’operazione di pagamento sia stata autorizzata dal pagatore, né che questi abbia agito in modo fraudolento o non abbia adempiuto, dolosamente o con negligenza grave, ai suoi obblighi. Il prestatore di servizi di pagamento è tenuto altresì a fornire gli elementi di prova che dimostrano la frode o la negligenza grave da parte dell’utente di servizi di pagamento.

La ragione giustificativa delle responsabilità del fornitore dei servizi di pagamento nel caso di pagamenti non autorizzati, deve essere rinvenuta negli obblighi di protezione su di lui gravanti. Egli è infatti tenuto a garantire la sicurezza delle transazioni effettuate con l’uso di strumenti di pagamento, con particolare riguardo a quelli elettronici a distanza.

L’elemento centrale di questa disciplina è costituito dall’obbligo di procedere all’ “autenticazione forte” dell’utente che disponga il pagamento, ai sensi degli articoli 97 e 98 PSD2, integrata dal Regolamento Delegato UE 218/389 della Commissione, che contiene le norme tecniche per assicurare standard aperti di comunicazione comuni e sicuri.

L’ “autenticazione forte” dell’utente (c.d. strong customer authentication) costituisce una delle principali novità apportate al regime della responsabilità del fornitore dei servizi per le operazioni di pagamento non autorizzate. Lart. 4, n. 30, PSD2 la definisce come “un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”. Essa deve comprendere elementi che colleghino in maniera dinamica l’operazione a uno specifico importo e ad un beneficiario specifico, nonché la predisposizione di misure di sicurezza adeguate per tutelare la riservatezza e l’integrità delle credenziali di sicurezza personalizzate degli utenti di servizi di pagamento [18].

L’ “autenticazione forte” costituisce un irrigidimento degli standard di autenticazione, e cioé della procedura che consente al prestatore di verificare l’identità di un utente o di verificare la validità dell’uso di uno strumento di pagamento, compreso l’uso delle credenziali di sicurezza personalizzate dell’utente. In altri termini, perché l’autenticazione possa dirsi “forte”, l’utente che voglia disporre un’operazione di trasferimento di fondi deve superare almeno due ostacoli.

Per quanto disposto dagli articoli 6, 7 ed 8 del Regolamento delegato (UE) 2018/389, gli elementi di autenticazione possono afferire: a) alla categoria della “conoscenza” (così da rientrare tra i dati trattenuti nella memoria dell’utente e prudentemente da non divulgare, come la username, la password, i dati relativi alle ultime transazioni effettuate, i dati relativi alla residenza e alla nascita dell’utente, ecc.); alla categoria del “possesso” (rientrando così tra i dati che possano essere reperiti attraverso un oggetto materiale e siano preferibilmente generati ad hoc, con utilizzabilità molto limitata nel tempo, come avviene per il codice generato da un token o per un codice inviato al numero di telefono dell’utente); alla categoria dell“inerenza” (come avviene per tutti i dati biometrici utilizzabili dall’utente per autenticarsi, quali la voce, lo scan dell’occhio, il riconoscimento facciale, la lettura dell’impronta digitale, ecc.). Trattasi di tecnologie sicure, già considerevolmente diffuse da diversi anni nelle prassi dei fornitori di servizi di pagamento, che il fornitore di servizi di pagamento può liberamente adottare nell’ambito della sua autonomia organizzativa, nel rispetto del principio di “neutralità tecnologica”.

Nella procedura di autenticazione “forte” assume particolare importanza il requisito della “indipendenza” degli elementi che la compongono [19]. Ciò implica che ciascuno degli elementi classificati nelle categorie della conoscenza, del possesso e dell’inerenza, attraverso i quali si compie la procedura di autenticazione, non deve condizionare e non deve essere condizionato dagli altri. In questo modo, la violazione di un elemento non deve compromette l’affidabilità degli altri, che dovrebbero risultare da soli sufficienti a proteggere la riservatezza dei dati di autenticazione [20].

Con l’attuazione della PSD2, l’impiego di tecnologie adeguate alla strong authentication, costituisce un vero e proprio obbligo per il prestatore di servizi di pagamento. L’art. 74, paragrafo 2, PSD2 dispone infatti che se il prestatore di servizi di pagamento del pagatore non esige un’autenticazione forte del cliente, il pagatore non sopporta alcuna conseguenza finanziaria, salvo qualora abbia agito in modo fraudolento [21]. Parimenti, il mancato impiego dell’autenticazione forte, ai sensi dell’art. 92, par. 1, PSD2, comporta una più sfavorevole modulazione della ripartizione di responsabilità per le operazioni non autorizzate, ai fini dell’eventuale esercizio del diritto di regresso fra più prestatori.

Interessa infine evidenziare che l’autenticazione forte del cliente è richiesta per tutte le attività e le operazioni che possono comportare rischi per la tutela della sua privacy e per la sicurezza delle sue operazioni e del suo patrimonio. In particolare, l’art. 97, comma 1, PSD2, e l’art. 4, comma 1, secondo periodo, del Regolamento delegato (UE) 2018/389, prescrivono che i prestatori di servizi di pagamento devono applicare l’autenticazione forte del cliente tutte le volte che egli accede al suo conto di pagamento on line o dispone un’operazione di pagamento elettronico, nonché tutte le volte che “effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi”.

Ai sensi dell’art. 98, comma 1, lett. b), della PSD2 e degli artt. 2 e 18 del Regolamento delegato (UE) 2018/389, i prestatori di servizi di pagamento sono autorizzati a non applicare l’autenticazione forte solo se abbiano determinato che l’operazione di pagamento elettronico a distanza, disposta dal pagatore, presenta un basso livello di rischio; da ciò si desume, con ragionamento a contrario, che questo obbligo assume particolare cogenza per le operazioni che presentino fattori di rischio maggiori o che si presentino particolarmente sospette.

L’opzione per l’effettuazione o meno dell’ “autenticazione forte” deve essere effettuata sulla base di meccanismi di monitoraggio delle operazioni che i fornitori dei servizi sono obbligati ad adottare per poter rilevare le operazioni di pagamento non autorizzate o fraudolente, tenendo conto di una serie di fattori di rischio, tra cui – in particolare – l’importo di ciascuna operazione di pagamento; gli scenari di frode noti nella prestazione dei servizi di pagamento; i segnali della presenza di malware in una qualsiasi delle sessioni della procedura di autenticazione. Come affermato dal primo considerando del Regolamento delegato (UE) 2018/389, infatti, occorre assicurare che i servizi di pagamento offerti elettronicamente siano prestati in maniera sicura, “ricorrendo a tecnologie in grado di garantire l’autenticazione sicura dell’utente e di ridurre il più possibile il rischio di frode. La procedura di autenticazione dovrebbe includere, in generale, meccanismi di monitoraggio delle operazioni al fine di rilevare i tentativi di utilizzo delle credenziali di sicurezza personalizzate di un utente dei servizi di pagamento che sono state perse, rubate o oggetto di appropriazione indebita e dovrebbe altresì garantire che l’utente dei servizi di pagamento sia l’utente legittimo, che pertanto acconsente al trasferimento di fondi e all’accesso alle informazioni sul suo conto attraverso un utilizzo normale delle credenziali di sicurezza personalizzate”.

In applicazione di queste regole, occorre ritenere che sia richiesta l’autenticazione forte in tutti i casi in cui l’utente, modificando i dati del suo profilo personale, richieda la variazione del dispositivo associato alle operazioni di pagamento (e, quindi, la variazione del numero di cellulare a cui inviare i messaggi per l’identificazione dell’utente); e ciò per l’evidente ragione che una simile variazione comporta il grave rischio che gli elementi di autenticazione di una successiva operazione di pagamento, che rientrino nella categoria dell’ “inerenza” (come una One Time Password), siano dirottati dal dispositivo dell’utente (al quale dovrebbero essere inviati per assicurare la sua corretta individuazione, secondo le prescrizioni dell’art. 24 del Reg. 2018/389), verso quello di un altro soggetto, che abbia richiesto abusivamente la variazione per finalità fraudolente. In altri termini, occorre evitare che la sola acquisizione delle credenziali di accesso ad un conto da parte di un terzo sia sufficiente a modificare i dati identificativi dell’utente e l’associazione del suo dispositivo, in modo da vanificare la sua protezione in caso di successive operazioni di pagamento; è dunque necessario assicurare che l’acquisizione abusiva delle credenziali di un utente da parte di un terzo non sia sufficiente a disporre un pagamento abusivo sul suo conto, per l’esistenza di ulteriori sistemi che permettano di rilevare l’utilizzo abusivo dei dati di identificazione dell’utente legittimo.

Qualora sia compromessa l’integrità dei dati personali dell’utente (come nel caso di abusiva variazione degli elementi di associazione al dispositivo da lui utilizzato per le operazioni a distanza), risulterà conseguentemente compromessa la procedura di autenticazione nelle successive operazioni di pagamento elettronico a distanza, che prevedano elementi di autenticazione classificati come inerenza. Infatti, gli elementi di autenticazione (come la One Time Password) saranno inviati, letti ed utilizzati da altro soggetto, che potrà autenticarsi abusivamente ed effettuare l’operazione di pagamento a nome dell’utente effettivo, in violazione dell’art. 8 del Reg. 2018/389. La violazione di queste regole potrà apparire di gravità ancor maggiore in caso di operazioni di pagamento anomale, che dovrebbero essere rilevate e prevenute dai meccanismi di monitoraggio poste in essere dai fornitori dei servizi di pagamento (come nel caso di emissione di un bonifico immediato di rilevante importo, che segua di pochi minuti l’avvenuta variazione del numero di telefono cellulare dell’utente, a cui inviare la OTP richiesta per l’autenticazione).

  1. LA RESPONSABILITÀ DEI FORNITORI DI SERVIZI DI PAGAMENTO PER LE OPERAZIONI NON AUTORIZZATE NELLA GIURISPRUDENZA ORDINARIA ED ARBITRALE

Alla luce delle normative esposte, assume particolare rilevanza la questione della responsabilità degli istituti bancari, quali fornitori di servizi di pagamento elettronici a distanza, per la mancata adozione delle necessarie misure di sicurezza avverso i tentativi di frode effettuati sui conti del cliente da parte di terzi, mediante l’utilizzo abusivo delle sue credenziali personalizzate, che siano state perse o rubate o abbiano costituito oggetto di appropriazione indebita. Occorre verificare se ed in quali termini sia possibile ricondurre nell’area del rischio professionale dei fornitori dei servizi di pagamento l’abusiva utilizzazione dei codici di accesso al sistema da parte dei terzi, che non sia attribuibile al dolo o alla colpa grave dello stesso utente e che non potesse essere fronteggiata in anticipo.

Sul tema occorre analizzare gli interventi giurisprudenziali adottati dalla Corte di Cassazione e dall’Arbitro Bancario Finanziario (ABF) [22], nell’intento di assicurare la sicurezza nei pagamenti elettronici a distanza e di tutelare i soggetti danneggiati.

A tal riguardo, si registra una comune tendenza a valorizzare la tutela del cliente e ad evidenziare gli obblighi di protezione delle banche, sulla base di un duplice indirizzo:

a) la giurisprudenza della S. Corte, che – intervenendo in sede legittimità su giudizi instaurati alcuni anni fa, sulla base della disciplina vigente all’epoca – riflette normalmente i principi civilistici e le disposizioni generali in tema di protezione dei dati personali contenuta nel Codice Privacy, nel periodo antecedente alle modifiche apportate dal Regolamento UE 2016/679 (e perciò, come si è già visto, sulle disposizioni dell’art. 15 del d.lgs. 196/2003, che ricollegava la responsabilità del titolare del trattamento dei dati personali alla disciplina dell’esercizio di attività pericolose contenuta nell’art. 2050 c.c.);

b) la giurisprudenza arbitrale, che – quale giurisdizione di primo grado – riguarda fatti e situazioni più recenti, disciplinati dall’ultima normativa europea sui pagamenti con mezzi elettronici a distanza.

La giurisprudenza della Suprema Corte di Cassazione tende a riconoscere la responsabilità civile dell’intermediario per le fraudolente sottrazioni di denaro subite dal correntista, superando così l’indirizzo precedente, ritenuto eccessivamente gravoso per il cliente, in forza del quale la responsabilità per l’intercettazione dei dati informatici ricadeva unicamente in capo al cliente, colpevole di aver adottato un comportamento incauto o negligente nell’esecuzione delle operazioni bancarie o nella custodia delle chiavi di accesso. A tal proposito, viene valorizzato il fatto che la banca fornisce i suoi servizi nell’esercizio di un’attività professionale e deve impiegare una diligenza qualificata nell’adempimento del contratto, che impone l’adozione di tutte le misure di sicurezza più adeguate al fine di prevenire insorgenza di danni in capo ai correntisti.

In particolare, in tema di ripartizione dell’onere della prova ed alla stregua dell’art. 15 del Codice della Privacy e dell’art. 2050 c.c., al correntista abilitato ad eseguire operazioni online spetta soltanto la prova del danno, in quanto riferibile al trattamento dei suoi dati personali, mentre l’istituto creditizio risponde, quale titolare del trattamento dei dati, dei danni conseguenti al fatto di non avere impedito a terzi l’intrusione illegittima mediante la captazione dei codici di accesso del correntista, ove non dimostri che l’evento dannoso non gli sia imputabile, perché discendente da errore o frode del correntista o da forza maggiore [23]. Quindi, non solo la banca, qualora ne ricorrano i requisiti, deve essere chiamata a rispondere del danno patito dal suo utente, che non sia incorso in colpa grave, ma la sua responsabilità è gravata dell’onere di provare il corretto funzionamento del sistema adottato e la sua adeguatezza a fronteggiare ogni possibile attacco informatico [24].

Questa impostazione ha trovato condivisione nelle decisioni di molteplici Tribunali ed ha poi ricevuto l’avvallo della giurisprudenza di legittimità (cfr. Cass. Civ., n. 18045/2019; Cass. Civ., ord. n. 9158 del 2018;  Cass. Civ., n. 31199/2017; Cass. Civ. n. 2950/2017; Cass Civ. n. 10638/2016. Nella giurisprudenza di merito, cfr. Tribunale di Palermo, 20 Dicembre 2009; Tribunale di Nocera, 15 settembre 2011; Tribunale di Parma, 23 luglio 2013; Giudice di pace di Lecce, 4 dicembre 2013; Tribunale di Milano, 4 dicembre 2014; Tribunale di Roma, 31 agosto 2016).

Questo indirizzo è stato recentemente confermato dalla ordinanza resa dalla S. Corte in data 26 novembre 2020 con il n. 26916, che dà seguito alla pregressa giurisprudenza, secondo cui: “in tema di responsabilità della banca, ovvero dell’erogatore del corrispondente servizio, in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento – prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente – la possibilità di un’utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo”. Da ciò consegue che, “anche prima dell’entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, l’erogatore di servizi, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuto a fornire la prova della riconducibilità dell’operazione al cliente (Cass., 03/02/2017, n. 2950; cfr. altresì Cass., 05/07/2019, n. 18045, secondo cui la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell’utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa solo se ricorre una situazione di colpa grave dell’utente, configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l’uso non autorizzato dello strumento di pagamento, posto che la sollecita consultazione degli estratti gli avrebbe consentito di conoscere quell’uso in tempo più utile)”.

Per tali motivi, occorre affermare che la possibilità di un’utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o ai comportamenti incauti da non potere essere fronteggiati in anticipo, rientra nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure volte a verificare la riconducibilità delle operazioni alla volontà del cliente. Tale conclusione è funzionale a garantire la fiducia degli utenti nella sicurezza del sistema bancario, tutelando così lo stesso interesse degli operatori economici, e nella legislazione attuale trova oggigiorno più puntuale e solido fondamento nella PSD2 in materia di servizi di pagamento nel mercato interno e nella normativa nazionale di recepimento (in virtù della quale è onere del prestatore di servizi fornire la prova della frode, del dolo o della colpa grave dell’utente che intenda disconoscere le operazioni di pagamento, la quale integra l’unica possibilità per la Banca di essere esente da responsabilità).

La suddetta diligenza presuppone che l’istituto di credito sia munito di un adeguato sistema di sicurezza, tale da impedire l’accesso ai dati personali del correntista da parte di terzi, con un obbligo contrattuale di garantire e tutelare i clienti dalle frodi informatiche. Pertanto, l’erogatore dei servizi è tenuto a fornire la prova della riconducibilità delle operazioni effettuate a mezzo di strumenti elettronici alla volontà del cliente, mediante il controllo dell’utilizzazione illecita dei relativi codici da parte di terzi. Questa responsabilità trova tuttavia un limite, nel caso di colpa grave o dolo del cliente.

4.2. Gli orientamenti dell’ABF si incentrano su aspetti tecnici sottesi alle truffe informatiche attuate attraverso il phishing bancario, e su elementi relativi agli obblighi di protezione degli istituti di credito, alla ripartizione dei rischi, all’onere della prova e alla configurazione di dolo o colpa grave a carico dell’utilizzatore dei servizi.

Per quanto riguarda gli obblighi di protezione degli istituti di credito, la giurisprudenza arbitrale evidenzia che il sistema di autenticazione forte, introdotto dalla normativa europea, deve essere tale da impedire i tentativi fraudolenti di accesso alla home banking del cliente, attraverso l’uso di due o più elementi indipendenti, laddove la violazione di uno non deve compromettere l’affidabilità degli altri. A tal riguardo, le pronunce dell’ABF sottolineano che non deve sussistere una relazione funzionale tra le singole misure di sicurezza, perché in tal caso si finirebbe per eludere l’obbligo di doppia autenticazione, rendendo così il sistema debole. Invero, quando la violazione di una misura di sicurezza è in grado di compromettere anche l’affidabilità dell’altra, non si registra il requisito dell’“autenticazione forte”, per il quale – al contrario – la piena operatività dell’organizzazione fondata sul multi-fattore deve incentrarsi sul concetto di indipendenza tra le singole misure di sicurezza (Cfr. Collegio Roma n. 14550/2019 e Collegio Milano n. 10666/2019).

Inoltre, l’Autorità bancaria europea individua un ulteriore profilo di responsabilità dell’intermediario, prevedendo l’obbligo di monitoraggio delle operazioni sospette prima che il prestatore dei servizi di pagamento autorizzi le operazioni o i mandati elettronici. Nello specifico, tutte le operazioni che sono sospette, ovvero ad alto rischio, devono essere sottoposte ad una dettagliata analisi e procedura di valutazione (Cfr. Collegio Roma n. 14550/2019).

In riferimento al profilo dell’onere della prova, è stato precisato in primo luogo che grava sull’istituto di credito provare l’insussistenza di malfunzionamenti dei propri apparati, la regolare autenticazione dell’utente per le operazioni compiute per il loro tramite, e la correttezza della registrazione e contabilizzazione delle operazioni medesime. Infatti, la banca è tenuta a fornire la prova della riconducibilità dell’operazione al cliente. L’inadempimento dell’obbligo di assicurarsi che le credenziali che consentono l’accesso al servizio di internet banking non fossero fruibili da soggetti diversi dall’utente, a norma dell’art. 8 d.lgs. 11/2010 e dell’art. 73 PSD2, determina una responsabilità dell’istituto bancario.

In secondo luogo, la prova di un corretto sistema di sicurezza, ove fornita, non si ritiene di per sé sufficiente a dimostrare il dolo o la colpa grave dell’utilizzatore. Conseguentemente grava sull’intermediario l’onere di dimostrare anche tutti i fatti idonei ad integrare la colpa grave o il dolo dell’utilizzatore, che integrano le sole fattispecie nelle quali questi è chiamato a subire le conseguenze dell’utilizzo fraudolento dello strumento di pagamento. Per poter riconoscere una colpa grave nella condotta del cliente, è necessario che questa sia caratterizzata da una “straordinaria e inescusabile” imprudenza, negligenza o imperizia, determinata dalla violazione della diligenza ordinaria del buon padre di famiglia di cui all’art. 1176, co.1 c.c., ma anche da quel grado minimo ed elementare di diligenza generalmente osservato da tutti (cfr. Cass. n. 913/2011 e Cass. n. 14456/2011). In questa prospettiva, si riconosce una responsabilità, totale o parziale, dell’utente se, pur debitamente informato della esistenza ed adozione delle misure di sicurezza, ometta tuttavia di avvalersene (Cfr. Collegio dec. 528/2012).

Con riferimento ai più diffusi profili pratici, si è rilevato che l’operazione di variazione del numero di telefono abbinato alla carta di credito, mediante il quale effettuare la procedura di identificazione con invio di una One Temporary Password (OTP), deve esse garantita e disposta “solo” accedendo all’area riservata del portale con la digitazione delle credenziali personali del cliente, e che detta variazione deve essere completata solo inserendo una OTP che l’intermediario invia all’indirizzo di posta elettronica rilasciato dall’utente al momento dell’iscrizione allo stesso portale. Pertanto, costituisce fonte di responsabilità il cambiamento delle utenze telefoniche associate allo strumento di pagamento senza richiedere un’autenticazione forte del cliente (cfr., fra le molte, Collegio Roma, dec. n. 14550/2019; Collegio Milano, dec. n. 18393/2019, dec. n. 10666/2019, dec. n. 13624/2018; Collegio Bologna, dec. n. 7666/2017; Collegio Palermo, dec. 13217/2017; Collegio Bari, n. 14190/2017).

Invero, in applicazione dell’art. 12, comma 2, e dell’art. 8, comma 1, lett. a), d.lgs. 11/2010, il cliente deve essere avvertito con apposito sms-alert della modifica dell’utenza telefonica associata alla carta, “prima” di rendere effettive e irrevocabili le operazioni bancarie delle quali l’istituto di credito non ha la sicurezza della riconducibilità e dell’autorizzazione dell’utente, anche rispetto alla complessità del rischio delle disposizioni economiche impartite. Pertanto, la condotta dell’intermediario non è esente da colpa quando la modifica del recapito telefonico per il servizio di sms-alert, presenta un livello di sicurezza inidoneo alla diligenza richiesta dalla legge.

Sul tema, recenti decisioni adottate dell’ABF hanno riconosciuto una colpa grave della banca per la mancata adozione di un sistema adeguatamente protetto, con la doppia autenticazione, anche nel caso in cui il cliente comunichi i dati ovvero l’intero codice OTP al truffatore. Infatti, il solo codice OTP non è ritenuto sufficiente a garantire la sicurezza dei pagamenti online, in quanto la banca è tenuta ad aggiornare regolarmente i propri meccanismi di sicurezza per costituire un’autenticazione più sicura possibile. L’orientamento dei Collegi ABF è costante nel ritenere che la mancata attivazione di un sistema di alert delle operazioni compiute tramite carte di pagamento o dispositivi mobili costituisca una disfunzione organizzativa imputabile all’intermediario, restando, pertanto, ferma la responsabilità civile dell’intermediario (Cfr. Collegio Bologna, dec. n. 6551/2021, e dec. n. 6232/2021).

Giova ribadire che la nozione di autenticazione forte del cliente è definita con l’individuazione di specifici requisiti, prevendendo che sia tale un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza, del possesso e dell’inerenza, che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione. Costituisce, infatti, principio costantemente affermato dai Collegi dell’ABF quello per il quale un sistema di protezione ad un solo fattore (cui può essere assimilato sostanzialmente il sistema statico, adottato nel caso di specie con l’invio del terzo codice OTP solo per le operazioni e non per il rinnovo di credenziali) non può essere considerato misura sufficiente a proteggere adeguatamente il cliente [25].

Come già esposto, la formula, fondata sui requisiti della conoscenza, del possesso e dell’inerenza, è chiarita dal Regolamento delegato (UE) 2018/389, il quale precisa che i prestatori di servizi di pagamento devono adottare misure volte ad attenuare il rischio che gli elementi dell’autenticazione forte del cliente siano acquisiti da terzi.  Pertanto, dall’interpretazione della normativa europea e degli orientamenti decisionali e giurisprudenziali emerge chiaramente come l’autenticazione forte del cliente deve intendersi in senso sostanziale, e non meramente formale, dovendo garantire determinati requisiti che costituiscono elementi imprescindibili della stessa, tutti correlati alla necessità che sia tutelata la riservatezza dei dati di autenticazione.

La diligenza e gli obblighi che gravano sull’istituto bancario determinati dalla normativa europea, al fine di tutelare la sicurezza dei pagamenti elettronici e dell’utente, impongono l’utilizzo dell’autenticazione forte, a due fattori, anche per l’associazione dell’identità dell’utente alle credenziali personali, dispositivi e software, soprattutto in caso di associazione attuata per mezzo di canali a distanza e nel caso di rinnovo dei suddetti elementi. L’utilizzo di un dispositivo multifunzione (vale a dire un dispositivo come un tablet o un telefono cellulare) che può essere impiegato sia per disporre l’esecuzione del pagamento sia nel processo di autenticazione, impone che, ai sensi dell’art. 9 del Regolamento delegato (UE) 2018/389 siano adottate da parte del prestatore di servizi di pagamento misure di sicurezza al fine di attenuare il rischio che deriverebbe dalla compromissione di tale dispositivo multifunzione.

In mancanza di ulteriori misure di sicurezza, un sistema che consenta di modificare le credenziali personali e/o le modalità di ricezione delle credenziali dinamiche (necessarie per effettuare un’operazione di pagamento elettronico) attraverso canali per loro natura inidonei ad escludere il rischio di intromissione da parte di soggetti non possiede le caratteristiche proprie dell’autenticazione forte per garantire un elevato standard di tutela dell’utente. L’invio tramite sms della notifica di variazione dell’utenza cellulare collegata al sistema di autenticazione delle operazioni di pagamento risulta non inidoneo a tutelare efficacemente gli utenti, in quanto integra un sistema di mera notifica ex post dell’avvenuta modifica. Da ciò deriva che, in tali ipotesi, sarà configurabile la responsabilità del prestatore dei servizi.

In altri termini, pur in presenza di un sistema di sicurezza basato sull’inserimento di un codice OTP, inviato ad un numero di cellulare associato all’utenza del titolare per poter effettuare le operazioni di pagamento, anche il controllo sull’associazione del dispositivo al cliente e il rinnovo delle credenziali dovrebbe essere ugualmente protetto da un sistema a due fattori: in caso contrario, i truffatori, accedendo all’area riservata del titolare, possono modificare il numero su cui la banca invia SMS e OTP, neutralizzando di fatto la protezione della chiave dinamica mediante OTP da utilizzare per la fase dispositiva. Si rende perciò evidente la necessità di inserimento del codice OTP anche per le operazioni di modifica dei dati anagrafici, che costituisce un doveroso presidio di sicurezza a tutela del cliente, idoneo a impedire il compimento delle operazioni di acquisto da parte di terzi.

CONCLUSIONI

Alla luce della nuova cornice normativa, risulta centrale, allo stato attuale, la necessità di misure di sicurezza adeguate da parte degli Istituti bancari a tutela dei propri clienti ed a prevenzione dei fenomeni di truffa informatica. Dalla violazione degli obblighi di protezione derivano profili di responsabilità, da valutare sulla base dell’effettivo danno economico degli interessati, della gravità delle carenze rilevate nei sistemi bancari e della disponibilità del titolare del trattamento dei dati a porre un immediato rimedio al pregiudizio. Infatti, l’istituto di credito è tenuto all’immediato rimborso dell’importo dell’operazione di pagamento che non sia stata autorizzata, come previsto dall’art. 11, comma 1, d.lgs. 11/2010 e dall’art. 73 PSD2.

In ogni caso, le carenze individuate in tema di sicurezza per i pagamenti online, hanno reso non scusabili le violazioni al fine di responsabilizzare gli istituti di credito. Infatti, lo sviluppo delle tecnologie digitali e la diffusione del sistema telematico rendono inescusabili errori che comportano danni, economici e no, per l’utente.

Da questa prospettiva la sicurezza informatica costituisce l’evoluzione della protezione dei dati personali. Nei casi di specie sopra esposti, come il phishing bancario, le carenze di misure minime di sicurezza e di gestione della riservatezza dei dati integrano inevitabilmente gli estremi della responsabilità degli istituti bancari, a tutela della sicurezza e della fiducia dell’utente.

È evidente la necessità di programmare strumenti sempre più evoluti (diretti a proteggere i file e le informazioni raccolte nelle banche dati) e maggiore diligenza nell’operato degli istituti bancari. Da qui anche la necessità di costruire progressivamente una metodologia nella quale oltre agli aspetti tecnologici, oggi prevalenti, coesistono elementi di carattere giuridico (definizione e interpretazione delle regole legislative, comunitarie, amministrative, di autodisciplina volontaria delle categorie, di carattere contrattuale specifico), di carattere tecnico-scientifico (definizione chiara di standard e sistemi telematici) e di carattere organizzativo ed economico.

Posto che la normativa europea ha introdotto un’autenticazione forte per la tutela degli utenti, si ritiene necessaria l’applicazione della suddetta Strong Authentication soprattutto in relazione al diffuso utilizzo di bonifici bancari istantanei (introdotti nel novembre 2017), che nel complesso del sistema determinano un maggior rischio di truffe online. Infatti, attraverso il bonifico istantaneo, che non è revocabile, si dispone il trasferimento del denaro da un conto corrente all’altro in pochi secondi e con disponibilità immediata da parte del beneficiario, senza possibilità di porre rimedio ad eventuali condotte abusive intercorse nella fase di autenticazione del disponente.

Avv. Carlotta Scotti

—————————————————-

[1]     Per ciò che riguarda la responsabilità penale viene in considerazione, innanzitutto, l’art. 167 del Codice sulla Privacy. Tale norma, infatti, punisce chiunque, al fine di trarre per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione della normativa di riferimento e arrecando un nocumento all’interessato. Sempre dal punto di vista penale, la condotta del cd. phisher potrebbe configurare gli estremi del reato di truffa ex art. 640, co.1 c.p. Il phishing integra, inoltre, una serie di fattispecie delittuose, tra cui: il reato di frode informatica di cui all’640-ter c.p., che presuppone l’alterazione di un sistema informatico o l’introduzione illecita sullo stesso o sui dati in esso contenuti, al fine di determinare un ingiusto profitto per il soggetto attivo e un danno per il soggetto passivo; il reato di cui all’art. 615-ter, comma 1, c.p., costituito dall’accesso abusivo ad un sistema informatico o telematico; il delitto di utilizzo indebito di carte di credito e di pagamento, previsto dall’art. 12 del d.l. n. 143/1991. Sul piano della responsabilità civile, come di seguito esposta, la questione si incentra sulla responsabilità da attività pericolosa e sul risarcimento del danno.

[2]     L’accountability pre-GDPR del sistema bancario e le misure minime di adeguatezza della vecchia disciplina (Allegato B) non si differenziano totalmente dalle misure adeguate del nuovo paradigma del GDPR, anzi in quanto alcune sono in esse ricomprese. Nonostante sia stato abrogato il Disciplinare Tecnico costituito dall’Allegato B e tutte le norme di riferimento del vecchio Codice della Privacy richiamate per l’adozione del provvedimento ovvero i pre-vigenti artt. 162, comma 2-bis, 162, comma 2-ter, e 164-bis, comma 2, in relazione agli artt. 33 e 154, comma 1, lett. c), del medesimo Codice, tranne l’art. 154 comunque interamente emendato dal d.lgs. 101/2018, di modifica del Codice italiano per armonizzazione la normativa con il Regolamento Europeo. La mancata conservazione dei sistemi di tracciamento delle operazioni di accesso che avrebbe consentito l’individuazione di eventuali abusi delle credenziali dell’utente a causa di un errore di programmazione, così come la mancata generazione di alert per l’individuazione di accessi abusivi, sono certamente argomenti ancora attuali in costanza di nuovo Regolamento. Le disposizioni normative previgenti si occupavano di buone prassi emerse dall’operato di chi doveva fornire protezione ai dati personali tramite sistemi informatizzati. I suddetti principi, nonostante l’abrogazione del Codice della Privacy, sono tenuti in considerazione in quanto validi avendo dato sostanza alla disciplina del settore. Tuttavia, si ritiene necessaria un’integrazione, anche considerando gli upgrade di tecnologia proposti dalle soluzioni del mercato. Concetti come il sistema di autenticazione informatica, le credenziali di autenticazione, il codice per l’identificazione dell’incaricato associato a una parola chiave conosciuta solamente dal medesimo, il dispositivo di autenticazione in possesso e l’uso esclusivo dell’incaricato, la segretezza delle credenziali, la diligente custodia dei dispositivi, la modifica periodica di parole chiave, sono conformi al nuovo sistema di “pseudonimizzazione e cifratura dei dati personali” (art. 32, paragrafo 1, lett. a), GDPR) il quale prevede modalità tecniche di validazione segreta atte a garantire sicurezza e blindatura dei dati e la capacità di garantire su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento (art. 32, paragrafo 1, lett. b), GDPR). La vecchia e la nuova normativa sono quindi conformi e spesso non confliggenti, soprattutto nel caso in cui sono volte a statuire in continuità il sistema di protezione dei dati personali e l’adeguamento dell’organizzazione a tutela dei dati personali. Ne consegue che l’istituto di credito non può trascurare l’adozione di soluzioni tecniche che siano alla portata di tutti, quali la registrazione di log, i controlli periodici, gli sms-alert per movimenti di terminali relativi ad accessi anomali.

[3]     Il suddetto approccio è in totale contrapposizione a quanto predisponeva il Codice della Privacy, d.lgs. 196/2003 che, accanto al concetto di diritto alla riservatezza, introduceva un autonomo diritto alla protezione dei dati personali, con diverse modalità tra cui, le più significative, si risolvevano nell’attuare un back up a scadenza ad esempio settimanale, l’installazione e l’aggiornamento di un antivirus, l’utilizzo di password.

[4]     Articolo 24 Reg. (UE) 2016/679 – Responsabilità del titolare del trattamento: “1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. 2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento. 3. L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento”.

[5]     L’articolo 5, par. 1 Reg. (UE) 2016/679 prescrive le misure tecniche e organizzative adeguate per la tutela dei dati personali: “Principi applicabili al trattamento di dati personali: 1. I dati personali sono: a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»); b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»); c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»); e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»); f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»). 2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)”.

[6]     Ai sensi dell’art. 25 del GDPR, i titolari devono eseguire la valutazione di conformità “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento”. Il paragrafo 2 del medesimo articolo prevede il concetto di responsabilizzazione, per cui “il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo”. Il principio di auto responsabilizzazione è integrato con i nuovi principi di protezione dei dati dalla progettazione “privacy by design” e con il concetto della “privacy by default”, introdotti dal suddetto art. 25 e diretti a garantire i dati dalla fase di ideazione e progettazione di un sistema e, quindi, di adottare comportamenti che consentano di prevenire possibili problematiche.

[7]     In particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose nonché dati genetici, dati relativi alla salute o a condanne penali; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori. La probabilità e la gravità del rischio per i diritti e le libertà dell’interessato devono essere determinate rispetto alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento. Per prevenire le violazioni del regolamento, il titolare del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per garantire un adeguato livello di sicurezza, inclusa la riservatezza, in base allo stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. È necessario tenere in considerazione i rischi presentati dal trattamento dei dati personali, quali la distruzione accidentale o illegale, la modifica, l’accesso non autorizzati a dati personali trasmessi, che potrebbero produrre un danno fisico, materiale o immateriale.

[8]     Art. 82 Reg. (UE) 2016/679: “1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. 2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. 3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile. 4. Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato. 5. Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2. 4.5.2016 L 119/81 Gazzetta ufficiale dell’Unione europea IT 6. Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2”.

[9]      Invero, dall’articolo 32 si desume che i soggetti attivi del trattamento debbano ricorrere a misure di sicurezza organizzative, oltre che a misure tecniche, al fine di garantire e tutelare i dati durante il trattamento. Infatti, il GDPR prevede una divisione della responsabilità tra il titolare del trattamento e il responsabile, oltre alla necessità di disporre di soggetti abilitati al trattamento dei dati personali. Il titolare del trattamento è un soggetto sottoposto ad obblighi che esulano dalla semplice azione di custodia dei dati, perché l’espletamento delle sue funzioni riguarda anche la protezione dei dati per evitare che essi possano andare persi o distrutti o violati, richiamando così il disposto dell’articolo 5 GDPR, che espressamente prevede che “i dati personali sono trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita o distruzione o dal danno accidentali (integrità e riservatezza)”.

[10]   Nel caso in cui si sia di fronte ad una violazione e questa non venga affrontata con tutti gli strumenti a disposizione, le persone fisiche potrebbero subire danni sia materiali che immateriali come la perdita del controllo dei dati personali oppure potrebbero subire una limitazione dei loro diritti o ancora i loro dati potrebbero essere decifrati da chi non ne ha l’autorizzazione (cifratura dei dati). Per questo motivo è stato previsto il termine di 72 ore entro le quali devono essere comunicate eventuali violazioni (data breaches), a meno che il titolare del trattamento non dimostri che questa violazione non comporti un rischio.

[11]   L’art. 82, paragrafo 1, del GDPR, chiarisce l’ambito soggettivo attivo e passivo del diritto al risarcimento, stabilendo che: “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.

[12]   Con riferimento ai soggetti che gestiscono il trattamento dei dati personali, occorre ricordare che il titolare del trattamento è il soggetto che determina la finalità e i mezzi del trattamento dei dati, mentre il responsabile è il soggetto che tratta i dati personali per conto del titolare o dei contitolari (artt. 4, 24 e 28 GDPR). Il titolare del trattamento risponde quando è coinvolto nel trattamento che, violando il regolamento, ha cagionato il danno; diversamente il responsabile del trattamento risponderà per il danno causato dal trattamento soltanto nel caso in cui non abbia correttamente adempiuto agli obblighi stabiliti specificamente dal Regolamento a carico dei responsabili del trattamento, oppure qualora abbia agito in modo difforme o contrario rispetto alle legittime istruzioni dategli dal titolare in merito al trattamento dei dati di sua competenza. Questa disposizione sembrerebbe delineare una fattispecie di responsabilità, in capo al titolare e al responsabile del trattamento dei dati personali, apparentemente molto restrittiva.

[13]   Il quadro generale dei sistemi di pagamenti deve essere considerato tenendo conto dei cambiamenti nei traffici economici verificatisi negli ultimi anni. Infatti, il cammino verso la globalizzazione, lo sviluppo sempre maggiore della rete internet e la crescita del commercio elettronico e dei mercati virtuali hanno alimentato la diffusione dei nuovi sistemi di pagamento elettronici, utilizzabili sia dai consumatori che dalle imprese, così denominati per il fatto che, a differenza dei sistemi di pagamento tradizionali, utilizzano tecniche, programmi e strumenti innovativi. Pertanto, accanto alla moneta con corso legale, ai titoli di credito bancari e alle carte di credito, che rappresentano la c.d. moneta scritturale, si è entrati nella c.d. quarta generazione dei sistemi di pagamenti, rappresentati dalla moneta elettronica o e-money.  Tra i sistemi di pagamento elettronici che non costituiscono moneta elettronica rientrano i bancomat (comprese le carte PagoBancomat o BancomatPos) e le carte di credito. Appaiono molto più diffusi, tra i sistemi di pagamento online, sia il PayPal che le carte prepagate. Il sistema PayPal consente a chiunque possegga un indirizzo e-mail di inviare o ricevere pagamenti online in modo sicuro. Esso funziona come un normale conto corrente che consente di effettuare varie transazioni, associando una carta di credito, una carta prepagata o un conto bancario. Al momento del pagamento, l’utente è collegato ad una pagina sicura nella quale vengono richiesti e-mail e password. Ciò consente di effettuare il pagamento detraendo l’importo dovuto dal proprio conto in modo del tutto sicuro, essendo anche previste procedure per eventuali rimborsi e contestazioni. Negli ultimi anni, poi, si registra una percentuale sempre più alta di pagamenti elettronici che avvengono per mezzo di smartphone o tablet. Infatti, si stanno sempre più diffondendo altre due modalità di pagamento, rappresentate dai mobile payment e dalla moneta virtuale: i primi sono applicazioni progettate per effettuare pagamenti da smartphone, che attraverso l’utilizzo di nuovi sistemi consentono di fare uso di portafogli elettronici, utilizzati come sostituti dei veri e propri portafogli e delle carte fisiche. Sia pure nella loro eterogeneità, i sistemi di digitale mobile payment vengono ricondotti alle operazioni di pagamento a distanza, eseguite in seguito alla disposizione di un ordine di pagamento. Ciò significa che l’operazione di pagamento digitale deriva dalla disposizione di pagamento di un consumatore ad un prestatore di servizi che opera su internet il quale, a sua volta, dovrà ordinare ad un altro istituto (presso il quale il cliente risulti titolare di un conto di pagamento) di eseguire il trasferimento dei fondi monetari. L’ordine di pagamento, in tali casi, è impartito mediante un mobile device, per mezzo di internet. Gli strumenti di pagamento utilizzabili devono essere in grado di rispondere a numerosi bisogni dei consumatori, in particolare di quelli che decidono di effettuare acquisti online. Il consumatore deve poter sempre controllare il proprio saldo, via web o via cellulare, e deve poter fare affidamento su operazioni di pagamento veloci e sicure. I sistemi di e-payment e di mobile payment si presentano piuttosto sicuri e semplici da utilizzare, in quanto consentono di effettuare i pagamenti online da un conto ad un altro, soltanto inviando un sms o una e-mail, confermando i propri dati e l’ordine di pagamento tramite il telefono cellulare o un altro dispositivo mobile, sia per gli acquisti online che per quelli tradizionali, riguardanti servizi, prodotti e beni. Questi strumenti di pagamento hanno fatto crescere lo sviluppo del commercio elettronico, in quanto semplificano gli acquisti; dall’altro lato essi impongono di soddisfare in modo sempre più adeguato le esigenze e le aspettative dei consumatori, ampliando le garanzie di sicurezza. Invero, la riflessione sugli strumenti di pagamento elettronici non può prescindere dall’analisi di colui che ne è l’utilizzatore: il consumatore. Rispetto ai profili che impattano su quest’ultimo, si riscontrano aspetti rilevanti per la privacy, la sicurezza, la facilità di utilizzo di un mezzo di pagamento, i costi e i tempi di accredito e di addebito di un pagamento. Infatti, uno dei rischi negli acquisti online investe quello dell’intercettazione dei dati personali (Cfr. I. D’AMBROSIO, “La tutela del consumatore nei pagamenti elettronici e la nuova direttiva europea PSD2”, in Notariato, 2019, 6, 676).

[14]   La diffusione dei pagamenti online con l’utilizzo di smartphone ha comportato un aumento dei rischi di violazione della privacy, date le numerose informazioni e i dati che i consumatori fanno transitare dai propri smartphone. La nuova criminalità organizzata, infatti, si concretizza attraverso frodi sui pagamenti elettronici, l’uso della carta di credito e per mezzo di internet, insieme ai furti d’identità. Pertanto, al fine di evitare l’intercettazione dei dati personali occorre aumentare i livelli di sicurezza, informando il consumatore, fornendogli eventuali alert, per impedire tutte le possibili frodi. Proprio il timore di una violazione della privacy induce molti consumatori a non utilizzare i sistemi di pagamento elettronici, in particolare, quelli del c.d. mobile payment.

[15]   La PSD2 e il GDPR presentano contrasti applicativi sotto diversi profili. La PSD2 si occupa dei nuovi sistemi che consentono agli utenti dei servizi bancari e di pagamento di rivolgersi a operatori di derivazione non bancaria, definiti “terze parti” (o Third Parties Provider TPP), per chiedere l’esecuzione di operazioni di pagamento e altre attività connesse ai servizi di pagamento. I TPP operano come “intermediari virtuali”, frapponendosi tra il cliente e i servizi di pagamento disposti dagli operatori bancari veri e propri. I TPP si distinguono, a seconda della tipologia di servizio erogato, in particolare in: PISP – Payment Initiation Service Provider [termine con il quale sono indicati i servizi di pagamento (PSP) che si pongono come intermediari tra il consumatore, che deve avviare un pagamento dando impulso allo stesso, e il suo conto online, c.d. merchant, come, ad esempio, Amazon]; gli AISP Account Information Service Provide [termine con il quale si fa riferimento a servizi di pagamento mediante i quali il consumatore-utente può mettere insieme più informazioni da diversi conti di pagamento a lui intestati, per renderle gestibili attraverso un’unica interfaccia, così da avere sotto controllo la propria situazione finanziaria, seppure gestita da diversi PSP] e i CISP – Card Issuer Credit Provider [che sono prestatori di servizi di pagamento basati su carta, che emettono carte di pagamento, regolate su un conto di pagamento, accessibile online, di un istituto di credito diverso da quello che ha emesso la carta].

I dati derivanti da tutte le operazioni di pagamento vengono trasmessi dagli operatori bancari tradizionali ai TPP, i quali si frappongono tra cliente e operatore bancario, acquistando tutte le informazioni relative ad una transazione (ad esempio il bene/servizio acquistato ovvero l’identità del “professionista” che vende il bene o il servizio online). Ne consegue che alcuni aspetti dell’attività di profilazione potranno essere eseguiti dai nuovi fornitori di servizi di pagamento. Occorre precisare che la PSD2 e il GDPR presentano due finalità diverse: la PSD2 spinge il sistema bancario verso la cosiddetta open banking, assicurando quindi maggiore flessibilità all’ingresso per i nuovi operatori e maggiore facilità di accesso ai dati dei clienti; il GDPR è diretto a rafforzare, in tutti i settori, compreso quello bancario, la tutela dei dati personali e le garanzie volte a consentire la condivisione e il trasferimento di tali dati solo a certe condizioni. Tuttavia, è l’utente stesso a dover autorizzare l’accesso al fine di utilizzare i servizi prestati dai Third Party Providers. Il segnale di autorizzazione viene così inviato alla Banca del cliente mediante meccanismi rinforzati di sicurezza. Infatti, a tale scopo, l’European Banking Authority (EBA) prevede l’obbligo di registrazione di tutti i TTP, in un apposito registro elettronico pubblico, autorizzati ad operare servizi di pagamento nell’Unione Europea in ambito PSD2. Questo sistema consente ad ogni consumatore di verificare se il Player Finanziario da autorizzare è presente nel registro, al fine di garantire la sicurezza di consentire l’accesso ai propri dati bancari e alle operazioni di pagamento solo ad enti certificati ed effettivamente approvati a livello normativo.

Grazie alla PSD2, l’ Open Banking e gli AISP consentono ai clienti di disporre di nuove funzionalità con lo scopo di ottimizzare i propri finanziamenti e migliorare la gestione dei conti online.

Lo shopping online costituisce un altro cambiamento importante su cui il legislatore è intervenuto attraverso la PSD2. La nuova normativa ha consentito a società FinTech e dell’e-commerce, come Apple o Amazon, di gestire in modo completo i processi di pagamento dei propri utenti-consumatori. In ultimo la PSD2 permette di ridurre notevolmente i costi dei pagamenti, cosicché i consumatori europei potranno ricavare vantaggi economici dalla nuova normativa e ridurre le proprie responsabilità in caso di pagamenti non autorizzati.

[16]   Articolo 70 – Obblighi a carico del prestatore di servizi di pagamento in relazione agli strumenti di pagamento: “Il prestatore di servizi di pagamento che emette lo strumento di pagamento: assicura che le credenziali di sicurezza personalizzate siano accessibili solo all’utente di servizi di pagamento autoriz­zato ad utilizzare lo strumento stesso, fatti salvi gli obblighi imposti all’utente di servizi di pagamento di cui all’articolo 69; si astiene dall’inviare uno strumento di pagamento non richiesto, salvo qualora uno strumento di pagamento già detenuto dall’utente debba essere sostituito; assicura che siano sempre disponibili mezzi adeguati affinché l’utente dei servizi di pagamento possa provvedere alla notifica di cui all’articolo 69, paragrafo 1, lettera b), o richiedere lo sblocco dello strumento di pagamento ai sensi dell’articolo 68, paragrafo 4; su richiesta il prestatore di servizi di pagamento fornisce all’utente dei servizi di pagamento mezzi per provare l’avvenuta notifica nei 18 mesi successivi alla stessa; fornisce all’utente dei servizi di pagamento la possibilità di procedere alla notifica a norma dell’articolo 69, paragrafo 1, lettera b), a titolo gratuito e imputa, eventualmente, solo i costi di sostituzione direttamente attribuiti allo strumento di pagamento; impedisce qualsiasi utilizzo dello strumento di pagamento una volta effettuata la notifica ai sensi dell’articolo 69, paragrafo 1, lettera b). 2. Il prestatore di servizi di pagamento sostiene il rischio dell’invio all’utente dei servizi di pagamento di uno strumento di pagamento o delle eventuali relative credenziali di sicurezza personalizzate. 

Articolo 72 – Prova di autenticazione ed esecuzione delle operazioni di pagamento: “1. Gli Stati membri dispongono che, qualora l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che l’operazione di pagamento non è stata correttamente eseguita, spetti al prestatore di servizi di pagamento fornire la prova del fatto che l’operazione di pagamento è stata autenticata, corret­tamente registrata e contabilizzata, e che non ha subito le conseguenze di guasti tecnici o altri inconvenienti del servizio fornito dal prestatore di servizi di pagamento. Se l’operazione di pagamento è disposta mediante un prestatore di servizi di disposizione di ordine di pagamento spetta a quest’ultimo dimostrare che, nell’ambito delle sue competenze, l’operazione di pagamento è stata autenticata, corretta­ mente registrata che non ha subito le conseguenze di guasti tecnici o altri inconvenienti legati al servizio di pagamento del quale è incaricato. 2. Se l’utente di servizi di pagamento nega di aver autorizzato un’operazione di pagamento eseguita, l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso se del caso il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l’operazione di pagamento sia stata autorizzata dal pagatore né che questi abbia agito in modo fraudolento o non abbia adempiuto, dolosamente o con negligenza grave, a uno o più degli obblighi di cui all’articolo 69. Il prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornisce gli elementi di prova che dimostrano la frode o la negligenza grave da parte dell’utente di servizi di pagamento”.

Articolo 73 – Responsabilità del prestatore di servizi di pagamento per le operazioni di pagamento non autorizzate: “1. Gli Stati membri provvedono affinchè, fatto salvo l’articolo 71, nel caso di un’operazione di pagamento non autorizzata il prestatore di servizi di pagamento del pagatore rimborsi al pagatore l’importo dell’operazione di pagamento non autorizzata, immediatamente e in ogni caso al più tardi entro la fine della giornata operativa successiva a quella in cui prende atto dell’operazione o riceve una notifica in merito, a meno che il prestatore di servizi di pagamento del pagatore abbia ragionevoli motivi per sospettare una frode e comunichi tali motivi per iscritto alla pertinente autorità nazionale competente. Se del caso, il prestatore di servizi di pagamento del pagatore riporta il conto di pagamento addebitato nello stato in cui si sarebbe trovato se l’operazione di pagamento non autorizzata non avesse avuto luogo. Sarà inoltre assicurato che la data valuta dell’accredito sul conto di pagamento del pagatore non sia successiva alla data di addebito dell’importo. 2. Se l’operazione di pagamento è disposta mediante un prestatore di servizi di disposizione di ordine di pagamento, il prestatore di servizi di pagamento di radicamento del conto rimborsa immediatamente, e in ogni caso entro la fine della giornata operativa successiva, l’importo dell’operazione di pagamento non autorizzata e, se del caso, riporta il conto di pagamento addebitato nello stato in cui si sarebbe trovato se l’operazione di pagamento non autorizzata non avesse avuto luogo. Se il prestatore di servizi di disposizione di ordine di pagamento è responsabile dell’operazione di pagamento non autorizzata, risarcisce immediatamente il prestatore di servizi di pagamento di radicamento del conto su richiesta di quest’ultimo per le perdite subite o gli importi pagati in conseguenza del rimborso al pagatore, compreso l’importo dell’operazione di pagamento non autorizzata. Conformemente all’articolo 72, paragrafo 1, spetta al prestatore di servizi di disposizione di ordine di pagamento dimostrare che, nell’ambito delle sue competenze, l’operazione di pagamento è stata autenticata, correttamente registrata e non ha subito le conseguenze di guasti tecnici o altri inconvenienti riguardanti il servizio di pagamento del quale è incaricato.3. Un’ulteriore compensazione finanziaria può essere stabilita conformemente alla normativa applicabile al contratto stipulato fra il pagatore e il prestatore di servizi di pagamento o, se del caso, al contratto stipulato fra il pagatore e il prestatore di servizi di disposizione di ordine di pagamento”.

[17]   Articolo 74 – Responsabilità del pagatore per le operazioni di pagamento non autorizzate: “1. In deroga all’articolo 73 il pagatore può essere obbligato a sopportare, a concorrenza massima di 50 EUR, la perdita relativa ad operazioni di pagamento non autorizzate derivante dall’uso di uno strumento di pagamento smarrito o rubato o dall’appropriazione indebita di uno strumento di pagamento. Il primo comma non si applica se: a) lo smarrimento, il furto o l’appropriazione indebita di uno strumento di pagamento non potevano essere notati dal pagatore prima di un pagamento, ad eccezione dei casi in cui il pagatore ha agito in modo fraudolento; o b) la perdita è stata causata da atti o omissioni di dipendenti, agenti o succursali di un fornitore di servizi di pagamento o di un’entità a cui sono state esternalizzate le attività. Il pagatore sostiene tutte le perdite relative ad operazioni di pagamento non autorizzate se è incorso in esse agendo in modo fraudolento o non adempiendo a uno o più degli obblighi di cui all’articolo 69 dolosamente o con negligenza grave. In tali casi, il massimale di cui al primo comma non si applica. Nei casi in cui il pagatore non ha agito in modo fraudolento o non è intenzionalmente inadempiente ai propri obblighi di cui all’articolo 69, gli Stati membri possono ridurre la responsabilità di cui al presente paragrafo tenendo conto, in particolare, della natura delle credenziali di sicurezza personalizzate e delle specifiche circostanze dello smarrimento, del furto o dell’appropriazione indebita. 2. Se il prestatore di servizi di pagamento del pagatore non esige un’autenticazione forte del cliente, il pagatore non sopporta alcuna conseguenza finanziaria salvo qualora abbia agito in modo fraudolento. Qualora non accettino un’autenticazione forte del cliente, il beneficiario o il suo prestatore di servizi di pagamento rimborsano il danno finanziario causato al prestatore di servizi di pagamento del pagatore. 3. Salvo qualora abbia agito in modo fraudolento, il pagatore non sopporta alcuna conseguenza finanziaria derivante dall’uso di uno strumento di pagamento smarrito, rubato o oggetto di appropriazione indebita, intervenuto dopo la notifica ai sensi dell’articolo 69, paragrafo 1, lettera b). Se il prestatore di servizi di pagamento non fornisce strumenti adeguati per la notifica, in qualsiasi momento, dello smarrimento, del furto o dell’appropriazione indebita di uno strumento di pagamento, secondo quanto disposto dall’articolo 70, paragrafo 1, lettera c), il pagatore non è responsabile delle conseguenze finanziarie derivanti dall’uso dello strumento di pagamento, salvo qualora abbia agito in modo fraudolento”.

[18] A tal proposito, l’ABE (Autorità Bancaria Europea) emana, a norma dell’articolo 10 del regolamento (UE) n. 1093/2010, progetti di norme tecniche di regolamentazione indirizzati ai prestatori di servizi di pagamento, in cui sono specificati i requisiti dell’autenticazione forte del cliente, le esenzioni dall’applicazione. In particolare, i requisiti che le misure di sicurezza devono soddisfare per tutelare la riservatezza e l’integrità delle credenziali di sicurezza personalizzate degli utenti di servizi di pagamento e i requisiti per standard aperti di comunicazione comuni e sicure ai fini dell’identificazione, dell’autenticazione, della notifica e della trasmissione di informazioni, nonché́ dell’attuazione delle misure di sicurezza, tra i soggetti coinvolti.

[19]   Articolo 9 – Indipendenza degli elementi: “1. I prestatori di servizi di pagamento assicurano che l’utilizzo degli elementi di autenticazione forte del cliente di cui agli articoli 6, 7 e 8 sia soggetto a misure volte a garantire che, in termini di tecnologia, algoritmi e parametri, la violazione di uno degli elementi non comprometta l’affidabilità degli altri elementi”.

[20] A titolo esemplificativo, il “Digipass” genera una one-time password (“OTP”) dopo che il consumatore ha inserito una password statica (fattore di conoscenza, ossia “qualcosa che l’utente conosce”) in uno speciale dispositivo hardware o associato in via esclusiva allo stesso consumatore (fattore di possesso, ossia “qualcosa che l’utente possiede”). Questi due fattori di autenticazione sono reciprocamente indipendenti. Esempi analoghi possono essere fatti nel caso di un dispositivo cellulare utilizzato per verificare caratteristiche biometriche oppure password statiche/PIN.

[21] Art. 74 PSD2: “2. Se il prestatore di servizi di pagamento del pagatore non esige un’autenticazione forte del cliente, il pagatore non sopporta alcuna conseguenza finanziaria salvo qualora abbia agito in modo fraudolento. Qualora non accettino un’autenticazione forte del cliente, il beneficiario o il suo prestatore di servizi di pagamento rimborsano il danno finanziario causato al prestatore di servizi di pagamento del pagatore”.

[22]   L’Arbitrato Bancario Finanziario (ABF) è un sistema di risoluzione alternativa delle controversie (in inglese ADR – Alternative Dispute Resolution) che possono sorgere tra i clienti e le banche e gli altri intermediari in materia di operazioni e servizi, bancari e finanziari.

[23]   Viene così a configurarsi un sistema di responsabilità di tipo “semi-oggettivo”, in forza del rinvio all’art. 2050 c.c. contenuto nell’art. 15 del Codice della Privacy, nel presupposto che tale modello di responsabilità è coerente con quello delineato anche a livello comunitario dal considerando n. 55 e dall’art. 23 e della Direttiva 95/46/CE, relativamente alla tutela delle persone fisiche con riguardo al trattamento dei dati personali. Quindi, il mero disconoscimento delle operazioni bancarie determina un’inversione dell’onere della prova, ponendo a carico della Banca il compito di provare l’adeguatezza nel suo sistema informatico.

[24]   Secondo i principi generali del nostro ordinamento in tema di responsabilità civile contrattuale, contenuti nell’  art. 1218 c.c., il creditore che agisce per il risarcimento del danno, per la risoluzione del contratto o per l’adempimento, deve provare la fonte del suo diritto e il relativo termine di scadenza, allegando puramente e semplicemente l’inadempimento della controparte; al contrario, sul debitore convenuto grava l’onere di provare che il fatto lamentato dall’attore sia dovuto a una circostanza a lui non imputabile.

[25]   Pur in presenza di un sistema di sicurezza basato sull’inserimento di un codice OTP, inviato ad un numero di cellulare associato all’utenza del titolare per le operazioni di pagamento, anche l’accesso al Portale titolare dovrebbe essere ugualmente protetto da un sistema a due fattori. L’inserimento dell’OTP anche per la modifica di dati anagrafici, costituisce un doveroso strumento di sicurezza a tutela del cliente, diretto ad evitare le operazioni fraudolente.

“Taglio” e svalutazione delle pensioni tra politica, economia e diritto

(note a margine della sentenza Corte Costituzionale del 9 novembre 2020, n. 234)

Corte Costituzionale, 9 novembre 2020, n. 234 – Pres. Morelli; Est. Petitti –  U. Z. (avv. Massimo Luciani), F. I. (avv.  Francesco Saverio Marini), N. L. ed altri (avv. Nicola Leone), C. L. C. (avv. Mario Rampini), G. C. (avv. Gaetano Viciconte) contro  Istituto  nazionale  della  previdenza sociale – INPS (avv. Antonella Patteri), con l’intervento  di  G.  B. ed altri (avv. Giampaolo  Maria  Cogo) e  del Presidente del Consiglio dei ministri (avv. dello Stato Federico Basilica).

GIUDIZIO INCIDENTALE DI COSTITUZIONALITÀ – INTERVENTO DI SOGGETTI CHE NON SONO PARTE NEL GIUDIZIO DINANZI AL GIUDICE REMITTENTE – MANCANZA DI TITOLARITÀ DI UN INTERESSE QUALIFICATO, INERENTE IN MODO DIRETTO E IMMEDIATO AL RAPPORTO DEDOTTO IN GIUDIZIO [Decreto 7 ottobre 2008 (in Gazzetta Ufficiale 7 novembre 2008, n. 261), modificato da ultimo con decreto 8 gennaio 2020 (in Gazzetta Ufficiale, Serie ordinaria, 22 gennaio 2020, numero 17), recante “Norme integrative per i giudizi davanti alla Corte costituzionale”]

PREVIDENZA – TRATTAMENTO PENSIONISTICO – RIVALUTAZIONE AUTOMATICA – RIDUZIONE, PER IL TRIENNIO 2019-2021, SULLA BASE DI MISURE PERCENTUALI RIFERITE AL TRATTAMENTO MINIMO INPS – DENUCIATA VIOLAZIONE DEI PRINCIPI DI RAGIONEVOLEZZA, PROPORZIONALITÀ ED ADEGUATEZZA – NON FONDATEZZA DELLE QUESTIONI PROSPETTATE  (Cost., artt.  3,  36  e  38 – Legge 30 dicembre 2018, n. 145, art. 1, comma 260)

PREVIDENZA – TRATTAMENTI PENSIONISTICI DI IMPORTO SUPERIORE A 100.000 EURO LORDI ANNUI – DECURTAZIONE PERCENTUALE CRESCENTE, PER LA DURATA DI CINQUE ANNI, ANZICHÉ DI TRE ANNI, DELL’AMMONTARE ECCEDENTE LA PREDETTA SOGLIA – VIOLAZIONE DEI PRINCIPI DI RAGIONEVOLEZZA E PROPORZIONALITÀ DELLE PRESTAZIONI PATRIMONIALI IMPOSTE – ILLEGITTIMITÀ COSTITUZIONALE PARZIALE (Costituzione, artt. 3, 23, 36, 38, 42, 53, 81, 97, 117, primo comma, e 136; Convenzione per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, art. 6; Protocollo addizionale alla Convenzione per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, art. 1 – Legge 30 dicembre 2018, n. 145, art. 1, commi 260, 261, 262, 263, 264, 265, 266, 267 e 268).

È inammissibile nel giudizio incidentale di costituzionalità l’intervento di soggetti che non siano parte nel giudizio pendente dinanzi al giudice remittente, che non siano titolari di un interesse qualificato, inerente in modo diretto e immediato al rapporto dedotto in giudizio, ancorché siano parte di un giudizio di uguale oggetto, che sia stato sospeso dal giudice adito in attesa della pronuncia della Corte Costituzionale in un giudizio incidentale già promosso sulle medesime questioni (1).

È infondata la questione di legittimità costituzionale dell’art. 1, comma 260, della legge n. 145 del  2018, che ha disposto la riduzione, per il triennio 2019-2021, della rivalutazione automatica dei trattamenti pensionistici superiori a tre volte il trattamento minimo INPS, in misura percentuale proporzionate all’ammontare della pensione, in riferimento agli artt. 3, 36 e 38  Cost. (2).

È incostituzionale l’art. 1, comma 261, della legge 30 dicembre 2018, n.  145  (Bilancio  di  previsione dello Stato per l’anno finanziario 2019 e bilancio pluriennale per il triennio 2019-2021), nella parte in cui stabilisce la  riduzione  dei trattamenti pensionistici ivi  indicati  «per  la  durata  di  cinque anni», anziché «per la durata di tre anni» (3).

È  infondata   la   questione   di   legittimità costituzionale dell’art. 1, comma 261, della legge n. 145  del 2018, sollevata, in riferimento agli artt. 3 e 53 Cost., dalla  Corte  dei conti,  sezione  giurisdizionale  regionale  per  il   Friuli-Venezia Giulia, dal Tribunale ordinario di Milano, dalla  Corte  dei  conti, sezione giurisdizionale regionale  per  il  Lazio,  dalla  Corte  dei conti, sezione giurisdizionale regionale per  la  Sardegna,  e  dalla Corte dei conti, sezione giurisdizionale regionale  per  la  Toscana (4).

È infondata la questione di legittimità costituzionale dell’art. 1, comma 261, della legge n. 145  del 2018, sollevata, in riferimento all’art. 117,  primo comma,  Cost., in relazione all’art. 1 del Protocollo addizionale alla Convenzione  per la salvaguardia dei diritti dell’uomo e delle libertà  fondamentali, firmato a Parigi il 20 marzo 1952, ratificato e  reso  esecutivo  con legge 4 agosto 1955, n. 848, dal  Tribunale  ordinario  di  Milano  e dalla Corte dei  conti,  sezione  giurisdizionale  regionale  per  la Toscana (5).

È infondata la questione di legittimità costituzionale dell’art. 1, comma 261, della legge n. 145  del 2018, sollevata, in riferimento agli artt. 42 e 117,  primo  comma,  Cost., quest’ultimo  in  relazione  all’art.  6  della  Convenzione per  la salvaguardia dei diritti dell’uomo  e  delle  libertà  fondamentali, firmata a Roma il 4 novembre 1950, ratificata e resa esecutiva con legge 4 agosto 1955, n.  848,  dalla Corte  dei  conti,  sezione giurisdizionale regionale per la Toscana (6).

La sentenza della Corte Costituzionale del 22 ottobre 2020, n. 234, che decide le questioni di legittimità costituzionale proposte da vari giudici sulle norme della legge di bilancio per il triennio 2019 – 2021 che prevedono la riduzione dell’indicizzazione delle pensioni e la decurtazione del taglio dei trattamenti previdenziali di importo elevato per la durata di cinque anni, è pubblicata sulla Gazzetta Ufficiale, 1^ serie speciale, 11 novembre 2020, n. 46. Si riportano le sue massime per pubblicare di seguito il commento dell’avv. Alessandro De Stefano.

 

————————————

 

“Taglio” e svalutazione delle pensioni tra politica, economia e diritto

(note a margine della sentenza della Corte Costituzionale del 9 novembre 2020, n. 234)

 

Abstract – 1. Il “contributo” della Consulta alla inversione delle spinte espansionistiche della spesa pubblica – 2. Diritti e costituzione – 3. La legittimità costituzionale della svalutazione dei trattamenti pensionistici – 4.  Il “taglio” delle pensioni: una misura di solidarietà sociale “interna” al “circuito previdenziale”? – 5. Un problema irrisolto: la costituzionalità dell’iter di formazione della legge di bilancio 2019 e dell’approvazione delle norme recanti il “taglio” dei trattamenti previdenziali – 6. I profili di legittimità della riduzione dei trattamenti previdenziali, considerata come “prestazione patrimoniale imposta” – 7. Considerazioni conclusive.

 

Abstract – La sentenza in esame – che conferma un orientamento ingiustamente sfavorevole all’intervento in giudizio di parti cointeressate – sembra travalicare i limiti del giudizio di stretta legittimità delle norme censurate, per assumere funzioni di conciliazione di principi costituzionali, equilibri politici ed esigenze di stabilità economica. In particolare, non sembrano condivisibili le giustificazioni dell’ennesimo “raffreddamento” della rivalutazione delle pensioni di importo superiore a tre volte il minimo INPS, che tende ad assumere natura permanente e sembra finalizzato a coprire costi della manovra economica, che dovrebbero essere posti a carico della fiscalità generale. Parimenti, non sembra convincente l’avallo prestato alla riduzione dei trattamenti previdenziali di importo elevato, che contraddice i principi enunciati con la precedente sentenza n. 173/2016: per un verso la sentenza dell’Alta Corte non considera i profili (in realtà non prospettati da alcun remittente) che riguardano la sostanziale violazione delle regole del confronto parlamentare, in relazione ad una normativa imposta dalla maggioranza di governo in base ad un patto politico di legislatura; per altro verso essa lascia aperta la necessità di verificare se il principio della solidarietà sia correttamente abbinato a quelli dell’uguaglianza e della capacità contributiva, o se rappresenti piuttosto una mera enunciazione, che finisce per accrescere la discrezionalità del legislatore, a discapito della stabilità e dell’effettività dei principi costituzionali.

 

  1. Il “contributo” della Consulta alla inversione delle spinte espansionistiche della spesa pubblica

 

Con la sentenza del 22 ottobre – 9 novembre 2020, n. 234, la Corte Costituzionale ha presumibilmente posto la parola “fine” al vasto contenzioso che si è sviluppato per effetto del “taglio” delle pensioni “d’oro” e della riduzione dell’adeguamento dei trattamenti previdenziali al maggior costo della vita, disposti dall’art. 1, commi 260 e ss., della l. 31 dicembre 2018, n. 145 (recante l’approvazione del bilancio di previsione dello Stato per l’anno finanziario 2019 e del bilancio pluriennale per il triennio 2019-2021). Si potrebbe sostenere che si è trattato di una soluzione rapida ed apparentemente salomonica: sì al rinnovato “raffreddamento” dell’indicizzazione dei trattamenti previdenziali, e sì (ma solo per tre anni, anziché per cinque) alla nuova riduzione delle pensioni di importo elevato, disposte dalle norme in esame (fatta salva – avverte la Corte – la potestà del legislatore di riesaminare la situazione e di adottare nuove misure analoghe a conclusione del triennio, in considerazione della situazione economica del momento).

 

Il leit motiv della sentenza è rappresentato dalla necessità di bilanciare il diritto alla pensione con le esigenze di contenimento della spesa pubblica: questo bilanciamento costituisce infatti il fattore che giustifica il raffreddamento dell’indicizzazione e la riduzione dei trattamenti previdenziali “elevati”, anche se nei soli limiti temporali della manovra economica che costituisce oggetto della legge di bilancio. Si tratta di una pronuncia che si colloca nel solco di una sempre più accentuata tendenza della giurisprudenza costituzionale, sulla quale aveva fatto affidamento il Governo al momento di sottoporre all’approvazione del Senato le norme censurate, incluse all’interno di unico articolo composto di 1.143 commi (il cd. “maxi-emendamento”) presentato in data 23 dicembre 2018, in sostituzione del testo della manovra di bilancio già approvato dalla Camera [1]. La relazione di accompagnamento, dopo aver richiamato le sentenze che osterebbero all’adozione di misure di tal genere, ha infatti evidenziato che “a partire dalla seconda metà degli anni ’80, la Corte fornisce il proprio contributo per invertire le spinte espansionistiche insite nel sistema, valorizzando il principio del bilanciamento complessivo degli interessi costituzionali nel quadro delle compatibilità economiche e finanziarie” [2]. In questa prospettiva, i diritti economici individuali sono meritevoli di tutela, se e nella misura in cui risultano compatibili con le contingenze economiche.

A dire il vero, in questo caso il “contributo” della Corte Costituzionale al contenimento della spesa pubblica appare anche più consistente di quello fornito in precedenti circostanze analoghe: se le statuizioni relative alla nuova riduzione dell’indicizzazione si limitano a reiterare, in base alle stesse argomentazioni già adottate con precedenti sentenze, le analoghe misure periodicamente disposte nel passato [3], le motivazioni che interessano il “taglio” dei trattamenti previdenziali danno un ulteriore “giro di vite” all’indirizzo intrapreso con la giurisprudenza più recente. Invero, con la precedente sentenza del 13 luglio 2016, n. 173, la Corte aveva sì dichiarato legittima la riduzione disposta per il triennio 2014-2016 dall’art. 1, comma 486, della l. 27 dicembre 2013, n. 147, invertendo il contrario orientamento espresso dall’ancor precedente sentenza del sentenza del 5 giugno 2013, n. 116, che aveva dichiarato l’incostituzionalità del “taglio” disposto dall’art. l’art. 18, comma 22 bis, del d.l. 6 luglio 2011, n. 98 [4]; in quella circostanza, tuttavia, la Corte si era premurata di porre numerosi “paletti”, ostativi alla reiterazione di una simile misura, precisando che essa può essere ammessa solo se “non ecceda i limiti entro i quali è necessariamente costretta in forza del combinato operare dei principi, appunto, di ragionevolezza, di affidamento e della tutela previdenziale (artt. 3 e 38 Cost.), il cui rispetto è oggetto di uno scrutinio ‘stretto’ di costituzionalità, che impone un grado di ragionevolezza complessiva ben più elevato di quello che, di norma, è affidato alla mancanza di arbitrarietà”.

Sulla base di questi presupposti, con l’ultima sentenza la Consulta aveva specificato che un prelievo sugli emolumenti pensionistici: (i) “deve operare all’interno dell’ordinamento previdenziale, come misura ‘forte’, mirata a puntellare il sistema pensionistico, e di sostegno previdenziale ai più deboli […] siccome imposta da una situazione di grave crisi del sistema stesso […], in modo da conferire all’intervento quella incontestabile ragionevolezza, a fronte della quale soltanto può consentirsi di derogare (in termini accettabili) al principio di affidamento in ordine al mantenimento del trattamento pensionistico già maturato (sentenze n. 69 del 2014, n. 166 del 2012, n. 302 del 2010, n. 446 del 2002, ex pluribus)”; (ii) “costituisce […] una misura del tutto eccezionale, nel senso che non può essere ripetitivo e tradursi in un meccanismo di alimentazione del sistema di previdenza”; (iii) “deve essere contenuta in limiti di sostenibilità e non superare livelli apprezzabili: per cui le aliquote di prelievo non possono essere eccessive e devono rispettare il principio di proporzionalità”.  Sulla base di questi presupposti, con quella precedente sentenza aveva avvertito, “in definitiva”, che una riduzione dei trattamenti previdenziali, “per superare lo scrutinio ‘stretto’ di costituzionalità e palesarsi dunque come misura improntata effettivamente alla solidarietà previdenziale (artt. 2 e 38 Cost.), deve: operare all’interno del complessivo sistema della previdenza; essere imposto dalla crisi contingente e grave del predetto sistema; […]; presentarsi come prelievo sostenibile; rispettare il principio di proporzionalità; essere utilizzato come misura ‘una tantum’”.

Sulla base di questo prossimo precedente, i giudici remittenti, recependo le censure ordinariamente proposte dai ricorrenti, avevano dubitato della legittimità di questo rinnovato “taglio” dei trattamenti pensionistici, perché nel caso di specie non sembra ravvisabile nessuna delle condizioni a cui esso dovrebbe essere subordinato, in base alle regole elaborate dalla stessa Corte Costituzionale. Ed invero, il nuovo prelievo: a) non sembra ricompreso “nel circuito previdenziale”, perché i risparmi attesi non hanno una specifica destinazione e non sono perciò connessi ad una corrispondente riduzione di contributi a carico di altre categorie di pensionati; b) non sembra giustificato da una grave crisi del sistema previdenziale in senso stretto [che appare anzi in sostanziale equilibrio, grazie anche ai primi effetti delle riforme di lungo periodo introdotte dalla l. n. 335/1995 (cd. “riforma Dini”) e dalla l. 214/2011 (cd. “riforma Monti-Fornero”)], ma si inserisce in una manovra “espansiva”, perché tende a finanziare le nuove spese previste dai precedenti commi 255 e 256  dello stesso articolo per il “reddito di cittadinanza” e l’esodo anticipato di alcune categorie di lavoratori (cd. “quota 100”); c) non sembra sorretto da “incontestabile ragionevolezza”, perché nasconde finalità politiche e pone a carico della sola categoria dei pensionati (ancorché di rango “elevato”) i nuovi aumenti della spesa pubblica disposti dalla legge di bilancio; d) non costituisce una misura una tantum, ma reitera ed aggrava, per importi e per durata, la precedente decurtazione.

Con la sentenza in esame la Corte Costituzionale supera queste limitazioni. A proprio avviso, “occorre chiarire che le condizioni di necessità, sostenibilità, proporzionalità e temporaneità (ulteriori rispetto alla già esaminata condizione della destinazione endo-previdenziale del prelievo), cui la sentenza stessa subordina la legittimità dei contributi straordinari sulle pensioni di elevato importo, devono essere intese come criteri di giudizio da applicare alla luce delle circostanze concrete e delle reciproche interazioni, nell’ambito di una valutazione complessiva dominata dalle ragioni di necessità, più o meno stringenti, indotte dalle esigenze di riequilibrio e sostenibilità del sistema previdenziale”.

Più che di un “chiarimento”, si tratta di un passo in avanti verso la destrutturazione dei diritti pensionistici e, più in generale, dei diritti economici riconosciuti dallo Stato sociale: se con la precedente sentenza n. 173/2016 il “taglio” era stato ammesso in via del tutto eccezionale ed una volta soltanto, con l’odierna pronuncia esso trova legittimazione ogni qualvolta lo richieda la situazione economica; se prima era lecito prelevare una parte delle pensioni più elevate per fronteggiare le difficoltà di una specifica gestione previdenziale in difficoltà, ora il prelievo può essere anche accantonato in attesa di ricevere una sua destinazione all’interno del bilancio dell’Ente di previdenza, allorché si decida di incrementare la spesa pubblica con l’introduzione di nuove misure di sostegno sociale.

A tranquillizzare i pensionati “d’oro” non basta il fatto che il “taglio” è stato ammesso per un solo triennio, piuttosto che per l’intero quinquennio a cui si riferiva la norma censurata. La delimitazione del periodo di efficacia della misura non è motivata con esigenze di tutela di un diritto costituzionale, ma con l’opportunità di correggere la più manifesta asimmetria della norma, che – estendendo la riduzione dei trattamenti previdenziali fino a cinque anni – si proiettava oltre l’arco triennale della manovra finanziaria (anni 2018-2021), che costituisce oggetto della legge di bilancio. Si trattava di una anomalia che, insieme ad altri fattori (quali il diffuso dibattito politico che ha preceduto l’approvazione della norma [5], l’inclusione della misura nel “contratto di governo” stipulato dai partiti della maggioranza, la mancanza di una specifica destinazione dei risparmi attesi, l’estensione del “taglio” alle pensioni erogate dagli organi costituzionali, l’analogia della misura con il contestuale “taglio” dei vitalizi dei parlamentari e dei consiglieri regionali), avrebbe dovuto svelare che le disposizioni in esame non avevano effettiva attinenza con la manovra di bilancio, ma avevano una matrice di carattere ideologico, che vi attribuiva una natura tipicamente espropriativa.

Con il suo intervento correttivo, la Corte Costituzionale ha depurato le norme censurate da questo vizio originale e vi ha attribuito una funzione coerente con la legge di bilancio, in cui sono inserite; ha poi sostenuto che esse devono ritenersi costituzionalmente legittime, estendendo il significato e la portata delle regole dettate dalla sua precedente giurisprudenza in materia. Il “chiarimento” porta il diritto alla pensione su un piano sempre più inclinato ed apre le porte ad ulteriori “tagli” futuri, che potrebbero avere carattere anche più incisivo e potrebbero coinvolgere anche fasce diverse da quelle sino ad ora interessate. Eliminati i “paletti” stabiliti in precedenza, la Corte Costituzionale – senza dirlo espressamente – mostra di ritenere che il diritto al trattamento pensionistico sia un diritto “condizionato” o “affievolito”: un diritto “cedevole”, che può trovare tutela costituzionale solo per quanto attiene all’ an, e non pure per quel che riguarda il quantum; un diritto che non può essere abrogato, ma che può essere liberamente ridotto dal legislatore, secondo le sue discrezionali determinazioni ed in considerazione del complessivo stato dell’economia nazionale, con il solo ed incerto limite che non si tratti di scelte manifestamente irragionevoli e/o discriminatorie.

  1. Diritti e costituzione

La sentenza in esame suscita vari interrogativi, sia sotto il profilo procedurale che con riguardo alle statuizioni di merito. Sotto il primo profilo, desta perplessità la determinazione della Corte Costituzionale di estromettere dal giudizio i soggetti intervenuti, che – pur non avendo la qualità di parti nei giudizi dinanzi ai giudici remittenti – avevano una posizione sostanziale e processuale del tutto identica; nel merito, appare opinabile la tendenza ad adottare interpretazioni flessibili che, anziché garantire la stabilità dei principi costituzionali, sembrano finalizzati a favorire gli equilibri politici ed economici.

La prima questione incide sull’estensione dei diritti di difesa. A tal riguardo, occorre evidenziare che moltissimi pensionati, dalle norme in esame, hanno ritenuto di agire in sede giurisdizionale avverso la decurtazione dei propri diritti, sollevando svariate eccezioni di legittimità costituzionale; tuttavia, solo pochi di essi hanno avuto il privilegio di ottenere un’ordinanza di rimessione al Giudice delle leggi e di accedere al giudizio di costituzionalità. La massa del contenzioso è rimasto in stato di sospensione dinanzi ai giudici di merito, nella attesa che la Consulta si pronunciasse nei giudizi incidentali pendenti dinanzi a sé. In via di fatto, le ordinanze di rimessione intervenute hanno costituito un argine, che ha bloccato un più approfondito ed articolato dibattito processuale su tutte le questioni prospettate nei vari giudizi diffusi in sede di merito ed ha impedito il più ampio esercizio dei diritti di difesa delle parti di questi giudizi.

Questo inconveniente avrebbe potuto essere superato, almeno in parte, se si fosse consentito a questi soggetti di intervenire nei giudizi incidentali pendenti e di avvalersi – se non di tutte le eccezioni di incostituzionalità proposte nelle cause da essi attivate – quanto meno di quelle che hanno costituito oggetto delle ordinanze di rimessione medio tempore intervenute. La Corte Costituzionale ha precluso questa possibilità, riaffermando i suoi tradizionali indirizzi restrittivi in merito all’intervento nei giudizi di costituzionalità.

Si tratta di un’occasione mancata per favorire un più effettivo esercizio dei diritti di difesa ed una maggiore apertura del giudizio costituzionale alle istanze della società civile, in fedele applicazione dell’art. 4, comma 7, delle “Norme integrative per i giudizi davanti alla Corte costituzionale”, così come modificato con delibera 8 gennaio 2020 [5], che così recita: “Nei giudizi in via incidentale possono intervenire i titolari di un interesse qualificato, inerente in modo diretto e immediato al rapporto dedotto in giudizio”. Del resto, la più recente giurisprudenza costituzionale consentiva di cogliere alcuni segnali in questo senso, perché in altra occasione la Corte aveva ammesso l’intervento di soggetti che, pur estranei al giudizio dinanzi al giudizio remittente, avrebbero subito un danno irrimediabile in caso di accoglimento della questione di costituzionalità proposta dinanzi a sé [6].

Con le determinazioni assunte nella presente causa la Consulta assume un orientamento ambivalente: il novellato art. 4, comma 7, delle “Norme integrative” consentirebbe l’intervento ai soli soggetti che certant de damno vitando ed invocano il rigetto della questione proposta, e non pure a quelli che invocano una pronuncia di incostituzionalità per tutelare i diritti lesi dalla norma censurata. In altri termini, l’intervento è ammesso solo quando si richieda il rigetto della questione prospettata, e non pure quando se ne chieda l’accoglimento. In questo modo, coloro che abbiano proposto un’analoga azione giurisdizionale, che sia rimasta sospesa in attesa dell’esito di un giudizio incidentale di costituzionalità già pendente in relazione alla stessa norma, sono pregiudicati due volte nell’esercizio del proprio diritto di difesa: una prima volta, perché la pendenza di un giudizio incidentale di costituzionalità sulle stesse questioni che costituiscono oggetto della causa, ha finito per precludere l’esame delle sue censure, che avrebbe dovuto consentire l’accesso alla Corte Costituzionale [7]; una seconda volta, per non aver potuto partecipare a tale giudizio, in adesione alle tesi espresse nelle ordinanze di remissione che hanno pregiudicato il regolare corso delle proprie cause [8].

Ma le maggiori riserve riguardano il ruolo che la Corte Costituzionale sembra assumersi nella vicenda, con la sua inclinazione verso interpretazioni evolutive che tendano a conciliare scelte politiche, problemi economici e tutela dei diritti. La Corte reinterpreta la volontà del legislatore, trasfigurando un provvedimento ispirato da una chiara matrice ideologica in una misura asseritamente ispirata a principi di solidarietà sociale; corregge il contenuto dispositivo della norma, riducendo il periodo della sua efficacia e riconducendola nell’ambito della manovra economica, che forma oggetto della legge in cui è inserita; sotto le sembianze del “chiarimento” della precedente giurisprudenza, detta nuove regole costituzionali sui diritti previdenziali, subordinandone la tutela alla loro compatibilità con le esigenze della spesa pubblica, secondo scelte discrezionali affidate al legislatore.

Sembra che in tal modo la Corte Costituzionale si sia attribuita un ruolo di mediazione tra forze politiche, istanze sociali ed esigenze economiche, attraverso l’elaborazione creativa delle regole che possano meglio adattarsi alle contingenze. Si direbbe che abbia avvertito la mancanza di stabilità degli attuali assetti di governo e che tenda a supplire alla precarietà degli equilibri esistenti con un’azione che richiami i valori della solidarietà sociale e favorisca il contemperamento tra diritti individuali ed interessi pubblici.

Si ritiene tuttavia che tale ruolo non si addice alla Corte Costituzionale, quale garante della stabilità dei principi fondamentali dell’ordinamento giuridico, che rappresentano l’ineludibile limite alla discrezionalità del legislatore. La certezza delle regole costituzionali, alle quali l’intero sistema normativo deve conformarsi, costituisce la condizione essenziale del rispetto dei diritti individuali assicurati dalla Carta fondamentale dell’ordinamento. Interpretazioni evolutive e flessibili, che adattano i principi fondamentali alle mutevoli situazioni emergenti dalla realtà sociale, implicano l’incertezza e l’instabilità delle posizioni giuridiche soggettive e pongono a repentaglio i diritti fondamentali, che la Costituzione dovrebbe invece garantire.

  1. La legittimità costituzionale della svalutazione dei trattamenti pensionistici

Le argomentazioni addotte dalla sentenza in esame per dichiarare costituzionalmente legittime le norme censurate, non appaiono peraltro immuni da critiche. Desta perplessità, in primo luogo, il favore espresso per l’ennesimo “raffreddamento” dell’indicizzazione delle pensioni.

La Corte riconosce, in via di principio, che “nella prospettiva dell’art. 38, secondo comma, Cost.” l’indicizzazione è uno “strumento volto a garantire l’adeguatezza dei trattamenti, dei quali salvaguarda il valore reale”; che essa è “altresì funzionale all’attuazione dei principi di sufficienza e proporzionalità della retribuzione, sanciti dall’art. 36, primo comma, Cost.”; che “sussiste un limite di ordine temporale, perché ‘la sospensione a tempo indeterminato del meccanismo perequativo, ovvero la frequente reiterazione di misure intese a paralizzarlo, esporrebbe il sistema ad evidenti tensioni con gli invalicabili principi di ragionevolezza e proporzionalità’”; che “anche le pensioni di maggior consistenza ‘potrebbero non essere sufficientemente difese in relazione ai mutamenti del potere di acquisto della moneta’ […], anche in considerazione dell’effetto di ‘trascinamento’, che rende sostanzialmente definitiva una perdita temporanea del potere di acquisto del trattamento di pensione […]”; che “la discrezionalità legislativa deve osservare un vincolo di ragionevolezza, innestato su un ‘progetto di eguaglianza sostanziale, conforme al dettato dell’art. 3, secondo comma, Cost.’”; che “per giustificare il sacrificio dell’interesse dei pensionati alla conservazione del potere di acquisto degli assegni […], occorre una motivazione sostenuta da valutazioni della situazione finanziaria basate su dati oggettivi”.

In via di fatto, tuttavia, questi principi sono erosi, se non contraddetti, dalla determinazione di reiterare una volta di più la riduzione del meccanismo di adeguamento delle pensioni al diminuito potere di acquisto della moneta, così da rendere il trattamento previdenziale sempre meno proporzionato alla qualità ed alla quantità di lavoro svolto nel periodo di servizio. A sostegno di questa scelta si adducono argomenti quali: l’insussistenza di un rigido rapporto di proporzionalità tra retribuzione e pensione; la semplice riduzione, e non l’azzeramento, del meccanismo di indicizzazione; l’insufficienza delle risorse finanziarie (nonostante il carattere “espansivo” della manovra); l’asserita maggiore “resistenza” delle pensioni più elevate (che pure subiscono un blocco più elevato) agli effetti dell’inflazione; la previsione di una tendenza alla stabilità dei prezzi nel periodo interessato (ancorché investito dalla più grave crisi economica del dopoguerra); l’esigenza di scrutinare volta per volta la razionalità e l’opportunità della riduzione, in relazione alle condizioni della finanza pubblica, da desumere da “dati oggettivi”.

Secondo la sentenza in esame, il “dato oggettivo” che nel caso di specie giustifica la reiterata falcidia del valore reale degli assegni pensionistici, sarebbe rappresentato dall’esigenza di finanziare il “fondo per la revisione del sistema pensionistico attraverso l’introduzione di ulteriori forme di pensionamento anticipato e misure per incentivare l’assunzione di lavoratori giovani”, istituito dall’art. 1, comma 256, della stessa legge n. 145 del 2018. Pertanto, “il raffreddamento della rivalutazione automatica dei trattamenti pensionistici di elevato importo è stato disposto con una finalità di concorso agli oneri di finanziamento di un più agevole pensionamento anticipato, considerato funzionale al ricambio generazionale dei lavoratori attivi”.

L’iter argomentativo rivela che la questione non è governata da solidi principi costituzionali. La regola generale, che si ispira alla tutela del lavoro e della retribuzione, può essere derogata per esigenze eccezionali che possono essere definite caso per caso e che tendono ad assumere carattere permanente. Ciò equivale alla mancanza di principi stabili, che sono sostituiti da valutazioni di opportunità che sono tipiche dell’attività politica. Nel concreto, al di là delle parole e degli argomenti utilizzati, si manifesta una tendenza al compromesso, per la quale all’aumento dell’età media della vita e della durata del trattamento previdenziale si contrappone una progressiva erosione del valore reale della pensione in godimento.  

Si può pure ammettere che la soluzione accolta dalla sentenza in esame sia espressione di un sano empirismo. Sotto il profilo degli astratti principi, rimangono però irrisolte varie questioni di legittimità costituzionale:

  1. in primo luogo, rimane da chiedere se sia giusto provvedere alla parziale copertura degli oneri relativi alle disposte misure di pensionamento anticipato e di ricambio generazionale facendo ricorso solo alla riduzione del valore reale delle pensioni e senza affatto incidere sulle altre tipologie di redditi, ovvero se una simile determinazione non si ponga piuttosto in contrasto con il principio di uguaglianza affermato dall’art. 3 Cost.;
  2. in secondo luogo, occorre stabilire se sia conforme al principio di ragionevolezza l’imposizione di una misura pregiudizievole con effetti permanenti (qual è la riduzione dell’indicizzazione, che si riflette anche sulle rivalutazioni future) per far fronte ad una esigenza di natura temporanea (qual è l’anticipazione del pensionamento, per un periodo limitato, di una particolare fascia di lavoratori);
  3. in terzo luogo, si deve accertare se i costi che la misura in esame si propone di coprire – che la Corte limita a quelli per il pensionamento anticipato disposto dal precedente comma 256, ma che dovrebbero logicamente estendersi anche quelli relativi al “reddito di cittadinanza” disposto dal comma 255 a beneficio delle persone indigenti – non costituiscono parte della spesa pubblica, che dovrebbe essere finanziata con ricorso alla fiscalità generale, piuttosto che con l’imposizione di un sacrificio di crescente intensità a carico della sola categoria dei pensionati, nel rispetto dei principi contenuti nell’art. 53 della Costituzione [9].

4. Il “taglio” delle pensioni: una misura di solidarietà sociale “interna” al “circuito previdenziale”?

 Ancor più opinabili appaiono le ragioni che giustificherebbero il “taglio” delle pensioni di importo elevato. La Corte sostiene che questa misura non costituisce uno strumento di finanziamento della spesa pubblica per la cura di interessi di carattere generale, ma rappresenta piuttosto una prestazione patrimoniale imposta per motivi di solidarietà, operante all’ “interno” del sistema previdenziale; per tale ragione, sarebbe legittimo accollare l’onere su una ristretta cerchia di pensionati, non trovando applicazione il principio della universalità del prelievo fiscale [10]. Questa tesi si radica sulle previsioni del comma 265 della norma censurata, secondo cui i risparmi realizzati rimangono depositati nel bilancio dell’Ente che eroga il trattamento previdenziale.

4.1. Si è già osservato che la Corte Costituzionale sembra trasfigurare la ratio della disposizione, attribuendovi una funzione solidaristica che appare obiettivamente estranea all’effettivo intento del legislatore. Costituisce fatto notorio, perché testimoniato dal lungo dibattito politico e dalla diffusa propaganda elettorale che hanno preceduto l’adozione del provvedimento, che il “taglio” delle pensioni elevate è stato voluto per asserite ragioni di giustizia distributiva, nel presupposto che esse costituissero un ingiusto privilegio da eliminare [11].

Questa matrice è rivelata non solo dalle pubbliche esternazioni dei leader politici che hanno accompagnato l’approvazione della misura, ma anche da numerosi elementi ermeneutici contenuti nelle norme censurate (quali la durata quinquennale della riduzione, corrispondente alla durata della legislatura piuttosto che all’arco temporale della manovra di bilancio; la mancanza di specifica destinazione delle somme risparmiate; l’estensione del “taglio” ai dipendenti degli organi costituzionali; l’analogia con il “taglio” dei vitalizi dei consiglieri regionali, disposta per analoghe finalità ideologiche dei commi da 965 a 967 dello stesso art. 1 della l. n. 145/2018). Se avesse colto l’effettiva ratio della disposizione in esame, la Corte avrebbe dovuto riconoscere la sua natura espropriativa, piuttosto che solidaristica, ed avrebbe dovuto dichiararne l’incostituzionalità per violazione artt. 42 e 117 Cost. e dell’art. 1 del prot. add. alla CEDU.

4.2. A conclusioni non dissimili si sarebbe pervenuti, se fossero stati presi in adeguata considerazione i lavori preparatori. Gli atti di interlocuzione tra Governo italiano e Commissione europea ed i documenti di accompagnamento redatti dagli Uffici studi parlamentari e dal Ministero dell’Economia e delle Finanze, includono la misura di cui trattasi tra gli elementi di saldo della finanza pubblica e la collocano quindi nell’ambito del bilancio complessivo dello Stato. In particolare, la relazione tecnica pone in evidenza che il risparmio della spesa previdenziale, determinato dal taglio delle pensioni di importo più elevato, è maggiore della riduzione delle entrate tributarie, determinata dalla corrispondente diminuzione del reddito dei soggetti colpiti) [12]; il documento del dicembre 2018, denominato “Aggiornamento del quadro macroeconomico e di finanza pubblica”, afferma inoltre che si tratta di “misure correttive […] in un’ottica di alleggerimento dei saldi” [13], come conferma il Dossier della XVIII legislatura denominato “Manovra di bilancio 2019-2021 – Effetto su saldi e conto risorse ed impieghi”, nel quale i risparmi di cui trattasi sono compresi tra le misure emendative che ridefiniscono il quadro macro-economico del bilancio dello Stato nel triennio 2019-2021 [14].

In buona sostanza, i documenti di documentazione e prassi impongono di ritenere che le ritenute effettuate sulle pensioni erogate dall’INPS non costituiscono una semplice “partita di giro” tra le varie gestioni previdenziali ad esso affidate, ma rientrano nel bilancio complessivo dello Stato. Si tratta di una impostazione di indubbia esattezza, in quanto il beneficio che esse comportano per il bilancio dell’Ente di previdenza si traduce in una corrispondente riduzione del concorso dello Stato al finanziamento della propria spesa ed implica il miglioramento del bilancio statale consolidato, nel quale il bilancio dell’INPS rientra, ai sensi dell’articolo 18 del decreto legislativo 31 maggio 2011, n. 91.

In questo quadro interpretativo, il “taglio” effettuato appare contrario ai principi costituzionali per ragioni perfettamente sovrapponibili a quelle enunciate dalla Consulta nella citata sentenza n. 116/2013. Invero, ricorrono tutti gli elementi per individuare un’obbligazione di natura tributaria: a) una definitiva decurtazione patrimoniale a carico dei destinatari del provvedimento; b) l’invarianza del rapporto sinallagmatico; c) la destinazione delle risorse derivanti, che devono essere connesse ad un presupposto economicamente rilevante, al sostegno della spesa pubblica. In base a questi presupposti, avrebbe dovuto trovare applicazione il noto principio per cui “la Costituzione non impone affatto una tassazione fiscale uniforme, con criteri assolutamente identici e proporzionali per tutte le tipologie di imposizione tributaria; ma esige invece un indefettibile raccordo con la capacità contributiva, in un quadro di sistema informato a criteri di progressività, come svolgimento ulteriore, nello specifico campo tributario, del principio di eguaglianza, collegato al compito di rimozione degli ostacoli economico-sociali esistenti di fatto alla libertà ed eguaglianza dei cittadini-persone umane, in spirito di solidarietà politica, economica e sociale (artt. 2 e 3 della Costituzione)” (Corte Cost., sentenza n. 341 del 2000). La Corte avrebbe dovuto perciò verificare se nel caso di specie possano ritenersi rispettati i principi contenuti nell’art. 53 Cost., da considerare come specificazione del fondamentale principio di uguaglianza di cui all’art. 3 Cost., che impongono di esprimere “un giudizio sull’uso ragionevole, o meno, che il legislatore stesso abbia fatto dei suoi poteri discrezionali in materia tributaria, al fine di verificare la coerenza interna della struttura dell’imposta con il suo presupposto economico, come pure la non arbitrarietà dell’entità dell’imposizione” (Corte Cost., sentenza n. 111 del 1997).

4.3. La Corte Costituzionale ha disatteso sia la tesi del carattere espropriativo, sia quella della natura tributaria della norma censurata; ha optato piuttosto per la diversa ipotesi del “contributo di solidarietà” interno al “circuito previdenziale”, valorizzando la circostanza che i risparmi realizzati rimangono accantonati nel bilancio dell’INPS e degli “altri enti previdenziali interessati”, nella attesa di una specifica destinazione, secondo il disposto del comma 265.

La prospettazione accolta dalla Corte, basata su un argomento puramente formale, non è immune da critiche. Per un verso essa contrasta con le considerazioni svolte in precedenza, che inducono ad attribuire alla ritenuta una natura del tutto diversa; per altro verso, si espone alle considerazioni che seguono.

Occorre considerare, in primo luogo, che la configurazione di un contributo interno al “circuito previdenziale” può valere solo per le pensioni di competenza dell’INPS, che cura svariate gestioni pensionistiche di diverso genere, e non pure per quelle erogate dagli organi costituzionali, alle quali pure si applicano le stesse riduzioni. Questi accantonamenti rimangono in attesa di una destinazione che non può certamente consistere nel sostegno ad altri trattamenti pensionistici all’interno dello stesso circuito. Si perviene quindi all’anomala conclusione che la stessa ritenuta avrebbe natura e finalità diverse, a seconda che sia effettuata dall’INPS o dagli organi costituzionali.

Ma anche se si volessero considerare le sole pensioni INPS, non sembra possibile attribuire rilevanza decisiva al fatto che le somme risparmiate rimangono accantonate nel suo bilancio, al fine di sostenere che si tratta di contributo interno al “circuito previdenziale”. È ben noto, infatti, che la spesa dell’INPS non è destinata solo all’erogazione di pensioni previdenziali (e cioè di trattamenti a regime professionale, maturati a favore dei lavoratori dipendenti collocati a riposo in rapporto al lavoro svolto e/o ai contributi versati), ma è alimentata anche dalla concessione di svariati benefici di natura socio-assistenziali, che soddisfano bisogni pubblici di diverso genere e che, in quanto tali, dovrebbero essere finanziati con il ricorso alla fiscalità generale [15].

Nel primo caso, l’INPS eroga i trattamenti previdenziali attraverso una pluralità di gestioni autonome, che sono finanziate con i contributi dei lavoratori in servizio secondo il metodo “a ripartizione” e sono caratterizzate ciascuna da proprie problematiche e discipline; nel secondo, l’Istituto elargisce ope legis prestazioni di natura interamente assistenziale (invalidità civile, accompagnamento, assegni sociali, pensioni di guerra) e prestazioni tipicamente assistenziali, integrative di una pensione previdenziale (integrazioni al trattamento minimo, maggiorazioni sociali, importo aggiuntivo e quattordicesima mensilità), avvalendosi dell’intervento pubblico realizzato attraverso la “Gestione Interventi Assistenziali” (GIAS), istituita ai sensi dell’art. 37, comma 3, lett. d), della l. 88/1989.

Allorché fa riferimento al bilancio complessivo dell’INPS, la Corte Costituzionale adotta una nozione “ibrida” o “allargata” di “circuito previdenziale”, che comprende funzioni eterogenee: le pensioni professionali da un lato, e le pensioni sociali ed altri molteplici sussidi pubblici da un altro. In tali circostanze, in mancanza di qualsiasi vincolo di destinazione, non si può affatto stabilire se le somme prelevate sui trattamenti pensionistici di importo “elevato” saranno utilizzate per riequilibrare i conti di eventuali gestioni passive, secondo il criterio della solidarietà inter-previdenziale cui la Corte Costituzionale si riferisce, o serviranno piuttosto a finanziare la spesa socio-assistenziale ed a soddisfare bisogni a carattere generale, che interessano l’intera società civile e dovrebbero essere perciò soddisfatti mediante l’intervento pubblico, con oneri a carico di tutta la collettività.

È anzi ragionevole che l’effettiva destinazione del prelievo in esame dovrebbe consistere nella copertura di quest’ultimo genere di spesa, in quanto gli attuali squilibri della situazione finanziaria dell’INPS sono ascrivibili nella quasi interezza alla crescente spesa assistenziale, che negli ultimi tempi ha registrato una forte evoluzione sul piano normativo ed applicativo, estendendo il suo raggio di azione a settori sempre più ampi della vita di relazione (come dimostra l’introduzione del “reddito di cittadinanza”, disposto dal comma 255 dello stesso articolo della legge di bilancio in discussione). Viceversa, le gestioni previdenziali si presentano in tendenziale equilibrio e potranno ulteriormente migliorare la propria situazione nel prossimo futuro per effetto dei maggiori benefici derivanti dalle riforme di lungo termine adottate negli ultimi 25 anni.

Da tutto ciò deriva, in estrema sintesi, che il solo fatto che le ritenute effettuate rimangano accantonate nei bilanci dell’INPS non implica affatto che appartengano al “circuito previdenziale” in senso proprio ed abbiano effettivamente il carattere di un “contributo di solidarietà” interno a tale sistema; al contrario, non si può affatto escludere la configurabilità di un contributo di natura tributaria, perché è possibile (ed è anzi probabile) che le ritenute effettuate siano destinate alla copertura della spesa socio-assistenziale, che dovrebbe essere posta a carico della finanza pubblica. La qualificazione del prelievo come “contributo di solidarietà” interno ad “circuito previdenziale”, impropriamente identificato con l’intero bilancio dell’INPS, comporta dunque una forma di elusione dei principi di universalità e di capacità contributiva insiti nell’art. 53 Cost.

Per tutte queste ragioni, la qualificazione della fattispecie non convince. Il “contributo interno al circuito previdenziale” non può costituire la formula magica per giustificare ogni decurtazione dei diritti dei pensionati, ancorché dotati di un assegno elevato, entro gli incerti limiti della “ragionevolezza” ed ogni qual volta lo suggeriscano le contingenze economiche. Si tratta di un pericoloso “tunnel”, scavato nella imprecisata area delle “prestazioni patrimoniali” delineata dall’art. 23 Cost., che tende ad aggirare i principi di tutela del lavoro, di uguaglianza sostanziale e di capacità contributiva.

  1. Un problema irrisolto: la costituzionalità dell’iter di formazione della legge di bilancio 2019 e dell’approvazione delle norme recanti il “taglio” dei trattamenti previdenziali

Se pure si volesse ammettere che la riduzione dei trattamenti previdenziali di importo elevato debba essere collocata nell’ambito delle prestazioni patrimoniali consentite dall’art. 23 della Costituzione, non tutti i problemi di costituzionalità potrebbero considerarsi risolti. La sentenza in esame lascia viceversa insoluti i problemi di ordine procedimentale e suscita nuovi interrogativi di carattere sostanziale.

Fino ad ora, nessun giudice di merito ha ritenuto di sottoporre all’esame della Corte Costituzionale la questione della conformità dell’iter di approvazione della legge in esame alle regole stabilite dalla Carta fondamentale. Poiché tale iter non appare affatto ineccepibile, occorre dedurre che sussiste ormai la tendenza ad acquietarsi passivamente alle logiche procedurali elaborate dalla prassi, senza prestare eccessiva attenzione alle forme astrattamente previste. Si tratta di una tendenza pericolosa, nella misura in cui le forme regolamentari sono espressione di fondamentali equilibri istituzionali, che garantiscono il rispetto del sistema parlamentare, fondato sui diritti delle opposizioni e dei singoli parlamentari.

La storia della legge che reca le norme censurate è ben nota. Si tratta della legge finanziaria per il triennio 2019-2021 (e, cioè, della legge di maggiore importanza dell’anno, circondata – come tale – da speciali guarentigie), che è stata presentata alla Camera il 31 ottobre 2018, discussa in Commissione ed approvata dall’Assemblea in prima lettura nella seduta dell’8 dicembre 2018 (cfr. A.C. 1334). In occasione del successivo passaggio al Senato, l’impianto della manovra economica è stato stravolto da un maxi-emendamento, costituito da un unico articolo composto da 1.143 commi, presentato dal Governo nel giorno stesso della discussione in aula (23 dicembre 2018) con la blindatura di una mozione di fiducia. La legge è stata approvata nel corso della stessa seduta, durata poco più di 12 ore, dopo un breve passaggio in Commissione e con un’unica votazione relativa all’intero maxi-emendamento. Svolgimento sostanzialmente analogo ha avuto il nuovo percorso parlamentare alla Camera, dove la legge è stata definitivamente approvata nella seduta del 28 dicembre 2018, senza una compiuta analisi da parte della Commissione competente e sotto la rinnovata blindatura di una mozione di fiducia.

Se si pretendesse un’applicazione rigorosa delle regole costituzionali, occorrerebbe interrogarsi sulla legittimità di questo iter procedendi con riferimento all’intera legge in cui sono inserite le norme delle quali si discute in questa sede: per un verso, si dovrebbe indagare sul rispetto delle competenze delle Commissioni parlamentari, secondo i regolamenti delle Camere; per altro verso, si potrebbe chiedere se la redazione e l’approvazione di una norma di legge formalmente unitaria, ma composta da innumerevoli disposizioni eterogenee, rispettino in senso sostanziale l’ art. 72, primo comma, Cost., che impone di approvare le leggi “articolo per articolo”.

Ma se pure si volesse prescindere da queste possibili considerazioni di carattere generale, che potrebbero ritenersi ormai superate da prassi correnti e solitamente accettate, rimane da interrogarsi sulla legittimità formale delle specifiche disposizioni relative al “taglio” dei trattamenti previdenziali, alla stregua della determinazione della Corte Costituzionale di ricondurle nell’ambito delle prestazioni patrimoniali disciplinate dall’art. 23 Cost.  Più in particolare, occorre verificare se tali disposizioni possono ritenersi rispettose del principio della riserva di legge contenuto nella norma costituzionale.

La disposizione per cui “nessuna prestazione personale o patrimoniale può essere imposta se non in base alla legge” costituisce espressione di un principio di remote origini, tipico delle democrazie rappresentative, volto a sottrarre al potere esecutivo la potestà di imporre sacrifici ai cittadini sulla base di scelte unilaterali non sorrette dal confronto parlamentare. In precedenti circostanze, la Corte Costituzionale ha sostenuto che “la ratio della riserva di legge di cui all’art. 23 Cost. è contenere la discrezionalità dell’amministrazione e prevenirne gli arbitrii, a garanzia della libertà e proprietà individuale” (Corte Cost., 7 aprile 2017, n. 69, che richiama la precedente sentenza n. 70 del 1960). Infatti, solo attraverso il confronto tra forze di maggioranza e di opposizione, esercitato in sede parlamentare nel rituale procedimento di approvazione delle leggi, si può favorire l’equa ripartizione degli oneri di carattere personale e patrimoniale, limitando il rischio che le forze di governo possano adottare misure diseguali, che colpiscano gli avversari politici o favoriscano le categorie sociali di cui sono espressione.

Con la recente ordinanza dell’8 febbraio 2019, n. 17, inoltre, la stessa Corte Costituzionale ha sottolineato “la necessità che il ruolo riservato dalla Costituzione al Parlamento nel procedimento di formazione delle leggi sia non solo osservato nominalmente, ma rispettato nel suo significato sostanziale”. Occorre, in particolare, che sia assicurato “a tutte le forze politiche, sia di maggioranza sia di minoranza, e ai singoli parlamentari che le compongono, di collaborare cognita causa alla formazione del testo, specie nella fase in commissione, attraverso la discussione, la proposta di testi alternativi e di emendamenti. Gli snodi procedimentali tracciati dall’art. 72 Cost. scandiscono alcuni momenti essenziali dell’iter legis che la Costituzione stessa esige che siano sempre rispettati a tutela del Parlamento inteso come luogo di confronto e di discussione tra le diverse forze politiche, oltre che di votazione dei singoli atti legislativi, e a garanzia dell’ordinamento nel suo insieme, che si regge sul presupposto che vi sia un’ampia possibilità di contribuire, per tutti i rappresentanti, alla formazione della volontà legislativa”. Questi principi assumono particolare enfasi in occasione dell’approvazione della legge di bilancio annuale, “in cui si concentrano le fondamentali scelte di indirizzo politico e in cui si decide della contribuzione dei cittadini alle entrate dello Stato e dell’allocazione delle risorse pubbliche: decisioni che costituiscono il nucleo storico delle funzioni affidate alla rappresentanza politica sin dall’istituzione dei primi parlamenti e che occorre massimamente preservare”.

Nel caso di specie, il principio della riserva di legge affermato dall’art. 23 Cost. è stato rispettato solo in apparenza ed è stato tradito nella sostanza. È vero infatti che le (gravose) misure patrimoniali di cui si discute sono state consacrate con formali norme di legge; è tuttavia altrettanto vero che al Parlamento è stato assegnato il mero compito di procedere ad una passiva ed inconsapevole ratifica delle scelte adottate in sede governativa. In tal modo, come pure la Corte Costituzionale ha affermato nella citata ordinanza n. 17/2019, il modus procedendi adottato ha finito per “vanificare l’esame in Commissione e […] pregiudicare la stessa possibilità per i parlamentari di conoscere il testo ed esprimere un voto consapevole”, così da estremizzare le “forzature procedimentali” già stigmatizzate con precedenti pronunce riferite a precedenti analoghi (cfr. Corte Cost., n. 32 del 2014). In particolare, “per effetto del ‘voto bloccato’ che la questione di fiducia determina ai sensi delle vigenti procedure parlamentari, sono [state] precluse una discussione specifica e una congrua deliberazione sui singoli aspetti della disciplina ed [è stato] impedito ogni possibile intervento sul testo presentato dal Governo”. Ciò determina “una graduale ma inesorabile violazione delle forme dell’esercizio del potere legislativo, il cui rispetto appare essenziale affinché la legge parlamentare non smarrisca il ruolo di momento di conciliazione, in forma pubblica e democratica, dei diversi principi e interessi in gioco”.

Se dunque si sostiene che, come la Corte Costituzionale ha statuito con la sentenza in esame, che le misure di cui trattasi rappresentano mere prestazioni patrimoniali riconducibili alle previsioni dell’art. 23 Cost., si dovrà nello stesso tempo ritenere che esse sono illegittime, perché costituiscono espressione della volontà della sola maggioranza di governo, che dà attuazione ad un preciso patto politico, e sono state tradotte in legge in mancanza di qualunque interlocuzione parlamentare con le forze di opposizione.

  1. I profili di legittimità della riduzione dei trattamenti previdenziali, considerata come “prestazione patrimoniale imposta

6.1. Anche se si accogliesse la qualificazione della riduzione dei trattamenti previdenziale come “prestazione patrimoniale imposta”, la sentenza in esame lascerebbe irrisolte numerose questioni di legittimità delle disposizioni normative sotto il profilo costituzionale. La prima di esse attiene alla indeterminatezza della destinazione del prelievo.

Con riguardo al tema del “raffreddamento” dell’indicizzazione delle pensioni, la Corte Costituzionale, sostiene che provvedimenti del genere possono resistere al vaglio di costituzionalità solo se dal testo di legge e/o dai lavori preparatori emergono in modo sufficientemente dettagliato le sue finalità, così da rispettare i criteri di trasparenza e non arbitrarietà che il legislatore è tenuto a rispettare [16]. Lo stesso principio dovrebbe valere per misure ancor più gravose e penalizzanti, come la riduzione del trattamento effettivamente erogato rispetto a quello spettante in base ai provvedimenti di liquidazione adottati secondo le vigenti leggi pensionistiche.

Nel caso di specie, questo principio non è tuttavia rispettato. La stessa sentenza in esame non sa individuare con la dovuta esattezza le ragioni del “taglio”. Essa si limita a generici riferimenti a fenomeni endemici di ampia portata e di natura profondamente diversa gli uni dagli altri, che – una volta aboliti i “paletti” ed i warnings contenuti nella precedente sentenza n. 173/2016 – potrebbero giustificare, in ipotesi, qualsiasi genere di riduzione dei trattamenti previdenziali, con qualunque aliquota e per un indeterminato numero di volte.

La sentenza per un verso fa riferimento a problematiche di carattere generale che investono il vigente sistema previdenziale “a ripartizione”, che si presenta “particolarmente esposto alla negatività dell’andamento demografico”, per il fatto che “un numero sempre minore di lavoratori attivi, per di più spesso con percorsi lavorativi discontinui, è chiamato a sostenere tramite i versamenti contributivi il peso di un numero sempre maggiore di pensioni in erogazione”, mentre il “progressivo invecchiamento della popolazione e l’erosione della base produttiva rende via via più fragile il patto tra le generazioni, sul quale il sistema previdenziale si fonda”; per altro verso, allude a fenomeni che interessano tutto l’ambito della assistenza sociale, in quanto richiama i “vari fattori, ‘endogeni ed esogeni’, il più delle volte tra loro intrecciati, quali crisi economica internazionale, impatto sulla economia nazionale, disoccupazione, mancata alimentazione della previdenza, riforme strutturali del sistema pensionistico”, ai quali si potrebbe aggiungere oggigiorno “un’emergenza sanitaria di vaste dimensioni, che, incidendo pesantemente sul quadro macroeconomico, abbatte i flussi contributivi e accentua gli squilibri sistemici”.

Alla genericità di questi riferimenti, che si rivolgono alle ambivalenti esigenze del sistema previdenziale e di quello assistenziale, non supplisce il richiamo specifico “agli obiettivi di ricambio generazionale nel mercato del lavoro che il legislatore ha ritenuto di conseguire per il tramite del pensionamento anticipato in ‘quota 100’”. Infatti, tale richiamo non assolve alla necessità di fornire una dettagliata giustificazione della misura adottata, perché si riferisce in termini del tutto ipotetici ad un obiettivo di politica economica, che per un verso richiederebbe il ricorso a diversi strumenti di carattere tributario (ben più idonei, tra l’altro, ad assicurare un gettito adeguato ed a perseguire efficacemente le finalità dichiarate), e per un altro verso si pone in manifesta contraddizione con la dichiarata esigenza di fronteggiare i fenomeni di crisi generati dall’invecchiamento della popolazione e dalla riduzione dei versamenti contributivi. A ciò si aggiunge che a queste possibili finalità specifiche si potrebbero legittimamente aggiungere altri obiettivi particolari, quali il finanziamento del “reddito di cittadinanza”, che richiederebbero a più forte ragione il ricorso a diverse e più congrue misure di natura fiscale.

Da ciò consegue, in conclusione, che il provvedimento legislativo censurato non risulta sostenuto da giustificazioni verificabili e ragionevoli, che consentano di escludere l’uso arbitrario dei poteri attribuiti alla maggioranza di governo. Ne consegue altresì, come ulteriore corollario, la contrarietà ai principi che dovrebbero ispirare l’imposizione di una prestazione patrimoniale.

6.2. Un altro profilo riguarda il rispetto dei criteri di ragionevolezza e di proporzionalità che, secondo la stessa sentenza in esame, costituisce l’estremo confine di ammissibilità di qualunque provvedimento legislativo che modifichi in senso peggiorativo i diritti soggettivi perfetti delle persone. A tal riguardo, la sentenza in esame sostiene che il sacrificio imposto ai destinatari del provvedimento, pur risultando significativamente più oneroso rispetto a quello derivato da disposizioni analoghe adottate in passato, sarebbe ancora tollerabile, perché idoneo a sostenere la prova di “resistenza” a cui è subordinato l’esercizio dei poteri discrezionali del legislatore [17]. Questa valutazione si basa su criteri di larga massima ed è priva di riferimenti a parametri oggettivi, in guisa che lascia del tutto indeterminato il grado di tutela che la Costituzione riserva ai diritti dei pensionati.

Inoltre, con tale considerazione la Corte si limita a giudicare ragionevole il rapporto tra reddito percepito e percentuale di riduzione; manca invece un’analoga valutazione di ragionevolezza del diverso rapporto tra l’utilità che il provvedimento procura al sistema previdenziale e la gravosità dei sacrifici imposti ai suoi destinatari, identificabili normalmente con persone anziane, bisognose di assistenza ed incapaci di procurarsi nuove fonti di reddito.

A questo riguardo, la sentenza osserva, in via di principio, che si dovrebbe effettuare “una valutazione complessiva dominata dalle ragioni di necessità, più o meno stringenti, indotte dalle esigenze di riequilibrio e sostenibilità del sistema previdenziale”; riconosce poi, in punto di fatto, che le aliquote applicate, ancorché tollerabili, sono “piuttosto severe”, e che “indubbiamente” il sacrificio imposto dal contributo è “personalmente gravoso, anche in ragione del succedersi di ripetuti interventi nei due trascorsi decenni”. Inoltre, la Consulta riconosce che la provvista derivante dal “taglio” è “assai modesta in termini relativi”, così come si evince dai dati da Essa stessa forniti: i risparmi accertati al 31 dicembre 2019 ammontano infatti a 132.290.127 euro, corrispondenti ad € 75.405.372,39 al netto delle imposte corrispondenti e ad una media netta annua di € 37.702.686,19 (e perciò allo 0,03125% circa della spesa previdenziale dello Stato, stimabile in € 120.000 milioni per anno).

Da queste premesse, non si traggono però le debite conseguenze. Si omette infatti di valutare se il “taglio” sia sorretto da ragioni sufficientemente “stringenti”, che giustifichino l’imposizione di un elevato sacrificio a carico di pochi soggetti in rapporto alla utilità arrecata al sistema economico complessivo.

L’analisi avrebbe dovuto condurre ad una risposta negativa. In verità, non si ravvisa il necessario bilanciamento tra la riduzione dei trattamenti pensionistici elevati e l’auspicato riequilibrio del sistema previdenziale. Il sacrificio imposto (che si accentua maggiormente se si considera l’effetto cumulativo con l’altra misura – dagli effetti permanenti – della riduzione dell’indicizzazione) comporta solo il disconoscimento dei diritti connessi al lavoro svolto e lo svilimento della dignità di chi abbia assunto maggiori oneri e responsabilità nel servizio dei pubblici interessi, senza nessun effettivo vantaggio per il sistema previdenziale ed assistenziale, che evidentemente richiede ben altri interventi strutturali ed un ben diverso riequilibrio del sistema tributario.

6.3. I rilievi formulati innanzi assumono maggior rilievo, se si considera che – come costantemente affermato dalla Corte di Giustizia UE e dalla stessa Corte Costituzionale – i trattamenti previdenziali di natura “professionale” hanno natura di “retribuzione differita”. Essi costituiscono dunque il corrispettivo dell’attività prestata nel corso dell’attività lavorativa e meritano la stessa tutela che la Costituzione assicura ai redditi maturati per la prestazione di lavoro, che costituisce il valore su cui si fonda l’ordinamento repubblicano.

La reiterata riduzione di questa tipologia di reddito, ancorché limitata a trattamenti che eccedono l’esigenza di soddisfare le ordinarie esigenze di vita, non sembra conforme ai principi costituzionali, perché erode il rapporto di proporzionalità con la qualità e la quantità del lavoro svolto, che è garantito dall’art. 36 della Costituzione. Infatti, il livello “elevato” del trattamento previdenziale non costituisce il risultato di un privilegio ingiusto, ma trova giustificazione nel livello altrettanto elevato delle funzioni espletate e delle prestazioni rese durante l’attività lavorativa e delle responsabilità assunte nel corso della carriera professionale.

Nella sentenza in esame la Corte osserva che il principio di proporzionalità non implica una necessaria equivalenza tra la retribuzione percepita nel periodo di servizio ed il trattamento previdenziale attribuito dopo il collocamento a riposo. Tale osservazione non appare tuttavia persuasiva: essa implica che, anche nel caso di pensioni liquidate con il sistema retributivo (quali sono quelle incise dalla normativa censurata) l’assegno pensionistico non corrisponde alla retribuzione goduta in precedenza, ma è collegata ad essa da un rapporto di riduzione (che è peraltro più che proporzionale all’aumento del livello retributivo). Non sembra invece che il trattamento previdenziale, già liquidato in misura inferiore rispetto alla retribuzione, possa subire ancora ulteriori e reiterate riduzioni, in misura progressivamente più incisiva, mediante provvedimenti come quelli in esame. Ciò implica infatti una continuativa e sempre più accentuata dispersione dell’originario legame con il lavoro prestato e la retribuzione corrispondente.

6.4. Ulteriori perplessità si pongono con riferimento al principio di uguaglianza. È perfettamente vero che un contributo a carico dei soggetti più benestanti, che sia finalizzato a soddisfare i bisogni delle categorie più deboli, costituisce espressione del principio “forte” della solidarietà, a cui si ispira l’ordinamento costituzionale; è però altrettanto vero che i doveri di solidarietà non possono essere richiamati solo a carico di una ristretta categoria sociale, ed essere ignorati nei riguardi di altre categorie, che si trovino anche in condizione di maggiore benessere, sotto pena di incorrere in ingiuste forme di discriminazione.

Orbene, la pretesa di risolvere i problemi strutturali della spesa complessiva dell’Ente previdenziale solo con misure emergenziali, ripetitive e sempre più onerose, a carico della ristretta categoria dei titolari di pensioni di importo elevato, suscita rilevanti dubbi di violazione dei principi di eguaglianza e di ragionevolezza affermati dall’art. 3 Cost., sulla base di una valutazione comparativa effettata sia “all’esterno” che “all’interno” del sistema previdenziale. Ed invero:

a) non appare ragionevole accollare i maggiori oneri dei servizi di assistenza e previdenza su una categoria che già sostiene elevatissimi oneri fiscali, assai maggiori di quelli cui è soggetta la generalità dei contribuenti. A tal riguardo, giova considerare che i 24.287 destinatari del contributo de quo subiscono un carico fiscale per II.DD. oscillante tra il 36,17% al 42,98% del loro reddito e rientrano nel ristretto ambito dei 451.275 contribuenti (pari allo 0,74% dei 60.589.000 residenti ed all’1,10% dei 40.872.080 di quelli che nell’anno 2017 hanno presentato una qualsivoglia dichiarazione), che hanno corrisposto il 18,68% di tutta l’IRPEF riscossa dallo Stato in tale anno; e ciò a fronte di un’evasione fiscale annua che, secondo stime attendibili, ammonta a circa 100.000 milioni di euro l’anno [18];

b) se pure si volesse ammettere che le risorse per riequilibrare la spesa previdenziale debbano essere reperite all’interno del sistema pensionistico, non si comprende perché si debba provvedere attraverso il “taglio” degli assegni di importo più elevato, anziché mediante un riequilibrio complessivo ed organico che incida in modo equo su tutte le posizioni e rispetti gli equilibri attuali. Il metodo adottato non appare conforme al principio di eguaglianza e di ragionevolezza, perché opera un’ingiusta discriminazione tra titolari di pensioni regolate da uguali disposizioni di legge (e cioè i titolari di pensioni “retributive” o “miste”) in ragione del loro ammontare. In verità, il diverso importo dei trattamenti non deriva dall’applicazione di regole privilegiate a favore dei titolari delle pensioni più elevate, ma dipende dalla diversità dei presupposti di fatto, connessi alla qualità ed alla quantità del lavoro svolto nel precedente periodo di servizio. La penalizzazione di tali trattamenti determina dunque una ingiusta disparità di trattamento, perché le stesse regole che disciplinano la liquidazione delle pensioni (che già contengono alcune disposizioni perequative al proprio interno e sono soggette ad un meccanismo di indicizzazione meno favorevole rispetto a quello ordinario) sono derogate in peius per alcuni soggetti soltanto, e non per altri, in considerazione del risultato cui esse conducono. Ciò comporta anche l’erosione del principio di proporzionalità rispetto alla qualità ed alla quantità del lavoro svolto: le pensioni di importo elevato si sviliscono di più delle altre e si appiattiscono sui valori di quelle spettanti a chi abbia svolto attività lavorative di minore gravosità ed impegno.

  1. Considerazioni conclusive

In estrema sintesi, giova considerare che la sentenza in esame si colloca in un delicato e complesso momento della finanza pubblica, nel quale le esigenze di equilibrio del bilancio e di contenimento della spesa si fronteggiano con contrarie tendenze alla espansione degli interventi assistenziali per far fronte al crescente disagio sociale di larghi strati della popolazione. In tale contesto, si può comprendere l’inclinazione della giurisprudenza costituzionale verso forme di mediazione tra gli interessi contrapposti, nell’ottica di valorizzare i valori della solidarietà e di armonizzare i diversi principi espressi dalla Carta costituzionale.

Occorre tuttavia avvertire che in questo modo si rischia di incrinare la stabilità dei principi fondamentali dell’ordinamento e si espongono i diritti soggettivi perfetti delle persone ad oscillazioni ed incertezze, condizionate dalla discrezionalità dell’azione di governo. In tale contesto, appare meritevole di particolare attenzione il diritto al trattamento pensionistico maturato nell’intero corso della vita lavorativa, che sembra esposto a pericolose tensioni, di fronte all’esigenza di contenere una spesa previdenziale ed assistenziale in costante aumento per una pluralità di fattori, quali l’accrescimento della durata media della vita e l’aumento del disagio sociale. La sentenza in esame manifesta il rischio che i diritti acquisiti con il lavoro, che dovrebbero assicurare ad una categoria di soggetti ormai “deboli” di conservare nell’età avanzata il proprio livello di vita, siano esposti a progressiva falcidia, in un confuso contesto in cui si mescolano l’alterazione delle regole, l’attenuazione dei principi e la polemica politica.

Non si nega, in definitiva, che le esigenze della finanza pubblica impongano una gestione oculata della spesa statale e che il disagio sociale richieda un forte appello ai principi della solidarietà. Si ritiene tuttavia che queste problematiche debbano essere affrontate preferibilmente con adeguati interventi di lungo periodo e con un’equa ripartizione degli oneri tra tutti i soggetti dell’ordinamento, in rapporto alle capacità di ciascuno, piuttosto che con il reiterato ricorso a strumenti emergenziali, come quelli in esame. In sostanza, occorre assicurare che il principio della solidarietà sia correttamente abbinato a quelli dell’uguaglianza e della capacità contributiva, onde evitare che si traduca una vuota enunciazione, che finisce per accrescere la discrezionalità del legislatore, a discapito della stabilità e dell’effettività dei principi costituzionali.

Avv. Prof. Alessandro De Stefano

 

 

___________________________________

 

[1]     Il resoconto della seduta del Senato è consultabile all’indirizzo web www.senato.it/japp/bgt/showdoc/frame.jsp?tipodoc=Resaula&leg=18&id=1093716.

[2]     cfr. Dossier del 22 gennaio 2019 della XVIII legislatura – “Legge di bilancio 2019 – Vol. I – Art. 1, commi 1-401”, consultabile all’indirizzo web http://documenti.camera.it/leg18/dossier/pdf/ID0006h_vol_I.pdf?_1621184588449.

[3]     Si vedano da ultimo, nella pregressa giurisprudenza, Corte Costituzionale, 1° dicembre 2017, n. 250; 30 aprile 2015, n. 70; 16 luglio 2014, n. 208).

[4]     Comma aggiunto dalla legge di conversione 15 luglio 2011, n. 111, e successivamente modificato dall’art. 24, comma 31 bis, del d.l. 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla l. 22 dicembre 2011, n. 214.

[5]     in Gazzetta Ufficiale, Serie ordinaria, 22 gennaio 2020, numero 17.

[6]     Si fa riferimento alla ordinanza resa dalla Corte Costituzionale il 26 maggio – 10 giugno 2020, n. 111, che ha ammesso ad intervenire nel giudizio di legittimità costituzionale degli artt. 1, commi 3, 5, 6, 7, 8 e 8-bis, 1-bis e 4-bis, commi 2, 3, 4, 5 e 6, del d.l. n. 109 del 2018, alcuni proprietari o usufruttari di immobili ceduti alla parte pubblica, o che siano oggetto di esproprio, nell’ambito delle operazioni di ricostruzione dell’infrastruttura nota come “Ponte Morandi”. La Corte ha rilevato che gli intervenienti hanno un interesse qualificato, inerente in modo diretto e immediato al rapporto dedotto in giudizio, perché l’eventuale dichiarazione di illegittimità costituzionale dell’indicato art. 1-bis, e in particolare dei commi 2 e 4, priverebbe di base legale la quantificazione dell’indennità loro spettante.

[7]     Si tratta della cd. “sospensione impropria” della causa, in attesa dell’esito del giudizio di costituzionalità già pendente. Afferma al riguardo il Consiglio di Stato che “l’ordinamento processuale interno, ivi compreso quello amministrativo, conosce la c.d. sospensione impropria del giudizio, adottabile dal giudice qualora in altro giudizio (ad esempio) sia stata sollevata una questione di legittimità costituzionale di una norma applicabile nel primo (cfr. Cons. Stato, Ad. pl., ord. 15 ottobre 2014 n. 28). Questa statuizione sospensiva produce a sua volta effetti di economia dei mezzi processuali e di ragionevole durata del processo, evitando che la Corte Costituzionale sia nuovamente investita della medesima questione già sollevata nell’altro giudizio ed il conseguente rischio prolungare la durata del giudizio di costituzionalità, e di riflesso di quello a quo. Tuttavia, deve del pari precisarsi che la sospensione impropria costituisce oggetto di una facoltà del giudice, per l’esercizio della quale egli deve avere appunto riguardo alle conseguenze sulla durata e sull’esito del giudizio di cui è chiesta la sospensione” (Cons. Stato, sez. VI, 13 giugno 2019, n. 3984/2019).

[8]     La Corte Costituzionale aveva già dichiarato l’inammissibilità dell’intervento di altri soggetti in uguale posizione con precedente ordinanza del 17 settembre 2020, n. 202.

[9]     Le perplessità si accrescono, se si considera che il pensionamento anticipato di una fascia di lavoratori in servizio ed il ricambio generazionale, che – secondo la Corte Costituzionale – giustificherebbero il “raffreddamento” della indicizzazione delle pensioni in godimento – non interessano affatto gli attuali titolari di trattamenti previdenziali, che non hanno nessuna esigenza di accogliere nel proprio “club” coloro che vogliano abbandonare il servizio attivo ed unirsi alla propria categoria, ma riguardano specificamente le imprese che risparmiano sui propri oneri contributivi, i nuovi “esodati” che desiderano lasciare il servizio attivo ed i nuovi assunti che aspirano ad un posto di lavoro. In tali circostanze, non si comprende la ragione per cui i soggetti effettivamente interessati debbano essere esentati dai relativi oneri, che sono invece accollati su soggetti che sono del tutto estranei alla manovra.

Parimenti, non vi è ragione per negare che la misura in esame tenda a coprire i costi del “reddito di cittadinanza”, che il legislatore ha ritenuto di introdurre contestualmente con il comma 255, al dichiarato fine di contrastare “la povertà, la disuguaglianza e l’esclusione sociale”. Questo provvedimento, ancor più del precedente, ha un’evidente funzione di protezione sociale, in guisa che sarebbe stato necessario coprire i relativi costi attraverso la fiscalità generale, nel rispetto del comune obbligo di contribuire alla spesa pubblica, e non con l’imposizione di un sacrificio a carico esclusivo di una ristretta cerchia di persone in posizione di naturale debolezza, in violazione dei principi di uguaglianza e di ragionevolezza.

In realtà, le maggiori spese che il legislatore si è proposto di coprire, almeno in parte, con la riduzione del valore reale delle pensioni interessano allo stesso modo tutte le categorie di lavoratori in servizio (i quali potrebbero contribuire alla maggiore spesa con un aumento dei contributi previdenziali a loro carico o con un “contributo di solidarietà” a proprio carico) e, più in generale, l’intera società civile, e dovrebbero essere perciò finanziate con un onere a carico di “tutti” i soggetti dell’ordinamento, in proporzione con la propria capacità contributiva. La disposizione contenuta nell’art. 1, comma 260, della l. n. 145/2018 appare perciò in contrasto con il principio di “eguaglianza sostanziale”, richiamato dalla stessa Corte Costituzionale nella sentenza in esame, coniugato con quello di universalità del concorso alla spesa pubblica, stabilito dall’art. 53 Cost.

[10]  Lo stesso argomento è stato adottato dalla precedente sentenza n. 173/2016, sul rilievo che il prelievo previsto dall’art. 1, comma 486, della l. 147/2013 mirava anche “a concorrere al finanziamento degli interventi di cui al comma 191 del presente articolo”, e cioè a consentire l’incremento del numero dei lavoratori aventi titolo all’ottenimento del beneficio di cui all’articolo 1, comma 231, della legge 24 dicembre 2012, n. 228, e successive modificazioni.

[11]   Così ha dichiarato il Vice Presidente del Consiglio dei Ministri e Ministro del Lavoro e della Previdenza sociale, on.le Luigi Di Maio, nella conferenza stampa al termine della riunione del Consiglio dei Ministri del 15 ottobre 2018, che ha approvato l’originario testo del disegno di legge della legge finanziaria 2019: “Ci tenevo a dire che questa per me, per noi, per il Movimento 5stelle, per tutto il Governo, credo non sia soltanto una manovra qualsiasi, non è una legge di bilancio qualsiasi, ma è quella che abbiamo definito una manovra del popolo, ma soprattutto un nuovo contratto sociale che lo Stato stipula con i cittadini. È la grande occasione di smetterla di tagliare diritti ai cittadini per finanziare privilegi, ma in questa legge di bilancio usiamo i privilegi di quelli di prima per finanziare i diritti dei cittadini. Come avrete letto, entrano nella legge di bilancio il taglio delle pensioni d’oro […]” (si veda la registrazione della conferenza stampa sul all’indirizzo web http://www.governo.it/media/conferenza-stampa-del-consiglio-dei-ministri-n-23/10144).

Tale dichiarazione è coerente con quanto previsto al paragrafo 26 del “Contratto per il governo per il cambiamento” stipulato con scrittura privata autenticata nel maggio 2018 dal Signor Luigi Di Maio, quale Capo Politico del “MoVimento 5 Stelle”, e dal Signor Matteo Salvini, quale Segretario Federale della Lega (consultabile all’indirizzo web: https://download.repubblica.it/pdf/2018/politica/contratto_governo.pdf), che così recita: “Riteniamo doveroso intervenire nelle sedi di competenza per tagliare i costi della politica e delle istituzioni, eliminando gli eccessi e i privilegi. Occorre ricondurre il sistema previdenziale (dei vitalizi o pensionistico) dei parlamentari, dei consiglieri regionali e di tutti i componenti e i dipendenti degli organi costituzionali al sistema previdenziale vigente per tutti i cittadini, anche per il passato. Occorre razionalizzare l’utilizzo delle auto blu e degli aerei di Stato, oltre che l’utilizzo dei servizi di scorta personale. Per una maggiore equità sociale riteniamo altresì necessario un intervento finalizzato al taglio delle cd. pensioni d’oro (superiori ai 5.000,00 euro netti mensili) non giustificate dai contributi versati”.

La misura non è stata tuttavia inserita nel testo del d.d.l. presentato alla Camera ed è comparsa per la prima volta nel maxi-emendamento presentato al Senato il 23 dicembre 2018.

[12]   Si vedano il Dossier del dicembre 2018 della XVIII legislatura – “Legge di Bilancio 2019 – Modifiche approvate dal Senato – Profili finanziari”, consultabile al sito web https://documenti.camera.it/Leg18/Dossier/Pdf/VQ1334B.Pdf, p. 347 ss.; il Dossier del dicembre 2018 della XVIII legislatura – “Legge di Bilancio 2019: Effetti sui saldi a seguito del maxiemendamento 1.9000”, consultabile al sito web documenti.camera.it/leg18/dossier/pdf/DFP5.pdf?_1558696490513, pp. 5 e 7; il Dossier del gennaio 2019 della XVIII legislatura – “Manovra di bilancio 2019-2021 – Effetti sui saldi e conto risorse e impieghi”, consultabile al sito web documenti.camera.it/leg18/dossier/pdf/DFP006.pdf?_1558696229906, pp. 9 e 11.

[13]   Consultabile all’indirizzo web: http://www.mef.gov.it/inevidenza/documenti/AggiornamentoQM-economico_e_di_FP.pdf, p. 8.

[14]   Consultabile nell’indirizzo web: www.senato.it/service/PDF/PDFServer/BGT/01098456.pdf, p. 7.

[15]   Secondo i principi desumibili dalla legislazione e dalla giurisprudenza europea, nell’ambito del sistema pensionistico occorre distinguere due generi di trattamenti, nettamente distinti tra loro: i trattamenti di carattere professionale e quelli di natura socio-assistenziale. Afferma a tal riguardo l’Avvocato Generale Jacobs al punto 42 delle conclusioni presentate nella causa C-7/93, Beune, che “[la] giurisprudenza della Corte (…) si propone di operare una chiara distinzione tra i regimi generali di previdenza sociale e i regimi che operano nel contesto di un rapporto di lavoro”. Invero, la nozione di “regime generale di previdenza sociale” si desume dalla direttiva 79/7/CEE del Consiglio, del 19 dicembre 1978, che – nel dettare disposizioni per la graduale attuazione del principio di parità di trattamento tra gli uomini e le donne nella materia – include in questa categoria “i regimi legali che assicurano una protezione contro i rischi di malattia, invalidità, vecchiaia, infortunio sul lavoro e malattia professionale, disoccupazione”, e li distingue dai “regimi professionali”, per i quali ha previsto una disciplina autonoma per l’attuazione del medesimo principio. Reciprocamente, la direttiva 2006/54 definisce quali “regimi professionali di sicurezza sociale” i sistemi di protezione contro gli stessi rischi (malattia, invalidità, vecchiaia, infortunio sul lavoro, malattia professionale, disoccupazione), che sono estranei alla disciplina prevista dalla direttiva 79/7/CEE e che hanno lo scopo “di fornire ai lavoratori, subordinati o autonomi, raggruppati nell’ambito di un’impresa o di un gruppo di imprese, di un ramo economico o di un settore professionale o interprofessionale, prestazioni destinate a integrare le prestazioni fornite dai regimi legali di sicurezza sociale o di sostituirsi ad esse, indipendentemente dal fatto che l’affiliazione a questi regimi sia obbligatoria o facoltativa”.

La diversità di natura dei due regimi previdenziali è chiaramente espressa anche dalla giurisprudenza europea, la quale evidenzia che lo spartiacque tra le due categorie (e le due discipline) è rappresentato dalla connessione o meno con il rapporto di lavoro. I trattamenti previdenziali di sicurezza sociale sono concessi in base a “considerazioni di ordine politico, sociale, etico o di bilancio, come nel caso di regimi pensionistici che rientrano nell’ambito di applicazione della direttiva 79/7” (conclusioni dell’Avvocato Generale Eugeni Tanchev presentate il 20 giugno 2019 in riferimento alla causa C-192/18, punto 46); al fine di qualificare un regime pensionistico professionale, invece, “l’elemento davvero determinante” è il rapporto di lavoro (cfr. conclusioni dell’Avvocato Generale Jacobs nella causa C-7/93, Beune, punto 38 e quelle dell’Avvocato Generale Kokott nella causa C-19/02, Hlozek, che richiamano l’orientamento enunciato dalla Corte di Giustizia UE con le sentenze del 9 febbraio 1982, in causa C-12/81, Garland, punto 5; del 17 maggio 1990, in causa C-262/88, Barber, punto 12; del 9 febbraio 1999, in causa C-167/97, SeymouSmith and Perez, punto 23. V. pure Corte Giustizia C.E., sentenza del 17 aprile 1997 in causa C-147/95, Evrenopoulos, punto 19, secondo cui “soltanto il criterio relativo alla constatazione che la pensione è corrisposta al lavoratore per il rapporto di lavoro tra l’interessato ed il suo ex datore di lavoro (…) può avere carattere determinante”, nonché Corte di Giustizia CE, 29 novembre 2001, in causa C-366/99, Griesmar, punto 28, e giurisprudenza ivi citata, e, più recentemente, sentenza 26 marzo 2009, in causa C559/07, Commissione/Grecia, punto 23).

In coerenza con tale orientamento, la Corte di Giustizia EU ha distinto “le pensioni che dipendono dal rapporto di lavoro che lega il lavoratore al datore di lavoro”, che hanno natura di “retribuzione differita” (in tal senso, cfr. Corte di Giustizia CE, sentenza del 17 maggio 1990, nella causa C-262/88, e considerato n. 13 della direttiva 2006/54/CE del Parlamento Europeo e del Consiglio del 5 luglio 2006), da “quelle derivanti da un sistema legale al cui finanziamento contribuiscono i lavoratori, i datori di lavoro e, eventualmente i pubblici poteri in una misura che dipende meno da un rapporto di lavoro siffatto che da considerazioni di natura sociale”. In particolare, “non possono essere inclusi in tale nozione i regimi o le prestazioni previdenziali, quali le pensioni di vecchiaia, direttamente disciplinati dalla legge al di fuori di qualsiasi concertazione nell’ambito dell’impresa o della categoria professionale interessata, e obbligatori per categorie generali di lavoratori” (sentenza 22 novembre 2012, Elbal Moreno, C-385/11, EU:C:2012:746, punto 20, e giurisprudenza ivi citata).

[16] Nello stesso senso, nella pregressa giurisprudenza, cfr. Corte Cost., sentenze nn. 250/2017 e 70/2015, cit.

[17] La misura dei tagli alle pensioni si è progressivamente innalzata: dalla misura del 2% originariamente prevista dall’art. 37 della l. 23 dicembre 1999, n. 488, si è pervenuti a percentuali oscillanti dal 15% al 40% in base all’art. 1, comma 261, della l. n. 145/2018.

[18]   Si veda al riguardo l’accurata ricostruzione del sistema pensionistico italiano, rapportato al sistema fiscale, contenuta nel VI Rapporto annuale – “Il Bilancio del Sistema Previdenziale italiano – Andamenti finanziari e demografici delle pensioni e dell’assistenza per l’anno 2017”, redatto a cura del Centro Studi e Ricerche di Itinerari Previdenziali.

[19]   Secondo l’INPS, nell’anno 2018 solo il 4,1% delle pensioni vigenti erano liquidate interamente con il sistema contributivo. Il 13,6% con il sistema misto e le rimanenti esclusivamente con il sistema retributivo. Si veda in proposito il XVII Rapporto annuale INPS del 4 luglio 2018, consultabile all’indirizzo web: https://www.inps.it/docallegatiNP/Mig/Dati_analisi_bilanci/Rapporti_annuali/Inps_R.A._XVII_bassa.pdf, p. 181.