Pubblicato il
Se un correntista è vittima di una frode informatica tramite phishing, può ottenere la condanna dell’istituto di credito al risarcimento dei danni?
Questo è il quesito che si pone la Seconda Sezione Civile della Cassazione con la sentenza n. 3780 del 12 febbraio 2024.
Nel caso di specie, un cliente ha subito un addebito non autorizzato di €2.900 a seguito di una email fraudolenta che, mimando l'aspetto di una comunicazione ufficiale da Poste Italiane, lo invitava a modificare le credenziali di accesso al suo conto Postepay Evolution. Dopo aver seguito le istruzioni fornite nella mail, il cliente ha riscontrato l'addebito illecito. La sua richiesta di rimborso è stata inizialmente rifiutata da Poste Italiane, portando il caso prima al Giudice di Pace di Paola, che ha respinto la domanda, e poi in appello, dove la decisione è stata ribaltata a favore del correntista.
La sentenza d'appello ha evidenziato che l'istituto bancario deve assumersi la responsabilità per gli effetti dannosi derivanti da un'attività pericolosa che implica il trattamento di dati personali, in assenza di prove che riconducano l'operazione fraudolenta direttamente al cliente. Ciò pone sotto l'attenzione il principio secondo cui eventuali utilizzi illeciti dei codici di accesso da parte di terzi rientrano nel rischio professionale del prestatore di servizi di pagamento.
Poste Italiane ha contestato la sentenza in Cassazione, argomentando una violazione delle norme che impongono agli utenti un uso diligente dei propri codici di accesso e sostenendo la mancata considerazione della trasmissione volontaria dei dati da parte del cliente a un sito non ufficiale. Tuttavia, la Cassazione ha rigettato il ricorso, sottolineando che è responsabilità della banca dimostrare di aver adottato misure idonee a prevenire o limitare l'uso fraudolento dei sistemi di pagamento elettronico.
In conclusione, la decisione della Cassazione stabilisce che, in assenza di prove concrete da parte di Poste Italiane sulla prevenzione delle frodi, è corretto attribuire all'istituto di credito il rischio professionale legato alla possibilità che terzi accedano fraudolentemente ai profili dei clienti.
La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell'utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l'uso non autorizzato dello strumento di pagamento ma il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale. Mentre, pertanto, il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell'altrui pretesa, sicché non può omettere la verifica dell'adozione delle misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d'impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore.
Cassazione civile, sez. III, sentenza 12/02/2024 (ud. 12/10/2023) n. 3780
FATTI DI CAUSA
Di.An., in qualità di procuratrice di Po.Ma., convenne in giudizio, davanti al Giudice di Pace di Paola, Poste Italiane Spa chiedendo accertarsi la responsabilità contrattuale o extracontrattuale della società convenuta per la perdita patrimoniale subita dal Polizza ammontante ad Euro 2900 a seguito di un'operazione posta in essere da ignoti sulla propria carta Postepay Evolution.
A sostegno della domanda rappresentò che il Polizza aveva ricevuto una mail in apparenza proveniente da Poste Italiane Spa, con la quale era stato invitato ad accedere al proprio conto mediante un link contenuto nella mail inserendo le proprie credenziali per effettuare il cambio della password; che l'utente aveva effettuato la richiesta operazione ed aveva successivamente riscontrato un addebito di Euro 2.900 per un'operazione a favore di Anytime Paris Fra, da lui mai compiuta.
Formulata invano richiesta di rimborso, il Polizza adì il Giudice di Pace di Paola.
Poste Italiane, nel costituirsi in giudizio, affermò che la responsabilità dell'accaduto era attribuibile unicamente all'attore per aver quest'ultimo comunicato incautamente a terzi la propria password ed il proprio codice segreto pin per l'accesso on line alla propria carta, rendendo in tal modo possibile ad un soggetto terzo di effettuare l'operazione con cui gli era stata sottratta la somma di Euro 2900.
Il Giudice di Pace adito rigettò la domanda compensando le spese.
A seguito di appello del Polizza, il Tribunale di Paola, con sentenza pubblicata in data 26/10/2021, ha accolto il gravame ritenendo che il prestatore di servizi dovesse rispondere, ai sensi del D.Lgs. n. 196 del 2003, degli effetti dannosi conseguenti all'esercizio di un'attività pericolosa implicante il trattamento di dati personali non avendo l'ente dimostrato la riconducibilità dell'operazione al cliente; rientrando infatti l'eventuale uso dei codici di accesso al sistema da parte di terzi nel rischio professionale del prestatore di servizi di pagamento, ed essendo la condotta prevedibile ed evitabile con appropriate misure tecniche, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore di servizi di pagamento la possibilità di una utilizzazione dei codici di accesso al sistema da parte di terzi.
Il Tribunale pertanto, richiamando la giurisprudenza di questa Corte secondo cui la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente (Cass., 1 n. 2950 del 3/2/2017), ha accolto il gravame e condannato Poste Italiane Spa al risarcimento del danno pari alla somma attualizzata sottratta dall'operazione illecita.
Avverso la sentenza Poste Italiane Spa ha proposto ricorso per cassazione sulla base di due motivi.
L'intimato non ha svolto attività difensiva in questa sede.
La causa è stata assegnata per la trattazione in adunanza camerale ricorrendo i presupposti di cui all'art. 380-bis, 1 co. c.p.c. e successivamente rinviata per la trattazione in pubblica udienza.
Il P.G. ha formulato conclusioni scritte nel senso dell'accoglimento del ricorso.
RAGIONI DELLA DECISIONE
Con il primo motivo di ricorso - violazione e falsa applicazione dell'art. 7 co. 2 dell'art. 10 co. 2 e 12 co. 4 D.Lgs. 27/1/2010 n. 11 in riferimento all'art. 360, co. 1 n. 3 c.p.c. -la ricorrente assume che la sentenza impugnata ha violato le specifiche disposizioni che in materia configurano a carico dell'utente dei servizi telematici oneri di particolare cautela e diligenza nell'uso dei propri codici ed ha disatteso le regole disciplinanti la responsabilità di Poste Italiane Spa.
Con il secondo motivo di ricorso - omesso esame circa un fatto decisivo per il giudizio in riferimento all'art. 360 co. L. n. 5 c.p.c. -lamenta che la sentenza impugnata ha omesso di attribuire rilevanza al fatto decisivo costituito dall'avere l'utente consegnato spontaneamente a terzi dati identificativi del proprio conto, operando su un sito che non era di Poste Italiane Spa; ove tale fatto fosse stato considerato, il giudice del gravame non avrebbe potuto concludere per la sussistenza della responsabilità di Poste.
I motivi sono infondati.
La giurisprudenza di questa Corte, qualificata in termini contrattuali la responsabilità della banca, ha affermato che la diligenza posta a carico del professionista, per quanto concerne i servizi posti in essere in favore del cliente, ha natura tecnica e deve valutarsi tenendo conto dei rischi tipici della sfera professionale di riferimento assumendo come parametro quello dell'accorto banchiere (Cass. n. 806 del 2016); dunque la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo.
La giurisprudenza di questa Corte è infatti consolidata nel senso di ritenere che la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell'utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l'uso non autorizzato dello strumento di pagamento ma il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale. Mentre, pertanto, il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell'altrui pretesa, sicché non può omettere la verifica dell'adozione delle misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d'impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore (Cass., 1, n. 2950 del 3/2/2017; Cass., 3, n. 18045 del 5/7/2019; Cass., 6-3, n. 26916 del 26/11/2020).
Era pertanto onere di Poste Italiane, come correttamente ritenuto dalla impugnata sentenza, a dover provare di aver adottato soluzioni idonee a prevenire o ridurre l'uso fraudolento dei sistemi elettronici di pagamento, quali ad esempio l'invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione, sulla base di un principio di buona fede nell'esecuzione del contratto. In assenza di tale prova è corretta la decisione di imputare alla banca il rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente.
Da quanto esposto consegue il rigetto del ricorso.
Non occorre provvedere sulla spese perché l'intimata non ha svolto attività difensiva in questa sede.
P.Q.M.
La Corte rigetta il ricorso.
Nulla per le spese.
ai sensi dell'art. 13, co. 1-quater del D.P.R. n. 115 del 2002, si dà atto della sussistenza dei presupposti per il versamento, da parte della ricorrente, dell'ulteriore importo a titolo di contributo unificato pari a quello per il ricorso, a norma del comma 1bis del citato art. 13, se dovuto;
così deciso in Roma, nella Camera di Consiglio della Terza Sezione Civile della Corte di Cassazione, in data 12 ottobre 2023.
Depositato in Cancelleria il 12 febbraio 2024.