La recente sentenza n. 9158/2018 da parte della Corte di Cassazione ha stabilito che nell’ipotesi di operazioni effettuate mediante strumenti elettronici, è l’istituto di credito bancario / postale a dover fornire la prova della riconducibilità della transazione al cliente.
Ne deriva che in caso di mancanza di tale dimostrazione, la banca rischia concretamente di dover risarcire il danno subito dal cliente vittima di una frode telematica. Ma in che modo si è giunti a questo tipo di valutazione da parte degli ermellini?
Frode nell’operazione su internet banking
La vicenda trae origine da un’operazione di bonifico compiuta mediante piattaforma di internet banking, in favore di individui sconosciuto al cliente. Cliente che, ovviamente, disconosce la transazione, affermando di non averla mai posta in essere.
La domanda di risarcimento da parte del correntista veniva tuttavia respinta dalla Corte d’Appello, secondo cui la controparte creditizia (Poste Italiane) aveva comprovato di essersi munita di un adeguato sistema di sicurezza, tale da impedire l’accesso ai dati personali del correntista da parte di terzi.
Ne deriva che il giudice riteneva che la parte attrice fosse rimasta vittima di una truffa informatica online, rappresentata dall’aver subito la sottrazione di user name e password mediante un’azione di phishing.
Nelle sue motivazioni, la Corte d’Appello riteneva non fosse sussistente un vero e proprio obbligo contrattuale dell’azienda nel garantire e tutelare i clienti dalle frodi informatiche, ritenendo invece gli stessi clienti come responsabili della custodia e del corretto utilizzo dei propri codici personali, quali user name, parola chiave, codice dispositivo segreto e le altre credenziali.
Alla luce di ciò, per la Corte d’Appello non poteva dubitarsi del comportamento definito “imprudente e negligente” degli appellati, che avevano digitato i propri codici personali, verosimilmente mediante email fraudolenta, permettendo così a un truffatore di utilizzarli successivamente.
Dal canto loro, proposto ricorso in Cassazione, i correntisti sottolineavano invece come la Corte d’Appello non avesse esaminato opportunamente il fatto che fosse stata disconosciuta l’operazione contabile di addebito operata sul conto corrente, e di contro avesse fondato le proprie motivazioni su valutazioni di tipo ipotetico della responsabilità dei danneggiati, senza provare, ad esempio, che i correntisti fossero stati effettivamente coinvolti in attività che avessero comunicato a terze parti i propri codici segreti.
Banca responsabile per l’uso del conto da parte di terzi
Giunta in Cassazione, la vicenda ha un esito favorevole per i correntisti. Nelle proprie motivazioni, infatti, gli ermellini ricordano come la Suprema Corte abbia più volte avuto modo di affermare – peraltro, sempre in cause che riguardano le Poste, e per fattispecie analoghe – che in materia di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche per poter garantire la fiducia degli utenti nella sicurezza del sistema, è da considerarsi ragionevole ricondurre nell’area del rischi professionale del prestatore di servizi di pagamento (in questo caso, Poste Italiane, ma più generalmente gli operatori del sistema bancario), prevedibile ed evitabile mediante l’applicazione di specifiche misure che siano destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o comunque a comportamenti “talmente incauti da non poter essere fronteggiati in anticipo).
Alla luce di ciò, a quanto già rammentato con Cass. 3 febbraio 2017, n. 2950, e ancor prima dell’entrata in vigore del d.lgs. 11 del 2010, la banca – cui è richiesta una diligenza di natura tecnica da valutarsi con il parametro dell’accorto banchiere – è tenuta a fornire la prova della riconducibilità dell’operazione al cliente.
Nel caso di cui si sono occupati i giudici della Suprema Corte, viene rammentato come il giudizio d’appello, dopo aver inquadrato la vicenda nell’ambito della responsabilità per l’esercizio di attività pericolose ex art. 2050 c.c., si è però discostato dal principio succitato, supponendo – ma in carenza di qualsiasi riscontro di rilievo, pure indiziario – che i correntisti si fossero resi responsabili dell’occorso, per aver aperto una ipotetica mail ed aver comunicato per questa via i propri dati a soggetti estranei, mentre in realtà il giudizio si sarebbe dovuto basare sulla verifica o meno se Poste Italiane avesse fornito la prova della riconducibilità dell’operazione al cliente.