Una recente pronuncia della giurisprudenza di merito ha fornito l’occasione per ricordare quale sia la distribuzione degli oneri probatori nel caso in cui l’utente/cliente contesti un’operazione effettuata sul proprio rapporto bancario (Trib. Santa Maria Capua Vetere, 3 marzo 2025). In quel caso, l’attore aveva lamentato di aver riscontrato la presenza di un ammanco di circa ventimila euro dal proprio conto corrente e, recatosi presso la propria filiale, aveva appreso che era stato effettuato un bonifico, poi dallo stesso disconosciuto.
Nel pronunciarsi in relazione alla domanda risarcitoria formulata nei confronti dell’istituto bancario, il Giudice ha dapprima ricordato che il phishing è quell’attività illecita in base alla quale, attraverso vari stratagemmi, un soggetto riesce ad impossessarsi fraudolentemente dei codici elettronici (user e password) di un utente, codici che, poi, utilizza per frodi informatiche.
In tali casi, a fronte dell’obbligo dell’intermediario che, ai sensi dell’art. 1176, 2° co. c.c., deve garantire la custodia del patrimonio dei propri clienti con la diligenza qualificata dell’operatore professionale predisponendo tutte le misure di protezione idonee ad evitare l’accesso dei terzi, il correntista ha l’obbligo di custodire diligentemente i dispositivi personalizzati che consentono l’utilizzo dello strumento di pagamento nonché l’obbligo di osservare le condizioni di contratto pattuite con l’intermediario.
Inoltre – ricorda la pronuncia – l’art. 10, co. 1 del d.lgs. n. 11/2010 dispone che, qualora l’utente dei servizi di pagamento (cliente) neghi di aver autorizzato un’operazione di pagamento, è onere del prestatore di servizi (intermediario) provare che l’avvenuta operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito il malfunzionamento delle procedure necessarie per la sua esecuzione o altri inconvenienti. Tale prova, a norma del 2° comma, “non è tuttavia sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente stesso, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi sul medesimo gravanti di cui all’art. 7, essendo onere dell’intermediario fornire la prova della frode, del dolo o della colpa grave in capo all’utente”.
Tale prova a carico del prestatore di servizi deve essere letta anche in combinato disposto con l’art. 1218 c.c. Tale norma, in base all’interpretazione fornita dalla Suprema Corte, recepita dai diversi Collegi dell’ABF, impone all’intermediario di provare di aver adempiuto agli obblighi di custodia e salvaguardia delle somme dei clienti con la diligenza del buono ed accorto banchiere. Solo in caso di mancato assolvimento a tale onere probatorio l’intermediario è tenuto a riaccreditare l’importo sottratto, secondo quanto previsto dall’art. 11 del d.lgs. n. 11/2010.
Difatti – e sul punto la giurisprudenza è ormai pacifica – la norma è ispirata al principio del “rischio di impresa”, proprio dall’art. 2050 c.c. ossia “all’idea secondo la quale è razionale far gravare i rischi statisticamente prevedibili legati ad attività oggettivamente pericolose, che interessano un’ampia moltitudine di consumatori e utenti, sull’impresa, in quanto quest’ultima è in grado, attraverso la determinazione dei prezzi di vendita di beni o di fornitura del servizio, di ribaltare sulle masse dei consumatori e degli utenti il costo dell’assicurazione di detti rischi”.
Ne consegue che è onere della banca fornire la prova liberatoria che dimostri le tracciature informatiche del pagamento disconosciuto, l’evidenza dell’invio di sms contenente il codice OTS (one time sms) di autorizzazione della transazione riepilogante l’importo da bonificare ed il nominativo del beneficiario, nonché la tracciatura dei log ove si evinca il corretto inserimento dei dati e del codice OTS, necessario per sbloccare l’operazione classificata come sospetta.
Nel caso affrontato dal Tribunale, la Banca aveva fornito la prova dell’attivazione degli alert di conferma della transazione tramite sms e l’inserimento dell’OTP. Pertanto, l’operazione era stata validata mediante l’inserimento del codice utente e del pin generato dall’app installata sul dispositivo dell’attore notificato tramite push.
Da qui la conclusione secondo la quale era stata effettivamente fornita la prova che la trafila di controlli e delle autorizzazioni aveva coinvolto direttamente il correntista il quale, raggirato da ignoti, aveva contribuito, con colpa grave, a fornire le autorizzazioni necessarie alla contabilizzazione dell’operazione poi disconosciuta.
Pur ritenendo assolto, da parte della Banca, l’onere probatorio circa l’autenticazione dell’operazione, il Tribunale ha ritenuto di dover comunque verificare altresì, in virtù dell’art. 11 del d.lgs. n. 11/2010, la dimostrazione della riconducibilità dell’operazione al cliente.
A questo riguardo, il Tribunale ha ritenuto che gli elementi complessivi acquisiti al giudizio consentissero di ritenere sussistente la colpa grave dell’utilizzatore, per aver questi agevolato il truffatore autorizzando le operazioni attraverso, appunto, l’inserimento di pin e codici OTP attraverso i canali di operatività dell’home banking.
La domanda attorea è stata, dunque, rigettata.
In tema di negligenza del cliente, si segnala, tra le altre, anche la decisione n. 11402 del 30 ottobre 2024 dell’ABF, Collegio di Bari. In quel caso, il Collegio ha ritenuto che le operazioni controverse scontassero l’effetto di una verosimile disfunzione organizzativa sul quale si era innestato il comportamento gravemente negligente della cliente che, tuttavia – secondo il Collegio - non aveva assorbito completamente il nesso di causalità con l’evento lesivo con il quale, piuttosto, aveva concorso. In particolare, la mancata attivazione di un sistema di prevenzione efficace – si legge nella decisione “costituisce un vulnus organizzativo imputabile all’intermediario - rilevante anche nella prospettiva della disciplina generale (arg. ex artt. 2381 e 2403, c.c.) - essendo precipuo onere del prestatore quello di adeguare costantemente le contromisure per prevenire minacce alla sicurezza delle transazioni”.
In argomento si richiama anche Phishing e frodi informatiche: chi deve dimostrare la riconducibilità dell’operazione al cliente?, nonché Sim Swap Fraud ed il risarcimento del correntista: paga la banca o la compagnia telefonica?