La sottrazione dei codici al correntista attraverso tecniche fraudolente è una eventualità che rientra nel rischio di impresa. Per potersi liberare dalla responsabilità, la banca deve provare di aver adottato soluzioni idonee a prevenire o ridurre l’uso fraudolento dei sistemi di pagamento.
La Corte di Cassazione è tornata a pronunciarsi in relazione alle questioni connesse alle frodi informatiche (ci eravamo occupati dell’argomento in Operazioni effettuate a mezzo di strumenti elettronici: la Banca deve dimostrare la riconducibilità dell’operazione al cliente nonché Phishing e frodi informatiche: chi deve dimostrare la riconducibilità dell’operazione al cliente?) e lo fa confermando l’obbligo della banca di risarcire i clienti che ne sono vittima (Cass., sentenza 12 febbraio 2024, n. 3780).
Premessa la natura contrattuale della responsabilità della banca, anche in tale pronuncia la Cassazione ha affermato che la diligenza posta a carico del professionista, per quanto concerne i servizi posti in essere in favore del cliente, ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento, assumendo come parametro quello dell’accorto banchiere.
Difatti, la responsabilità della banca per operazioni effettuate per mezzo di strumenti elettronici, con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell'utente.
La vicenda prendeva le mosse dalla domanda di rimborso avanzata da un cliente della società (Poste Italiane) che aveva riferito di aver ricevuto una e- mail in apparenza proveniente da Poste Italiane, con la quale era stato invitato ad accedere al proprio conto mediante un link, inserendo le proprie credenziali al fine di modificare la password. Successivamente, l’utente aveva riscontrato un addebito per un’operazione mai disposta.
La Società, nel costituirsi in giudizio, aveva affermato che la responsabilità dell’accaduto era attribuibile unicamente all’attore per aver questi comunicato incautamente a terzi la propria password ed il codice segreto pin per l’accesso on line, rendendo in tal modo possibile ad un soggetto terzo di effettuare l’operazione.
Il Giudice di primo grado aveva rigettato la domanda; quello di appello aveva invece accolto il gravame ritenendo che il prestatore di servizi dovesse rispondere degli effetti dannosi conseguenti all’esercizio di un’attività pericolosa implicante il trattamento di dati personali non avendo l’ente dimostrato la riconducibilità dell’operazione al cliente.
Poste Italiane aveva proposto ricorso per cassazione, rigettato dalla Corte con la pronuncia citata.
In particolare, la Cassazione ha rammentato quale sia il riparto degli oneri probatori posto a carico delle parti, sottolineando che questo segue il regime della già citata responsabilità contrattuale.
Pertanto, mentre il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell’altrui pretesa.
Ne consegue che la società convenuta non può omettere la verifica dell’adozione delle misure dirette a garantire la sicurezza del servizio. E, poiché la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente è una eventualità rientrante nel rischio d’impresa, la banca, per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore.
Secondo la Corte, alla luce di tali principi, incombeva su Poste Italiane l’onere di provare di aver adottato soluzioni idonee a prevenire o ridurre l'uso fraudolento dei sistemi elettronici di pagamento, quali ad esempio l'invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione, sulla base di un principio di buona fede nell'esecuzione del contratto. In assenza di tale prova, la decisione di imputare alla banca il rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente sarebbe corretta.
Il ricorso, come detto, è stato rigettato ed il cliente dovrà, dunque, essere risarcito.