Phishing, smishing, vishing, sono termini il cui significato è ormai noto a tutti. La diffusione dell’home banking rende attuali le problematiche connesse al fenomeno delle frodi informatiche e ci si chiede spesso quando la banca sia responsabile delle operazioni di pagamento poi disconosciute dal cliente.
Il quadro normativo di riferimento è quello introdotto dalla dir. 2007/64/CE (la c.d. PSD Payment Services Directive) recepita, nel nostro ordinamento, con il d.lgs. n. 11/2010, e dalla dir. 2015/2366/UE (la c.d. PSD 2), che, attraverso il d.lgs. n. 218/2017, ha modificato il decreto del 2010.
Quest’ultimo contiene, infatti, sia le disposizioni dedicate agli obblighi posti a carico dell’utente e del prestatore, sia quelle che disciplinano la loro responsabilità.
In una recente ordinanza (la n. 32771/2023), la Cassazione ha rammentato quale sia la distribuzione degli oneri probatori nel caso in cui l’utente neghi di aver autorizzato un’operazione di pagamento già eseguita.
In quel caso, il ricorrente aveva citato in giudizio la società chiedendo il risarcimento del danno subito a seguito del prelievo abusivo, in modalità telematica, dal conto corrente a lui intestato, di somme poi utilizzate da parte di ignoti per ricariche di carte prepagate e di un’utenza telefonica. Il Tribunale, previo svolgimento di consulenza tecnica d’ufficio, ritenuto il concorso colposo del danneggiato nella misura del 30 % (per la mancata messa a disposizione del computer di sua proprietà, smaltito prima dell’inizio delle operazioni peritali), aveva accolto la domanda. La Corte territoriale, poi, aveva affermato che, al contrario del prestatore, che aveva dimostrato di aver adottato le misure di sicurezza utili ad impedire fenomeni di appropriazione fraudolenta di denaro sui conti, il cliente non aveva provato che le operazioni non fossero state autorizzate, né che non avesse ceduto ad alcuno le proprie credenziali.
Tuttavia, così facendo, secondo la Cassazione, la Corte territoriale avrebbe violato la regola di riparto dell’onere della prova della diligenza nel contegno di utilizzatore del sistema informatico, atteso che spettava al prestatore del servizio di pagamento provare la riconducibilità dell'operazione al cliente. Le conseguenze sfavorevoli del fatto rimasto ignoto (relativo al contegno del cliente) all’esito dell'istruzione della causa – secondo la Corte – sarebbero state così fatte ricadere sul cliente anziché sulla Società.
Nel giungere a tale conclusione, la Suprema Corte ha precisato di dover dare seguito alla propria giurisprudenza secondo la quale, in tema di responsabilità della banca, ovvero dell’erogatore del corrispondente servizio, in caso di operazioni effettuate a mezzo di strumenti elettronici, “anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento - prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente - la possibilità di un’utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo: ne consegue che, anche prima dell'entrata in vigore del d. lgs. n. 11 del 2010, attuativo della dir. n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, l'erogatore di servizi, al quale è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuto a fornire la prova della riconducibilità dell’operazione al cliente (già, tra le più recenti, ord. Cass. 16417/2022; ord. 9158/2018, sent. 2950/2017, 10638/2016).
Per un ulteriore approfondimeno, vedi Operazioni effettuate a mezzo di strumenti elettronici: la Banca deve dimostrare la riconducibilità dell’operazione al cliente.