+39 091-6260146 info@creditofinanzanews.it  

Phishing: la sicurezza della piattaforma online per le operazioni bancarie deve essere garantita dalla Banca, altrimenti risarcisce il dannoCassazione Civile – Ordinanza 12 aprile 2018, n. 9158

Contratti bancari – Cd. Home banking – Prelievo operato da terzi – Mediante truffaldina appropriazione dei codici informatici di accesso al conto – Responsabilità oggettiva della banca – Sussiste

La Cassazione torna a pronunciarsi in materia di phishing, statuendo che in caso di operazioni bancarie effettuate online e contestate dal cliente, la banca è tenuta a fornire la prova della riconducibilità dell’operazione al correntista: in difetto, risponde del danno subito dal cliente.

Con l’espressione “phishing” si fa riferimento ad una truffa che viene operata tramite Internet e caratterizzata dall’invio di messaggi di posta elettronica mendaci, che imitano perfettamente la grafica di istituti di credito e postali.

Tali e-mail inducono in errore l’ignaro correntista, il quale ritiene di essere stato contattato dalla propria banca, invece non è assolutamente così.

L’e-mail incriminata, piuttosto, contiene un link che rinvia ad un sito-truffa, in apparenza del tutto simile all’originale.

In generale, lo scopo dei cyber-criminali, si sostanzia nel carpire le credenziali del malcapitato correntista (user id e password), per poi impiegarle fraudolentemente, al fine di sottrarre liquidità.

Purtroppo questi cyber-criminali diventano sempre più bravi nel predisporre queste mail trappola. Sempre più spesso, pertanto, le controversi tra correntisti caduti nella loro rete e banche finiscono nelle aule giudiziarie.

Entrando nel merito della causa, con sentenza del 12 luglio 2016 la Corte d’Appello di Palermo, provvedendo in totale riforma della sentenza resa tra le parti dal locale Tribunale, ha respinto la domanda spiegata dagli attori nei confronti di Poste Italiane S.p.A., presso la quale erano titolari di un rapporto di conto corrente, volta ad ottenere condanna della convenuta, a titolo di responsabilità contrattuale o extracontrattuale, al pagamento dell’importo di euro 5.500,00, oltre accessori, somma che risultava bonificata, attraverso una operazione on-line, in mancanza di qualunque disposizione da parte loro in tal senso, in favore di un individuo ad essi sconosciuto.

Ha in breve ritenuto la Corte territoriale:

– che la fattispecie dovesse essere ricondotta all’ambito di applicazione dell’articolo 2050 c.c.;

– che Poste italiane S.p.A. avesse comprovato di essersi munita di un adeguato sistema di sicurezza tale da impedire l’accesso ai dati personali del correntista da parte di terzi;

– che doveva, pertanto, ritenersi che gli attori fossero stati vittime di una truffa informatica on-line consistita nel carpire loro username e password per l’accesso al conto;

– che non sussisteva un vero e proprio obbligo contrattuale di Poste italiane S.p.A. di garantire e tutelare i clienti dalle frodi informatiche, essendo gli stessi clienti responsabili della custodia dell’utilizzo corretto dell’identificativo utente, della parola chiave, del codice di attivazione, del codice dispositivo segreto e della chiave di accesso al servizio;

– che non poteva dubitarsi del comportamento decisamente imprudente e negligente degli appellati, i quali avevano digitato i propri codici personali, verosimilmente richiestigli con una mail fraudolenta, in tal modo consentendo all’ignoto truffatore di utilizzarli successivamente.

Per la cassazione della sentenza gli attori hanno proposto ricorso per quattro mezzi.

Poste italiane S.p.A. ha resistito con controricorso.

Considerato che:

– Il primo motivo denuncia omesso esame circa un fatto decisivo per il giudizio che è stato oggetto di discussione tra le parti in relazione all’articolo 360, numero 5, c.p.c., censurando la sentenza impugnata la quale non aveva esaminato e considerato l’avvenuto disconoscimento dell’operazione contabile di addebito operata sul conto corrente, con conseguente omessa valutazione degli effetti che tale disconoscimento aveva determinato il riparto degli oneri probatori delle parti contrattuali.

– Il secondo motivo denuncia violazione e falsa applicazione degli articoli 1218, 2050, 2697 c.c. e 115 c.p.c. e dei principi in tema di responsabilità contrattuale e riparto dell’onere della prova in relazione all’articolo 360, numero 3, c.p.c., censurando la sentenza impugnata per aver erroneamente sussunto la fattispecie nell’ambito della responsabilità per attività pericolosa.

– Il terzo motivo denuncia violazione o falsa applicazione degli articoli 115 c.p.c., 2050, 2697, 2729 c.c., 40 e 41 c.p. in relazione all’articolo 360, numero 3, c.p.c., violazione dell’articolo 116 c.p.c. in relazione all’articolo 360, numero 4, c.p.c., nullità della sentenza, censurando la medesima per aver fondato la propria decisione su valutazioni ipotetiche della responsabilità dei danneggiati in assenza di alcuna prova ovvero indizio che essi avessero comunicato a terzi di codici segreti.

– Il quarto motivo denuncia violazione e falsa applicazione degli articoli 115 c.p.c. e 2050, 2697 c.c. nonché dei principi di valutazione delle prove, in relazione all’articolo 360, numero 3, c.p.c., violazione dell’articolo 116 c.p.c. in relazione all’articolo 360, numero 4, c.p.c., nullità della sentenza, censurando la sentenza impugnata nella parte in cui aveva ritenuto che la prova liberatoria di cui all’articolo 2050 c.c. prescindesse dalla valutazione concreta delle misure tecnologiche che il progresso scientifico aveva, all’epoca dei fatti effettivamente messo a disposizione della sicurezza dei sistemi di home banking.

La Suprema Corte di Cassazione, con l’ordinanza in commento ha chiarito che spetta alla banca fornire la prova della riconducibilità dell’operazione al cliente. Inoltre, l’istituto di credito deve dimostrare di aver adottato tutte le misure idonee per garantire la sicurezza dell’home banking. Viene, quindi, enunciato il seguente principio:

“in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell’entrata in vigore del D.Lgs. n. 11 del 2010, attuativo della Direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire la prova della riconducibilità dell’operazione al cliente”.

Consulta il testo integrale -> Cassazione Civile – Ordinanza 12 aprile 2018, n. 9158