La sicurezza della piattaforma online per le operazioni bancarie va dimostrata… e non dal cliente

Due operazioni sul conto corrente online non autorizzate dal titolare spingono quest’ultimo a chiedere il risarcimento del danno derivatone. Nella sentenza si affrontano i temi della ripartizione degli oneri probatori e dell’attribuzione della responsabilità relativa alla sicurezza delle piattaforme digitali attraverso cui si effettuano i pagamenti in rete.

Così si è espressa la Corte di Cassazione con la sentenza n. 2950/17 depositata il 3 febbraio. Il caso. Un soggetto chiede la condanna di Poste Italiane spa al risarcimento del danno derivante da due operazioni sul proprio conto corrente, eseguite da un soggetto non autorizzato. Il Tribunale respingeva la domanda e il successivo appello veniva rigettato dalla Corte territoriale, che attribuiva all’attore la mancata custodia delle chiavi d’accesso per le operazioni online o l’incauto comportamento dello stesso nel farsele sottrarre. Gli oneri probatori. Avverso questa pronuncia il correntista ricorreva in Cassazione. Il ricorrente ritiene che il giudice di seconde cure non abbia applicato correttamente le regole in tema di ripartizione degli oneri probatori era stato ritenuto idoneo il sistema di sicurezza approntato da Poste Italiane spa, pur non essendo ciò dimostrato dalla società e non era stata dimostrata l’utilizzazione dei codici di accesso del ricorrente per l’esecuzione delle operazioni. La Corte di Cassazione ricorda il principio generale dell’onere delle prove in giudizio, specificando che, qualora ci si avvalga di mezzi meccanici o elettronici nell’utilizzazione di servizi e strumenti con funzione di pagamento, non può essere omessa [] la verifica dell’adozione da parte dell’istituto bancario delle misure idonee a garantire la sicurezza del servizio . Si richiede un livello di diligenza di natura tecnica, da valutare al netto dei rischi tipici della sfera professionale di riferimento quella dell’ accorto banchiere . La garanzia della fiducia dei clienti. Secondo la Corte, la sentenza impugnata, attribuisce rilievo al fatto che il correntista non abbia provato la sua estraneità all’esecuzione delle operazioni finanziarie sul proprio conto, mentre era da accertare in positivo che l’operazione fosse a lui imputabile. D’altro canto, la sottrazione delle chiavi d’accesso ad un conto corrente è un rischio onnipresente, che non può non ricadere nell’area del rischio d’impresa, che obbliga all’adozione di misure di sicurezza in tal senso. Da ciò deriva che anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema [] appare del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore di servizi di pagamento l’eventuale utilizzazione di codici da parte di terzi, pur non sussistendo dolo o mancanza di cautela del titolare. Per questi motivi, il ricorso va accolto e la sentenza cassata.

Corte di Cassazione, sez. I Civile, sentenza 4 ottobre 2016 – 3 febbraio 2017, n. 2950 Presidente Nappi – Relatore De Marzo Svolgimento del processo 1. Per quanto ancora rileva, con sentenza depositata in data 8 marzo 2011 la Corte d’appello di Trento a ha rigettato l’appello principale proposto da D.A. avverso la decisione di primo grado, che aveva respinto la domanda intesa ad ottenere la condanna di Poste Italiane s.p.a. a risarcire il danno derivante da due operazioni una di giroconto e l’altra di bonifico , eseguite in assenza di sue disposizioni e di cessione a terzi dei codici personali di accesso al sistema che consentiva le operazioni on line b ha dichiarato inammissibile l’appello incidentale tardivo proposto da Poste Italiane s.p.a. avverso il capo della sentenza di primo grado, che l’aveva condannata al pagamento delle spese nei confronti di G.S. , chiamato in giudizio, unitamente ad D.B.A. , quale beneficiario delle operazioni, e ritualmente costituitosi. 2. La Corte territoriale ha ritenuto a che, a tacere dell’assenza di prova certa, quanto all’estraneità del D. rispetto al bonifico disposto in favore del D.B. , comunque, secondo l’accertamento del giudice di primo grado, le misure di sicurezza on line di Bancoposta, caratterizzate dall’utilizzo di un sistema di crittografia dei dati di riconoscimento del cliente, erano tali da escludere che l’accesso alle funzioni fosse consentito a chi non era conoscenza delle chiavi di accesso c che pertanto le operazioni in questione erano state rese possibili dalla mancata custodia o comunque da un incauto comportamento del correntista, tale da consentire la sottrazione dei codici mediante tecniche fraudolente d che l’appello incidentale non poteva essere proposto nel termine previsto dall’ad. 334 cod. proc. pen., dal momento che l’impugnazione proposta da Poste Italiane s.p.a. si correlava ad una domanda di garanzia impropria, autonoma, per soggetti e titolo, rispetto a quella formulata dall’attore in via principale. 3. Avverso tale sentenza, il D. propone ricorso per cassazione affidato a due motivi. Resistono con controricorso Poste Italiane s.p.a. e il G. il D.B. non ha svolto attività difensiva. Nell’interesse del D. e di Poste Italiane s.p.a sono state depositate memorie ai sensi dell’art. 378 cod. proc. civ Motivi della decisione 1. Con il primo motivo si lamentano violazione o falsa applicazione degli artt. 1218 e 2697 cod. civ., nonché vizi motivazionali, per avere la Corte territoriale omesso di applicare le regole in tema di ripartizione dell’onere probatorio. Nel caso di specie, era stata rigettata la domanda con la quale l’attore aveva denunciato un inadempimento contrattuale della controparte, nonostante la mancanza di dimostrazione che le operazioni contestate fossero state eseguite attraverso i codici di accesso del ricorrente. 2. Con il secondo motivo si lamentano violazione o falsa applicazione degli artt. 1218, 2697, 1710, 1768, 1856, 2050 cod. civ., nonché vizi motivazionali, per avere la Corte territoriale ritenuto, in assenza di prova da parte di Poste Italiane s.p.a., l’idoneità del sistema di sicurezza adottato, nonostante l’attore avesse documentato le numerose frodi informatiche subite dai clienti di Bancoposta. 3. I due motivi, esaminabili congiuntamente per la loro stretta connessione logica, sono fondati. È indiscusso che, nel nostro ordinamento, il creditore che agisca per la risoluzione contrattuale, per il risarcimento del danno o per l’adempimento deve provare la fonte negoziale o legale del suo diritto ed il relativo termine di scadenza, limitandosi poi ad allegare la circostanza dell’inadempimento della controparte, mentre al debitore convenuto spetta la prova del fatto estintivo dell’altrui pretesa, costituito dall’avvenuto adempimento v., ad es., Cass. 20 gennaio 2015, n. 826 ovvero dell’impossibilità della prestazione derivante da causa a lui non imputabile. Tale generale principio ha trovato una sua specificazione, con riguardo all’utilizzazione di servizi e strumenti con funzione di pagamento, che si avvalgono di mezzi meccanici o elettronici, in quanto si è ritenuto che non può essere omessa . la verifica dell’adozione da parte dell’istituto bancario delle misure idonee a garantire la sicurezza del servizio . infatti, la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell’accorto banchiere Cass. 12 giugno 2007, n. 13777 v. anche Cass. 19 gennaio 2016, n. 806 . In tale cornice di riferimento, si osserva a per un verso, che la sentenza impugnata erroneamente attribuisce rilievo, per una delle due operazioni delle quali si discute, all’assenza di prova certa dell’estraneità del ricorrente, laddove era piuttosto necessario accertare in positivo la riconducibilità dell’operazione a quest’ultimo b per altro verso, che la possibilità della sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientra nell’area del rischio di impresa, destinato ad essere fronteggiato attraverso l’adozione di misure che consentano di verificare, prima di dare corso all’operazione, se essa sia effettivamente attribuibile al cliente c che, pertanto, ai fini del rigetto della domanda risarcitoria, non era sufficiente dare rilievo al - peraltro presuntivamente affermato - incauto comportamento del D. , che avrebbe consentito la sottrazione dei codici. Va aggiunto che, sebbene alla vicenda non sia applicabile ratione temporis le operazioni delle quali si discute risalgono infatti al settembre 2005 la direttiva 2007/64/CE del Parlamento Europeo e del consiglio del 13 novembre 2007, relativa ai servizi di pagamento nel mercato interno, cui è stata data attuazione con il d. lgs. 27 gennaio 2010, n. 11 v., in particolare, artt. 10 e ss. , il punto di equilibrio divisato da tale disciplina risulta essere sostanzialmente in linea con le regole generali relative alla ripartizione della prova in tema di inadempimento contrattuale e di verifica della diligenza dell’agente professionale. Infatti, l’impossibilità della prestazione derivante da causa non imputabile al soggetto obbligato art. 1218 cod. civ. richiede la dimostrazione di eventi che si collochino al di là dello sforzo diligente richiesto al debitore. Ne discende che, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema ciò che rappresenta interesse degli stessi operatori , appare del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore di servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. 4. In conclusione, il ricorso principale va accolto, con conseguente cassazione della sentenza e rinvio, anche per la regolamentazione delle spese, alla Corte d’appello di Trento in diversa composizione. P.Q.M. Cassa la sentenza impugnata e rinvia, anche per la regolamentazione delle spese, alla Corte d’appello di Trento in diversa composizione.