I Giudici di legittimità – in coerenza col proprio precedente orientamento – hanno ribadito che qualora un correntista, vittima di una frode telematica, disconosca un’operazione di bonifico effettuata sul proprio conto corrente incombe sulla banca l’onere di provare non solo di avere adottato tutte le misure idonee a garantire la sicurezza del servizio, ma anche la riconducibilità dell’operazione al cliente.
La Sesta Sezione civile della Suprema Corte di Cassazione con l’ordinanza n. 9158/18, depositata il 12 aprile, torna ad occuparsi di una vicenda di frode online, c.d. phishing . Il caso. Il Tribunale di Palermo accoglieva la domanda formulata da due correntisti nei confronti della propria banca condannando quest’ultima a restituire loro la somma di circa € 5.000 oggetto di una operazione di bonifico online dagli stessi disconosciuta. La Corte d’Appello di Palermo riformava integralmente la sentenza di primo grado e respingeva le domande dei correntisti. Segnatamente il secondo giudice riteneva che la fattispecie dovesse essere ricondotta all’ambito di applicazione dell’art. 2050 c.c. e che la banca avesse provato in corso di causa di essersi munita di un adeguato sistema di sicurezza tale da impedire l’accesso ai dati personali del correntista da parte di terzi. La Corte territoriale riteneva poi che i clienti fossero stati vittime di una truffa informatica online consistita nel carpire loro le credenziali di accesso al conto e che gli stessi – con comportamento negligente – avessero verosimilmente digitato dette credenziali in risposta ad una mail fraudolenta, così consentendo ad ignoti truffatori di utilizzarle. Concludeva infine la Corte d’Appello di Palermo escludendo un obbligo contrattuale della banca di garantire e tutelare i clienti dalle frodi informatiche, essendo gli stessi responsabili della custodia e dell’utilizzo corretto di tutti i propri dati identificativi e dei dispositivi per l’accesso al servizio online. I correntisti ricorrevano per cassazione. I motivi di ricorso la responsabilità contrattuale della banca in ipotesi di phishing. I ricorrenti chiedono la riforma della sentenza della Corte d’Appello di Palermo formulando – per quel che qui rileva – tre motivi di gravame tra loro connessi a omesso esame circa un fatto decisivo per il giudizio che è stato oggetto di discussione tra le parti, in relazione all’art. art. 360, comma 1, numero 5, c.p.c., non avendo il secondo giudice considerato l’avvenuto disconoscimento dell’operazione contabile di addebito delle somme sul conto corrente, con conseguente omessa valutazione degli effetti che tale disconoscimento aveva determinato sul riparto dell’onere probatorio b violazione e falsa applicazione degli artt. 1218, 2050, 2697 c.c. e 115 c.p.c. nonché dei principi in tema di responsabilità contrattuale e riparto dell’onere della prova in relazione all’art. 360, comma 1, numero 3, c.p.c., avendo il secondo giudice erroneamente sussunto la fattispecie nell’ambito della responsabilità per attività pericolosa c violazione o falsa applicazione degli artt. 115 c.p.c., 2050, 2697, 2729 c.c., 40 e 41 c.p., in relazione all’art. 360, comma 1, numero 3, c.p.c., nonché dell’art. 116 c.p.c., in relazione all’art. 360, comma 1, numero 4, c.p.c., avendo il secondo giudice fondato la propria decisione su valutazioni ipotetiche della responsabilità dei danneggiati in assenza di alcuna prova ovvero indizio che essi avessero comunicato a terzi i codici segreti. Il corretto riparto dell’onere della prova nel giudizio per phishing. La Corte di Cassazione accoglie i motivi di ricorso dei correntisti ritenendoli tutti manifestamente fondati. I Giudici di legittimità ribadiscono, in primo luogo, che in tema di responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, deve ricondursi nell’area del rischio professionale del prestatore dei servizi di pagamento – prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente – la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo ciò, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema che d’altronde rappresenta interesse degli stessi operatori bancari. Ad avviso della Corte, quindi, la banca – cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere – è tenuta a fornire la prova della riconducibilità dell’operazione al cliente. Nella fattispecie, invece, la Corte d’Appello di Palermo, dopo aver inquadrato la vicenda nell’ambito della responsabilità per l’esercizio di attività pericolose ex art. 2050 c.c., si è discostata da siffatto principio, erroneamente supponendo – in mancanza di qualunque obiettivo riscontro di rilievo pure indiziario – che i correntisti fossero responsabili della frode subita per aver aperto una ipotetica mail ed aver comunicato per tal via i propri dati ad estranei. Al contrario, la Corte territoriale avrebbe dovuto verificare la sussistenza della prova della banca circa la riconducibilità di tale operazione al cliente. Con la qui annotata ordinanza la Suprema Corte conferma il proprio orientamento già espresso con sentenza del 3 febbraio 2017, n. 2950 , secondo cui in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema il che rappresenta interesse degli stessi operatori , è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell’entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire la prova della riconducibilità dell’operazione al cliente . In argomento vedasi anche Cass. 23 maggio 2016, n. 10638 , ove precisato che in punto di ripartizione delle responsabilità derivanti dall'utilizzazione del servizio, il d.lgs. 27 gennaio 2010, n. 11, agli artt. 10 e 11, prevede che, qualora l'utente neghi di aver autorizzato un’operazione di pagamento già effettuata, l’onere di provare la genuinità della transazione ricade essenzialmente sul prestatore del servizio. E nel contempo obbliga quest’ultimo a rifondere con sostanziale immediatezza il correntista in caso di operazione disconosciuta, tranne ove vi sia un motivato sospetto di frode, e salva naturalmente la possibilità per il prestatore di servizi di pagamento di dimostrare anche in un momento successivo che l’operazione di pagamento era stata autorizzata, con consequenziale diritto di chiedere e ottenere, in tal caso, dall’utilizzatore, la restituzione dell'importo rimborsato .
Corte di Cassazione, sez. VI Civile – 1, ordinanza 13 febbraio – 12 aprile 2018, n. 9158 Presidente Di Virgilio – Relatore Di Marzio Ffatto e diritto Rilevato che 1. Con sentenza del 12 luglio 2016 la Corte d’appello di Palermo, provvedendo in totale riforma della sentenza resa tra le parti dal locale Tribunale, ha respinto la domanda spiegata da R.L.D. e P.A. nei confronti di Poste Italiane S.p.A., presso la quale erano titolari di un rapporto di conto corrente, volta ad ottenere condanna della convenuta, a titolo di responsabilità contrattuale o extracontrattuale, al pagamento dell’importo di Euro 5500,00, oltre accessori, somma che risultava bonificata, attraverso una operazione on-line, in mancanza di qualunque disposizione da parte loro in tal senso, in favore di un individuo ad essi sconosciuto, tale K.N. . Ha in breve ritenuto la Corte territoriale - che la fattispecie dovesse essere ricondotta all’ambito di applicazione dell’articolo 2050 c.c. - che Poste italiane S.p.A. avesse comprovato di essersi munita di un adeguato sistema di sicurezza tale da impedire l’accesso ai dati personali del correntista da parte di terzi - che doveva pertanto ritenersi che gli attori fossero stati vittime di una truffa informatica on-line consistita nel carpire loro username e password per l’accesso al conto - che non sussisteva un vero e proprio obbligo contrattuale di Poste italiane S.p.A. di garantire e tutelare i clienti dalle frodi informatiche, essendo gli stessi clienti responsabili della custodia dell’utilizzo corretto dell’identificativo utente, della parola chiave, del codice di attivazione, del codice dispositivo segreto e della chiave di accesso al servizio - che non poteva dubitarsi del comportamento decisamente imprudente e negligente degli appellati, i quali avevano digitato i propri codici personali, verosimilmente richiestigli con una mail fraudolenta, in tal modo consentendo all’ignoto truffatore di utilizzarli successivamente. 2. - Per la cassazione della sentenza R.L.D. e P.A. hanno proposto ricorso per quattro mezzi. Poste italiane S.p.A. ha resistito con controricorso. Considerato che 3. Il primo motivo denuncia omesso esame circa un fatto decisivo per il giudizio che è stato oggetto di discussione tra le parti in relazione all’articolo 360, numero 5 c.p.c., censurando la sentenza impugnata la quale non aveva esaminato e considerato l’avvenuto disconoscimento dell’operazione contabile di addebito operata sul conto corrente, con conseguente omessa valutazione degli effetti che tale disconoscimento aveva determinato il riparto degli oneri probatori delle parti contrattuali. Il secondo motivo denuncia violazione e falsa applicazione degli articoli 1218, 2050, 2697 c.c. e 115 c.p.c. e dei principi in tema di responsabilità contrattuale e riparto dell’onere della prova in relazione all’articolo 360 numero 3 c.p.c., censurando la sentenza impugnata per aver erroneamente sussunto la fattispecie nell’ambito della responsabilità per attività pericolosa. Il terzo motivo denuncia violazione o falsa applicazione degli articoli 115 c.p.c., 2050, 2697, 2729 c.c., 40 e 41 c.p. in relazione all’articolo 360 numero 3 c.p.c., violazione dell’articolo 116 c.p.c. in relazione all’articolo 360 numero 4 c.p.c., nullità della sentenza, censurando la medesima per aver fondato la propria decisione su valutazioni ipotetiche della responsabilità dei danneggiati in assenza di alcuna prova ovvero indizio che essi avessero comunicato a terzi di codici segreti. Il quarto motivo denuncia violazione e falsa applicazione degli articoli 115 c.p.c. e 2050, 2697 c.c. nonché dei principi di valutazione delle prove, in relazione all’articolo 360 numero 3 c.p.c., violazione dell’articolo 116 c.p.c. in relazione all’articolo 360, numero 4, c.p.c., nullità della sentenza, censurando la sentenza impugnata nella parte in cui aveva ritenuto che la prova liberatoria di cui all’articolo 2050 c.c. prescindesse dalla valutazione concreta delle misure tecnologiche che il progresso scientifico aveva, all’epoca dei fatti effettivamente messo a disposizione della sicurezza dei sistemi di home banking. Ritenuto che 4. - Il Collegio ha disposto l’adozione della modalità di motivazione semplificata. 5. Il ricorso è manifestamente fondato. Sono difatti manifestamente fondati i primi tre motivi che possono essere simultaneamente esaminati atteso il loro collegamento. Questa Corte ha già avuto modo di affermare, pronunciando nei confronti della medesima odierna controricorrente, in fattispecie sostanzialmente analoga, che, in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema il che rappresenta interesse degli stessi operatori , è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell’entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire la prova della riconducibilità dell’operazione al cliente Cass. 3 febbraio 2017, n. 2950 . Nel caso di specie la Corte d’appello, dopo aver inquadrato la vicenda nell’ambito della responsabilità per l’esercizio di attività pericolose di cui all’articolo 2050 c.c., si è discostata dal principio che precede, in buona sostanza supponendo, in mancanza di qualunque obiettivo riscontro di rilievo pure indiziario, che gli odierni ricorrenti si fossero resi responsabili dell’occorso per aver aperto una ipotetica mail ed aver comunicato per questa via i propri dati ad estranei, mentre avrebbe dovuto verificare se Poste italiane S.p.A. avesse fornito la prova della riconducibilità dell’operazione al cliente. Il quarto motivo è assorbito. 6. La sentenza e cassata in relazione ai motivi accolti e rinviata per nuovo esame alla Corte d’appello di Palermo che si atterrà al principio dianzi rammentato e provvederà anche sulle spese di questo giudizio di legittimità. P.Q.M. accoglie i primi tre motivi del ricorso, assorbito il quarto, cassa la sentenza impugnata in relazione ai motivi accolti e rinvia anche per le spese alla Corte d’appello di Palermo in diversa composizione.