Impossibile pretendere dall’istituto di credito la restituzione della somma di denaro sottratta al correntista con un ordine di bonifico online. Decisiva la constatazione dell’adeguata sicurezza garantita dalla banca. Inevitabile addebitare l’episodio a una condotta imprudente e negligente del correntista rimasto vittima di phishing.
Danno e beffa per il cliente della banca rimasto vittima di phishing , ossia quella frode consistente nell’inviare e-mail – falsamente presentate come prodotte ufficialmente dall’istituto di credito – che servono a ottenere dal destinatario dati e informazioni necessari per l’accesso al conto corrente online. I Giudici sanciscono difatti che il cliente truffato deve dire addio alla somma di denaro sottrattagli e, al contempo, non può rivalersi nei confronti dell’istituto di credito. Riflettori puntati sul conto Bancoposta online cointestato a un uomo e a una donna. I due titolari del conto scoprono, improvvisamente, che sono spariti ben 6mila euro. Una rapida verifica consente loro di ricostruire quanto accaduto in occasione di una anomala attività bancaria per via telematica vi è stato nei loro confronti «un addebito di 6mila euro sul loro conto corrente bancario, addebito derivato da operazione di bonifico eseguita per via telematica da una terza persona». Passaggio successivo, per l’uomo e la donna, è l’azione giudiziaria proposta nei confronti di Poste Italiane s.p.a. Il loro obiettivo è recuperare i 6mila euro scomparsi dal conto. E i giudici del Tribunale riconoscono la legittimità della loro pretesa così, Poste Italiane viene condannata a versare ai due clienti «6mila euro a titolo di risarcimento del danno loro cagionato». E ciò soprattutto alla luce di un dato la società non ha adottato, secondo i giudici di primo grado, «tutte le misure di sicurezza tecnicamente idonee a prevenire danni come quelli verificatisi in capo all’uomo e alla donna». Di parere opposto sono però i giudici d’Appello, i quali ritengo impossibile addebitare responsabilità a Poste Italiane, a fronte del comportamento imprudente e negligente dei titolari del conto corrente. In particolare, i giudici di secondo grado osservano, innanzitutto, che «l’attività svolta da Poste Italiane, in quanto relativa anche al trattamento informatico di dati personali, è da considerarsi pericolosa, in considerazione delle sempre più frequenti truffe informatiche c.d. phishing miranti a carpire fraudolentemente i suddetti dati per il compimento di operazioni illecite, per lo più finalizzate», come nel caso oggetto del processo, «all’accesso ai dati personali del correntista per il trasferimento di somme dal suo conto corrente a quello di terze persone». Ebbene, «dai dati acquisiti al processo risulta che Poste Italiane ha adottato un sistema di sicurezza tale da impedire l’accesso ai dati personali del correntista da parte di terze persone» e risulta anche che i due titolari del conto «approvarono espressamente per iscritto» il capitoletto «relativo alla sicurezza del servizio bancario per via telematica ed elencante i codici necessari per accedere al servizio». Inoltre, risulta che «i livelli di sicurezza dei sistemi informatici di Bancoposta online di Poste Italiane s.p.a. sono stati certificati da appositi enti certificatori, secondo i più rigorosi ed affidabili standard internazionali» e «dal contenuto di tali documenti emerge che l’utilizzazione del servizio Bancoposta online può avvenire esclusivamente attraverso l’ inserimento di vari codici segreti in possesso del correntista e sconosciuti allo stesso personale di Poste Italiane». Tirando le somme, per i giudici d’Appello è chiaro che «l’operazione, eseguita per via telematica, di trasferimento di 6mila euro dal conto corrente di cui erano titolari l’uomo e la donna ad altro conto intestato a terze persone non può che essere avvenuta grazie all’utilizzo dei codici identificativi personali del titolare del conto» e ciò porta a ritenere che «il correntista sia rimasto vittima di una delle sempre più frequenti truffe informatiche», truffa a seguito della quale «il correntista è stato indotto a fornire online i propri codici personali user id, password, pin , poi utilizzati dal truffatore c.d. hacker per il compimento dell’illecita operazione», ossia l’incriminato spostamento di 6mila euro. Per fare maggiore chiarezza, poi, i giudici d’Appello sottolineano che «nel foglio informativo, a suo tempo ricevuto dai titolari del conto, è precisato che il cliente è responsabile della custodia e dell’utilizzo corretto dell’identificativo utente, della parola chiave, del codice di attivazione, del codice dispositivo segreto e della chiave di accesso al servizio e che la mancanza di precauzioni da parte del titolare nel mantenere segreti i suddetti codici può determinare il rischio di accessi illeciti al servizio e di operazioni fraudolente da parte di terze persone». Inoltre, «sul sito internet di Poste Italiane, agevolmente consultabile dal correntista» vi è un apposito spazio in cui «vengono fornite le necessarie informazioni per evitare le frodi informatiche in particolare, il phishing , con l’avvertenza, in particolare, che Poste Italiane non richiede mai, attraverso messaggi di posta elettronica, lettere o telefonate, di fornire i codici personali e con le indicazioni necessarie per distinguere il sito internet autentico e protetto di Poste Italiane da quelli clonati, nei quali il correntista è indotto a digitare i propri codici personali» Per i giudici d’Appello «non può dubitarsi del comportamento decisamente imprudente e negligente» del cliente della banca, il quale «ha digitato i propri codici personali verosimilmente richiestigli con un e-mail fraudolenta , in tal modo consentendo a un ignoto truffatore di successivamente utilizzarli per effettuare la disposizione» incriminata, ossia il bonifico da 6mila euro. E «tale condotta colposa » dei titolari del conto «è stata la causa esclusiva dell’operazione che ha determinato l’addebito della somma di 6mila euro sul conto» dell’uomo e della donna e «ha assunto i caratteri del caso fortuito, che ha interrotto il nesso eziologico tra l’attività pericolosa e l’evento dannoso, con conseguente esclusione della responsabilità di Poste Italiane s.p.a.». Inutile il ricorso in Cassazione proposto dall’uomo e dalla donna. Per loro non vi è alcuna possibilità di recuperare la somma di denaro sottratta al loro conto corrente on line. I Magistrati ritengono privo di valore il fatto che i due titolari del conto abbiano «espressamente disconosciuto, nell’ambito del rapporto contrattuale fra loro e Poste Italiane, come a essi riferibile l’operazione contabile di addebito sul conto corrente di cui essi erano titolari della somma di 6mila euro, oggetto di ordine di bonifico in favore di terze persone». Su questo punto i Magistrati osservano che «il disconoscimento dell’operazione», ossia il non avere i due titolari del conto «impartito a Poste Italiane l’ordine di bonifico di 6mila euro», costituisce il presupposto del ragionamento culminato nel sancire che « l’addebito della somma di danaro sul conto corrente postale di cui l’uomo e la donna erano titolari costituì esecuzione di un ordine di bonifico dato alla società previa utilizzazione di username, di password e di pin per l’accesso ai dati interni al conto corrente postale assegnati ai correntisti e dei cui contenuti solo costoro avrebbero dovuto essere a conoscenza». Poi, alla luce delle «caratteristiche di sicurezza proprie del sistema informatico di Poste per l’esecuzione di operazioni bancarie per via telematica», vi è, secondo i Giudici, «la prova, derivata da presunzioni, che tali username, pin e password, che i titolari del conto affermavano di non avere utilizzato per impartire tale ordine di bonifico, vennero utilizzati da un soggetto terzo, previa loro illecita captazione». Impossibile, quindi, in conclusione, per i titolari del conto, pretendere di avere da Poste i 6mila euro sottrattigli con un’operazione di bonifico online.
Presidente De Chiara– Relatore Vannucci Fatti di causa 1. Con sentenza emessa il 12 gennaio 2010 il Tribunale di Palermo condannò la Poste Italiane s.p.a. a pagare ad L.B.A. e a I.C. Euro 6.000 , rivalutati anno per anno, oltre interessi, a titolo di risarcimento del danno loro cagionato da tale società nell'esercizio di attività bancaria per via telematica in conseguenza di addebito di Euro 6.000 sul loro conto corrente bancario derivato da operazione di bonifico c.d. postagiro eseguita per via telematica da un terzo e ciò sul rilievo che la società convenuta non aveva adottato tutte le misure di sicurezza tecnicamente idonee a prevenire danni come quelli verificatisi in capo agli attori . 2. Adita dalla parte soccombente, la Corte di appello di Palermo, in riforma della sentenza di primo grado, rigettò la domanda risarcitoria in quanto l'attività svolta da Poste, in quanto relativa anche a trattamento informatico di dati personali, è da considerarsi pericolosa D.Lgs. numero 196 del 2003, articolo 15 e articolo 2050 c.c. in considerazione delle sempre più frequenti truffe informatiche c.d. Phishing , miranti a carpire fraudolentemente i suddetti dati per il compimento di operazioni illecite, per lo più finalizzate, come nel caso di specie, all'accesso ai dati personali del correntista per il trasferimento di somme dal conto corrente dello stesso a quello di terzi dai dati acquisiti al processo risulta che Poste Italiane adottò un sistema di sicurezza tale da impedire l'accesso ai dati personali del correntista da parte di terzi in primo luogo, risulta che gli appellati approvarono espressamente per iscritto l'articolo 3 della Sezione G Omissis on line - relativo alla sicurezza del servizio bancario per via telematica - elencante i codici necessari per accedere al servizio nella sentenza specificamente descritti inoltre, alla luce del contenuto dei documenti depositati dalla società appellante nel giudizio di appello indispensabile ai fini della decisione, ai sensi dell' articolo 345, 3 comma c.p.c. , risulta che i livelli di sicurezza dei sistemi informatici di Omissis on line di Poste Italiane s.p.a. sono stati certificati da appositi enti certificatori secondo i più rigorosi ed affidabili standard internazionali risulta dal contenuto di tali documenti che l'utilizzazione del servizio Omissis on line può avvenire esclusivamente attraverso l'inserimento di vari codici segreti in possesso dell'utente e sconosciuti allo stesso personale di Poste Italiane l'operazione, eseguita per via telematica di trasferimento di Euro 6.000 dal conto corrente di cui erano titolari gli appellati ad altro conto intestato a terzi non può che essere avvenuta grazie all'utilizzo dei codici identificativi personali dell' I., il che, a sua volta, porta a ritenere che, assai verosimilmente, lo stesso sia rimasto vittima di una delle sempre più frequenti truffe informatiche, a seguito della quale l'appellato è stato indotto a fornire on line i propri codici personali user id, password, pin , poi utilizzati dal truffatore c.d. hacker per il compimento dell'illecita operazione dispositiva nel foglio informativo a suo tempo ricevuto dagli appellati è precisato che il cliente è responsabile della custodia e dell'utilizzo corretto dell'identificativo utente, della parola chiave, del codice di attivazione, del codice dispositivo segreto e della chiave di accesso al servizio e che la mancanza di precauzioni da parte del titolare nel mantenere segreti i suddetti codici può determinare il rischio di accessi illeciti al servizio e di operazioni fraudolente da parte di terzi inoltre, sul sito internet di Poste Italiane, agevolmente consultabile da I., viene dedicato apposito spazio, nel quale vengono fornite le necessarie informazioni per evitare le frodi informatiche in particolare il phishing , con l'avvertenza, in particolare, che Poste Italiane non richiede mai, attraverso messaggi di posta elettronica, lettere o telefonate, di fornire i codici personali e con le indicazioni necessarie per distinguere il sito internet autentico e protetto di Poste Italiane da quelli clonati, nei quali l'utente è indotto a digitare i propri codici personali pertanto, non può dubitarsi del comportamento decisamente imprudente e negligente dell'appellato, il quale ha digitato i propri codici personali verosimilmente richiestigli con un e-mail fraudolenta , in tal modo consentendo all'ignoto truffatore di successivamente utilizzarli, per effettuare la disposizione sul conto degli appellati tale condotta colposa degli appellati e' stata la causa esclusiva dell'operazione postagiro, che ha determinato l'addebito della somma di Euro 6.000,00 sul loro conto e ha assunto i caratteri del caso fortuito, che ha interrotto il nesso eziologico tra l'attività pericolosa e l'evento dannoso, con conseguente esclusione della responsabilità dell'odierna appellante . 3. L.B.A. e I.C. chiedono la cassazione di tale sentenza con ricorso contenente cinque motivi di impugnazione, assistiti da memoria. 4. La Poste Italiane s.p.a. resiste con controricorso, assistito da memoria. Ragioni della decisione 1. Con il primo motivo i ricorrenti deducono che la sentenza impugnata omette di esaminare il fatto decisivo per il giudizio costituito dall'avere essi ricorrenti espressamente disconosciuto, nell'ambito del rapporto contrattuale fra loro e Poste Italiane, come a essi riferibile l'operazione contabile di addebito sul conto corrente di cui essi erano titolari della somma di Euro 6.000, oggetto di ordine di bonifico in favore di terzi con la conseguenza che era onere di Poste Italiane dimostrare che l'operazione disconosciuta era da ricondurre ai codici dispositivi e di accesso dei correntisti . 2. Il motivo, per come dedotto, è inammissibile in quanto non attinente alla ragione fondante la decisione della Corte di appello, in quanto il disconoscimento dell'operazione da parte dei ricorrenti id est, il non avere costoro impartito il 27 aprile 2005 a Poste Italiane l'ordine di bonifico di Euro 6.000 costituisce il presupposto del ragionamento del giudice di merito, consistente nell'affermazione secondo cui l'addebito della somma di danaro al conto corrente postale di cui i ricorrenti erano titolari costituì esecuzione di ordine di bonifico dato alla società previa utilizzazione di username, di password e di pin per l'accesso ai dati interni al conto corrente postale assegnati ai correntisti e dei cui contenuti solo costoro avrebbero dovuto essere a conoscenza alla luce delle caratteristiche di sicurezza proprie del sistema informatico di Poste per l'esecuzione di operazioni bancarie per via telematica, vi era la prova, derivata da presunzioni, che tali username, pin e password, che i ricorrenti affermavano di non avere utilizzato per impartire tale ordine, vennero utilizzati da un terzo, previa loro illecita captazione. 3. Con il secondo motivo i ricorrenti deducono che la sentenza impugnata è caratterizzata da falsa applicazione degli articolo 1218 e 2697 c.c. , nonché degli articolo 115 e 116 c.p.c. e dei principi in tema di responsabilità contrattuale e riparto dell'onere della prova , non avendo Poste Italiane, a fronte del disconoscimento dell'operazione da parte di essi ricorrenti, provato che l'addebito della sopra indicata somma di danaro era frutto di una specifica disposizione di pagamento proveniente dai clienti stessi, mediante il corretto utilizzo della sua username e password . 4. Anche tale motivo è inammissibile perché, come detto, secondo la sentenza impugnata la prova, per presunzioni, della apparente provenienza dai ricorrenti dell'ordine di bonifico previa immissione nel sistema informatico di username, di password e di pin per l'accesso ai dati interni al conto corrente postale loro assegnati e dei cui contenuti solo costoro avrebbero dovuto essere a conoscenza inferendo dunque che, a fronte del diniego dei ricorrenti di avere utilizzato tali dati identificativi per dare l'ordine di bonifico controverso, gli stessi dati fossero stati fraudolentemente, dapprima captati e, dappoi, in concreto utilizzati da un terzo. 5. Con il terzo motivo i ricorrenti censurano la sentenza impugnata per avere, con errata applicazione dell' articolo 345 c.p.c. nel testo antecedente alla sua nel testo vigente prima della novella recata dalla L. numero 134 del 2012 , senza tenere conto della responsabilità contrattuale di Poste Italiane, ritenuto indispensabile per la definizione del giudizio il documento prodotto in sede di appello dall'appellante, ex articolo 345 c.p.c. , concludendo, sulla scorta di tale documento, che Poste Italiane S.p.a. avesse superato la presunzione di responsabilità di cui all' articolo 2050 c.c. . Secondo i ricorrenti, in particolare tale documentazione non era affatto indispensabile ai fini della decisione in quanto in essa si menziona certificazione rilasciata dal Omissis a Poste Italiane peraltro non depositata nel giudizio di appello relativamente al sistema di sicurezza del servizio telematico avente inizio successivo ai fatti di causa con la conseguenza che non solo detta documentazione era inidonea a vincere la presunzione di cui all' articolo 2055 c.c. la sentenza impugnata non contiene alcuna motivazione alla base dell'affermata indispensabilità. 6. La censura è inammissibile, in quanto non risulta dalla sentenza impugnata che fra le parti vi sia stata nel giudizio di appello discussione relativa ai documenti depositati per la prima volta in tale giudizio da Poste Italiane la motivazione relativa all'affermata indispensabilità è implicita, dal momento che dal contenuto della sentenza risultava già acquisita al processo di primo grado la prova desumibile dal contenuto del documento indicato nelle pagg. 4 e 5 della sentenza impugnata che il sistema informatico di Poste Italiane relativo alle operazioni bancarie eseguite on line dai titolari di conto corrente era dotato di sistemi di sicurezza finalizzati a impedire che al conto potessero avere accesso persone estranee al rapporto, mentre il contenuto del documento menzionato dalla sentenza attesta la concreta idoneità di tale sistema a impedire accessi abusivi la pag. 12 del documento numero 4 depositato nel giudizio di appello da Poste Italiane evidenzia che la certificazione menzionata dai ricorrenti era stata preceduta dalla utilizzazione, a far tempo dal 5 settembre 2002, di una nuova versione dello standard britannico di sicurezza denominato BS 7799 . 7. Nel quarto motivo i ricorrenti censurano la sentenza impugnata per violazione ovvero falsa applicazione degli articolo 115 e 116 c.p.c. , degli articolo 2050, 2697 e 2729 c.c., nonché degli articolo 40 e 41 c.p. , non potendo per le ragioni nell'atto indicate ritenersi dimostrata, neppure per presunzioni, la condotta colposa dei danneggiati, idonea a interrompere il nesso di causalità fra attività pericolosa e danno subito non avendo, in particolare, Poste Italiane dimostrato che l'operazione disconosciuta fosse stata compiuta mediante l'effettivo utilizzo ed inserimento delle credenziali di accesso dei ricorrenti quand'anche acquisite fraudolentemente . 8. Anche tale motivo è inammissibile, in quanto la motivazione della sentenza impugnata contiene un compiuto ragionamento presuntivo e le critiche a essa mosse dai ricorrenti sono di merito, in questa sede non rilevanti. 9. Con il quinto motivo la sentenza di appello è dai ricorrenti censurata per violazione ovvero falsa applicazione degli articolo 115 e 116 c.p.c. e dell'articolo 2050 c.c., nonché dei principi di valutazione delle prove , quanto all'accertamento del concreto funzionamento del sistema di sicurezza caratterizzante il sistema informatico di Poste Italiane. Secondo i ricorrenti, tale sistema di sicurezza era di modesto livello, risultando invece dal contenuto dei documenti depositati da loro depositati che Poste Italiane non aveva al tempo adottato tutte le misure idonee ad evitare il danno. 10. La censura, per come dedotta, è ancora una volta inammissibile in quanto con essa si sollecita pagg. 24-27 del ricorso una valutazione del merito delle acquisizioni istruttorie non consentito in sede di giudizio di legittimità. 11. L'accertata inammissibilità del ricorso comporta, in applicazione del principio di soccombenza, la condanna dei ricorrenti a rimborsare, col vincolo della solidarietà passiva, alla Poste Italiane le spese processuali da tale parte vittoriosa anticipate nel i giudizio di legittimità, nella misura liquidata in dispositivo. P.Q.M. dichiara inammissibile il ricorso e condanna i ricorrenti a rimborsare, con il vincolo della solidarietà passiva alla controricorrente le spese processuali da questa anticipate nel presente giudizio, liquidate in Euro 200 per esborsi ed Euro 3.000 per compenso di avvocato, oltre spese forfetarie pari al 15% del compenso, I.V.A. e c.p.A. come per legge. Dà atto che sussistono i presupposti previsti dal D.P.R. numero 115 del 2002, articolo 13 , comma 1 quater, inserito dalla L. numero 228 del 2012, articolo 1 , comma 17, per il versamento da parte dei ricorrenti, ove dovuto, di un ulteriore importo a titolo di contributo unificato pari a quello previsto per l'impugnazione.