Phishing: Poste Italiane deve risarcire il cliente incauto?

La Suprema Corte si è pronunciata su un caso di truffa informatica, dovendo stabilire eventuali profili di responsabilità contrattuale del cliente che aveva comunicato a terzi i propri dati.

Tizio aveva ricevuto una mail apparentemente proveniente da Poste Italiane con cui era stato invitato ad accedere al proprio conto tramite un link, inserendo le proprie credenziali per effettuare il cambio della password. Dopo aver provveduto, Tizio riscontrava un addebito di euro 2.900 per un'operazione mai effettuata a favore di Anytime Paris Fra”. Tizio procedeva così a richiedere a Poste Italiane il rimborso che gli veniva negato. Si rivolgeva al Giudice di pace ma la domanda veniva rigettata. Proponeva dunque appello e il gravame veniva accolto ritenendo che il prestatore di servizi dovesse rispondere, ai sensi del d.lgs. n. 196 del 2003 , degli effetti dannosi conseguenti all'esercizio di un'attività pericolosa implicante il trattamento di dati personali non avendo l'ente dimostrato la riconducibilità dell'operazione al cliente . Poste Italiane veniva condannata al risarcimento del danno pari alla somma attualizzata sottratta dall'operazione illecita. Ricorreva per cassazione Poste Italiane sostenendo che la sentenza impugnata aveva violato le specifiche disposizioni che in materia configurano a carico dell' utente dei servizi telematici oneri di particolare cautela e diligenza nell'uso dei propri codici lamentava inoltre che la sentenza aveva omesso di attribuire rilevanza al fatto decisivo costituito dall'avere l'utente consegnato spontaneamente a terzi dati identificativi del proprio conto, operando su un sito che non era di Poste Italiane . La Suprema Corte nel decidere il caso, ricorda come la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico , sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo . E ancora sottolinea che […] il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell'altrui pretesa , sicché non può omettere la verifica dell'adozione delle misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d'impresa , la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore Cass., 1, n. 2950 del 3/2/2017 Cass., 3, n. 18045 del 5/7/2019 Cass., 6 - 3 , n. 26916 del 26/11/2020 . Era pertanto onere di Poste Italiane dover provare di aver adottato soluzioni idonee a prevenire o ridurre l' uso fraudolento dei sistemi elettronici di pagamento , sulla base di un principio di buona fede nell'esecuzione del contratto. In assenza di tale prova, per la Cassazione è corretta la decisione di imputare alla banca il rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente. La Cassazione rigetta il ricorso.

Presidente Scarano – Relatore Moscarini A.D.S., in qualità di procuratrice di P.M., convenne in giudizio, davanti al Giudice di Pace di Paola, omissis SpA chiedendo accertarsi la responsabilità contrattuale o extracontrattuale della società convenuta per la perdita patrimoniale subìta dal P.M. ammontante ad € 2900 a seguito di un'operazione posta in essere da ignoti sulla propria carta omissis . A sostegno della domanda rappresentò che il P.M. aveva ricevuto una mail in apparenza proveniente da omissis SpA, con la quale era stato invitato ad accedere al proprio conto mediante un link contenuto nella mail inserendo le proprie credenziali per effettuare il cambio della password che l'utente aveva effettuato la richiesta operazione ed aveva successivamente riscontrato un addebito di € 2900 per un'operazione a favore di omissis , da lui mai compiuta. Formulata invano richiesta di rimborso, il P.M. adì il Giudice di Pace di Paola. omissis , nel costituirsi in giudizio, affermò che la responsabilità dell'accaduto era attribuibile unicamente all'attore per aver quest'ultimo comunicato incautamente a terzi la propria password ed il proprio codice segreto pin per l'accesso on line alla propria carta, rendendo in tal modo possibile ad un soggetto terzo di effettuare l'operazione con cui gli era stata sottratta la somma di € 2900. Il Giudice di Pace adito rigettò la domanda compensando le spese. A seguito di appello del P.M., il Tribunale di Paola, con sentenza pubblicata in data 26/10/2021, ha accolto il gravame ritenendo che il prestatore di servizi dovesse rispondere, ai sensi del Dlgs. n. 196 del 2003 , degli effetti dannosi conseguenti all'esercizio di un'attività pericolosa implicante il trattamento di dati personali non avendo l'ente dimostrato la riconducibilità dell'operazione al cliente rientrando infatti l'eventuale uso dei codici di accesso al sistema da parte di terzi nel rischio professionale del prestatore di servizi di pagamento, ed essendo la condotta prevedibile ed evitabile con appropriate misure tecniche, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore di servizi di pagamento la possibilità di una utilizzazione dei codici di accesso al sistema da parte di terzi. Il Tribunale pertanto, richiamando la giurisprudenza di questa Corte secondo cui la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente Cass., 1 n. 2950 del 3/2/2017 , ha accolto il gravame e condannato omissis SpA al risarcimento del danno pari alla somma attualizzata sottratta dall'operazione illecita. Avverso la sentenza omissis SpA ha proposto ricorso per cassazione sulla base di due motivi. L'intimato non ha svolto attività difensiva in questa sede. La causa è stata assegnata per la trattazione in adunanza camerale ricorrendo i presupposti di cui all' art. 380-bis, 1 co. c.p.c. e successivamente rinviata per la trattazione in pubblica udienza. Il P.G. ha formulato conclusioni scritte nel senso dell'accoglimento del ricorso. Ragioni della decisione Con il primo motivo di ricorso - violazione e falsa applicazione dell' art. 7 co. 2 dell'art. 10 co. 2 e 12 co. 4 D.lgs. 27/1/2010 n. 11 in riferimento all' art. 360, co. 1 n. 3 c.p.c. - la ricorrente assume che la sentenza impugnata ha violato le specifiche disposizioni che in materia configurano a carico dell'utente dei servizi telematici oneri di particolare cautela e diligenza nell'uso dei propri codici ed ha disatteso le regole disciplinanti la responsabilità di omissis SpA. Con il secondo motivo di ricorso - omesso esame circa un fatto decisivo per il giudizio in riferimento all' art. 360 co. 1 n. 5 c.p.c. - lamenta che la sentenza impugnata ha omesso di attribuire rilevanza al fatto decisivo costituito dall'avere l'utente consegnato spontaneamente a terzi dati identificativi del proprio conto, operando su un sito che non era di omissis SpA ove tale fatto fosse stato considerato, il giudice del gravame non avrebbe potuto concludere per la sussistenza della responsabilità di omissis . I motivi sono infondati. La giurisprudenza di questa Corte, qualificata in termini contrattuali la responsabilità della banca, ha affermato che la diligenza posta a carico del professionista, per quanto concerne i servizi posti in essere in favore del cliente, ha natura tecnica e deve valutarsi tenendo conto dei rischi tipici della sfera professionale di riferimento assumendo come parametro quello dell'accorto banchiere Cass. n. 806 del 2016 dunque la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo. La giurisprudenza di questa Corte è infatti consolidata nel senso di ritenere che la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell'utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l'uso non autorizzato dello strumento di pagamento ma il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale. Mentre, pertanto, il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell'altrui pretesa, sicché non può omettere la verifica dell'adozione delle misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d'impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore Cass., 1, n. 2950 del 3/2/2017 Cass., 3, n. 18045 del 5/7/2019 Cass., 6 - 3 , n. 26916 del 26/11/2020 . Era pertanto onere di omissis , come correttamente ritenuto dalla impugnata sentenza, a dover provare di aver adottato soluzioni idonee a prevenire o ridurre l'uso fraudolento dei sistemi elettronici di pagamento, quali ad esempio l'invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione, sulla base di un principio di buona fede nell'esecuzione del contratto. In assenza di tale prova è corretta la decisione di imputare alla banca il rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente. Da quanto esposto consegue il rigetto del ricorso. Non occorre provvedere sulle spese perché l'intimata non ha svolto attività difensiva in questa sede. P.Q.M. La Corte rigetta il ricorso. Nulla per le spese. ai sensi dell'art. 13, co. 1-quater del d.P.R. n. 115 del 2002, si dà atto della sussistenza dei presupposti per il versamento, da parte della ricorrente, dell'ulteriore importo a titolo di contributo unificato pari a quello per il ricorso, a norma del comma 1bis del citato art. 13, se dovuto.