La responsabilità contrattuale nel caso di frode informatica

La Corte di Cassazione ha deciso su una causa relativa ad una frode informatica accertando la responsabilità contrattuale dell’azienda che aveva erogato il servizio.

Una cliente di un'azienda italiana che si occupa di servizi postali proponeva ricorso per Cassazione per una causa riguardante una frode informatica subita sul suo conto corrente e sulla carta di credito. Nello specifico, la donna aveva richiesto l'accertamento della responsabilità contrattuale dell'azienda, a seguito dell'addebito sul proprio conto corrente di un'ingente somma di denaro per una ricarica telefonica. La Corte ha accolto il secondo e il terzo motivo del ricorso, rigettando il primo. Con uno dei due motivi accolti dal Collegio, la ricorrente lamentava l'esclusione da parte della Corte d'Appello della responsabilità contrattuale dell'azienda postale, non avendo quest'ultima adempiuto tutti gli obblighi relativi alla sicurezza informatica . Ricorda la Corte di Cassazione che in tema di prova dell'adempimento di un'obbligazione, il creditore che agisca per la risoluzione contrattuale, per il risarcimento del danno, ovvero per l'adempimento, deve soltanto provare la fonte del suo diritto e il relativo termine di scadenza Cass. n. 25584/2018 , n. 3587/2021 e n. 13533/2001 . Nel caso di specie, specifica il Collegio che la Corte d'Appello avrebbe erroneamente ascritto la responsabilità del prelievo dal conto corrente alla ricorrente, senza indicarne il titolo. Ancora il Collegio ricorda che sia richiesta al professionista un certo grado di diligenza nell'adempimento delle obbligazioni assunte nell'esercizio dell'attività offerta. In particolare, viene ricordato che nel caso di operazioni effettuate come nel caso in esame a mezzo di strumenti elettronici, è necessario garantire la fiducia degli utenti che utilizzano il sistema informatico, assumendosi il rischio professionale nell'ambito dell'esercizio del servizio erogato.

Presidente Acierno Relatore Caiazzo Rilevato in fatto che Con sentenza del 4.10.16, il Tribunale di Paola accolse l'appello di omissis s.p.a., avverso la sentenza del giudice di pace che aveva accolto la domanda proposta da M.S. avente ad oggetto l'accertamento della responsabilità contrattuale dell'appellante in ordine all'addebito della somma di Euro 1000,00 per una ricarica di telefonino quale diretta conseguenza di una frode informatica subita sul conto corrente e sulla carta di credito prepagata. In particolare, il giudice di primo grado condannò la convenuta alla restituzione della somma di Euro 1000,00 e al pagamento di Euro 100,00 quale danno morale, osservando che il prelievo della somma non risultava legittimamente autorizzata dall'attrice la quale l'aveva contestato la documentazione prodotta dalla convenuta era stata disconosciuta e non dimostrava la regolarità dell'operazione di prelievo omissis s.p.a. non avevano dimostrato l'adempimento delle proprie obbligazioni circa l'adeguatezza del sistema di sicurezza dell'operatività online del conto corrente, specie se raffrontato con i sistemi di protezione utilizzati da altri operatori. L'appello fu accolto dal Tribunale, osservando che premesso che l'illecito prelievo della predetta somma era presumibilmente da ricondurre ad un illegittimo accesso all'internet banking realizzato con le tipiche modalità dell'uso delle credenziali dell'utente, non sussisteva alcun obbligo dell'appellante verso il cliente, eccetto il caso di espressa manleva, non riscontrabile nella fattispecie se l'appellata aveva dunque riferito di non aver risposto ad alcuna mail o di non essersi collegata ad alcun link esterno, ciò non escludeva che durante la navigazione in rete un terzo, impossessatosi della password, si fosse collegato al sistema sottraendo la suddetta somma dal conto corrente online non erano stati pattuiti particolari sistema di allerta o di blocco delle operazioni il giudice di pace, nel riconoscere il danno morale a favore dell'attrice, era incorso nel vizio di ultra petita posto che la relativa domanda non era stata formulata dalla parte attrice, e dunque nè allegata, nè provata non avendo la M. provato il patema d'animo, limitandosi ad allegare di non aver potuto soddisfare le esigenze di vita quotidiana nel periodo in cui le era stata addebito l'illecito prelievo . M.S. ricorre in cassazione con tre motivi. omissis s.p.a. resiste con controricorso, illustrato con memoria. Il P.G. ha depositato memoria chiedendo l'accoglimento del secondo e terzo motivo del ricorso. Ritenuto in diritto che Il primo motivo denunzia violazione e falsa applicazione dell' art. 330 c.p.c. , u.c., per aver la Corte d'appello rigettato l'eccezione d'inammissibilità dell'appello che era stato proposto nell'anno dalla pubblicazione della sentenza impugnata mediante notificazione al difensore costituito in primo grado, anziché alla parte personalmente. Il secondo motivo denunzia violazione e falsa applicazione dell' art. 1176 c.c. , comma 2, artt. 1229, 1218, 1453, 1710, 1768, 1856, 2050 e 2697 c.c. , nonché del D.Lgs. n. 196 del 2003, artt. 15 e 31, art. 113 c.p.c. , per aver la Corte d'appello erroneamente escluso la responsabilità contrattuale di omissis s.p.a. in ordine all'illegittimo prelievo della somma di Euro 1000,00 dal conto corrente online, non avendo quest'ultima, a fronte dell'allegazione dell'avvenuto prelievo e dell'insussistenza di ogni forma d'inosservanza delle norme di cautela a carico degli utenti del servizio, eccepito adeguatamente il corretto adempimento delle proprie obbligazioni in relazione all'adozione di adeguati sistemi di sicurezza sull'operatività telematica del conto corrente. Il terzo motivo denunzia violazione e falsa applicazione degli artt. 1453, 2697, 1223, 1224, 1226 e 2059 c.c. , art. 113 c.p.c. , per aver il Tribunale ritenuto che il giudice di pace aveva condannato la banca al pagamento della somma di Euro 1000,00 a titolo di danno morale incorrendo nel vizio di ultra petita poiché la relativa domanda non era stata proposta, assumendo che, invece, tale domanda era stata formulata nell'atto introduttivo del processo. Il primo motivo è infondato. Secondo un consolidato orientamento di questa Corte, cui il collegio intende dare continuità, l'impugnazione proposta oltre l'anno solare dalla pubblicazione della sentenza, ma ancora ammessa per effetto della sospensione feriale dei termini, deve ritenersi proposta nel termine fissato dall' art. 327 c.p.c. , e, pertanto, deve essere notificata nei luoghi indicati dall' art. 330 c.p.c. , comma 10, e non personalmente alla parte, come invece previsto dal comma 30, di detta norma per il diverso caso di impugnazione oltre il suddetto termine Cass., SU, n. 23299/11 n. 8935/13 n. 3794/14 . Pertanto, nel caso concreto, il Tribunale ha correttamente affermato che la notificazione dell'appello al difensore costituito in primo grado era legittima, poiché l'impugnazione era stata proposta entro l'anno dalla pubblicazione della sentenza, con riferimento anche al periodo di sospensione feriale dei termini. Il secondo motivo è fondato. Il giudice d'appello non ha riconosciuto la responsabilità della correntista nell'aver messo in condizione il truffatore di effettuare il prelievo, pur affermando che ciò non esclude che il terzo, impossessatosi della password, avesse potuto disporre illecitamente delle somme depositate nel conto corrente, e soggiungendo che non erano stati pattuiti particolari sistema di allerta o di blocco delle operazioni. Ora, tali argomentazioni della Corte territoriale, fondate su due distinte rationes, muovono da un'erronea interpretazione dell'art. 1218 c.c., la cui ricognizione non ha tenuto conto delle specifiche posizioni contrattuali delle parti nell'ambito del rapporto contrattuale afferente al conto corrente telematico. Anzitutto, al riguardo, va richiamata la regola generale contemplata dall' art. 1218 c.c. , secondo la quale, in tema di prova dell'adempimento di un'obbligazione, il creditore che agisca per la risoluzione contrattuale, per il risarcimento del danno, ovvero per l'adempimento, deve soltanto provare la fonte negoziale o legale del suo diritto ed il relativo termine di scadenza, limitandosi alla mera allegazione della circostanza dell'inadempimento della controparte, mentre il debitore convenuto è gravato dell'onere della dimostrazione del fatto estintivo dell'altrui pretesa, costituito dall'avvenuto adempimento, o dall'eccezione d'inadempimento del creditore ex art. 1460 c.c. Cass., n. 25584/18 n. 3587/21 SU, n. 13533/01 . Nell'ambito del rapporto di conto corrente, con modalità telematiche, tale regula juris declina la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell'utente. Orbene, la Corte territoriale ha adottato una ratio erronea in quanto se, da un lato, riconosce che manca un comportamento colposo della M., violando la suddetta regola di diritto ex art. 1218 c.c. , le attribuisce la responsabilità del prelievo dal conto corrente, senza peraltro indicarne il titolo. Invero, la ricorrente ha correttamente allegato la fattispecie d'inadempimento ascritta alla banca, consistente nel non aver impedito l'illecito prelievo, mentre l'istituto bancario non ha eccepito un fatto estintivo o impeditivo della pretesa della controparte. In sostanza, la sentenza impugnata ha ascritto alla ricorrente una responsabilità per fatto altrui del tutto estranea, come noto, al nostro ordinamento giuridico, presumendo del tutto astrattamente che la ricorrente avrebbe potuto omettere una misura di cautela inerente al corretto utilizzo dell'operatività del conto corrente online, senza alcun riferimento ad una concreta condotta, commissiva od omissiva, della correntista. Invece, la banca non ha eccepito un fatto estintivo del diritto fatto valere dall'attrice consistente nella violazione delle norme prudenziali che informano le modalità d'uso dei rapporti di conto corrente telematico. Occorre altresì rilevare l'erroneità dell'altra ratio decidendi afferente alla mancata previsione contrattuale di sistemi di allerta o di blocco delle operazioni. Al riguardo, è da evidenziare che nell'esaminare la condotta delle parti contrattuali, la regola desumibile dall' art. 1218 c.c. , va coordinata con l' art. 1176 c.c. , quale clausola generale relativa alla diligenza richiesta al debitore per l'adempimento contrattuale. Al riguardo, va osservato che la diligenza posta a carico del professionista ha natura tecnica e deve valutarsi tenendo conto dei rischi tipici della sfera professionale di riferimento, assumendo come parametro la figura dell'accorto banchiere Cass., n. 806/16 . Inoltre, la diligenza esigibile dal professionista o dall'imprenditore, nell'adempimento delle obbligazioni assunte nell'esercizio dell'attività, ha contenuto tanto maggiore quanto più è specialistica e professionale la prestazione richiesta pertanto, incorre in responsabilità il soggetto che non adoperi la diligenza dovuta in relazione alle circostanze concrete del caso, con adeguato sforzo tecnico e con impiego delle energie e dei mezzi normalmente ed obiettivamente necessari o utili all'adempimento della prestazione dovuta e al soddisfacimento dell'interesse creditorio, nonché ad evitare possibili effetti dannosi Cass., n. 12407/2020 . Circa la fattispecie concreta, va altresì osservato che secondo l'orientamento di questa Corte, cui il collegio intende dare continuità, in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema il che rappresenta interesse degli stessi operatori , è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell'entrata in vigore del D.Lgs. n. 11 del 2010 , attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente Cass., n. 2950/17 . È stato ancora affermato che la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell'utente, configurabile nel caso di protratta mancata attivazione di una qualsiasi forma di controllo degli estratti conto. Cass., n, 18045/19 n. 26916/20 . Ora, come detto, il Tribunale, pur avendo l'attrice allegato la fattispecie d'inadempimento ascritta alla banca, ha escluso immotivatamente la responsabilità della banca in ordine al prelievo illecito, in mancanza di un'eccezione specifica sulla sussistenza di fatti estintivi o impeditivi del diritto fatto valere, sulla base della mera ipotesi di violazione, da parte della ricorrente, di norme prudenziali poste a carico dei correntisti online, così violando la regola di giudizio di cui all' art. 1218 c.c. . Il terzo motivo è parimenti fondato. Invero, il giudice di secondo grado ha affermato che la domanda di risarcimento del danno morale non era stata proposta, pur rilevando che la M. aveva allegato di non aver potuto soddisfare le esigenze di vita nel periodo in cui le fu addebitata la somma oggetto dell'illecito prelievo per cui è causa. Come emerge dalla stessa motivazione del Tribunale, la domanda risarcitoria avente ad oggetto il danno morale fu invece proposta, sicché erroneamente è stato ritenuto che la sentenza impugnata aveva pronunciato extra petita sul danno morale. Per quanto esposto, in accoglimento del secondo e terzo motivo, la sentenza impugnata va cassata, con rinvio della causa al Tribunale, anche in ordine alle spese del giudizio di legittimità. P.Q.M. La Corte accoglie il secondo e terzo motivo, rigettato il primo, cassa la sentenza impugnata e rinvia la causa al Tribunale di Paola, in diversa composizione, anche in ordine alle spese del giudizio di legittimità.