La Corte di Cassazione, con sentenza n. 3780 depositata lo scorso 12 febbraio 2024 ha statuito che Poste Italiane sia responsabile dell’omessa adozione delle necessarie contromisure per tutela il Cliente dai tentativi di phishing ben noti nel settore e che, per questa ragione, debba risarcire il correntista vittima di phishing da parte di ignoti.
La Suprema Corte ha capovolto i precedenti orientamenti in tema di responsabilità nel furto di somme di denaro dei correntisti vittime di frodi online, commesse ottenendo direttamente dal cliente le credenziali necessarie ad autorizzare il versamento.
Secondo la giurisprudenza risalente, infatti, la tecnica truffaldina in rete denominata phishing consterebbe di due momenti fondamentali: il primo mirante all’ottenimento illecito dei dati personali oppure delle credenziali della persona offesa; mentre il secondo frutto dell’utilizzo in maniera illecita dei dati ottenuti.
Per questa ragione, per lungo tempo la giurisprudenza ha scisso il tema del risarcimento dei danni cagionati dal phishing individuando il discrimine tra responsabilità del Cliente, per aver cedute le credenziali, e responsabilità dell’Istituto di credito che, ben consapevole delle tecniche di frode in rete, deve essere tenuto ad adottare tutti gli accorgimenti idonei a impedire a terzi l’introduzione illecita nel sistema informatico del Cliente anche adottando sistemi di sicurezza di controllo immediato.
Il fatto
Tizio, cliente Poste Italiane, aveva ricevuto una mail solo in apparenza proveniente da Poste Italiane SpA e a mezzo della quale era stato invitato ad accedere al proprio conto mediante un link contenuto nella mail inserendo le proprie credenziali ed effettuare così il cambio della password.
Tizio, seguendo le indicazioni inserite nella mail, aveva successivamente riscontrato un addebito pari a 2.900 euro per un’operazione a favore di “Anytime Paris Fra”, ma da questi mai compiuta.
Avendo provveduto inutilmente alla richiesta di rimborso presso Poste poichè negata, il Cliente adì il Giudice di Pace territorialmente competente.
Costituitisi in giudizio, Poste Italiane respinse l’accaduto affermando l’esclusiva responsabile al Cliente per aver ceduto incautamente a terzi le credenziali di accesso, come password e pin necessari all’accesso online alla carta. Solo in questo modo sarebbe stato possibile a terzi compiere l’operazione di frode informatica e sottrarre la somma contestata. Per questa ragione, il Giudice di Pace rigettava la domanda del Cliente.
Tizio decideva quindi di proporre appello e grazie al quale il Tribunale accoglieva il gravame ritenendo che l’Istituto Poste Italiane non avesse dimostrato la riconducibilità dell’operazione al Cliente e richiamava la giurisprudenza della Suprema Corte di Cassazione, secondo cui “l’accorto banchiere è tenuto a fornire la prova della riconducibilità dell’operazione al cliente, poiché alla banca è richiesta una diligenza di natura tecnica” (Cass., sez. I, 3/2/2017, sent. n. 2950).
Ciò detto, il Tribunale condannava Poste al risarcimento del danno pari alla somma sottratta dall’operazione illecita.
Poste Italiane SpA proponeva ricorso per cassazione avverso tale sentenza.
La sentenza della Corte di Cassazione
La Corte di Cassazione, con sentenza n. 3780 (depositata il 12 febbraio 2024) ha ritenuto di rigettare il ricorso di Poste Italiane SpA.
Gli ermellini hanno infatti ritenuto che l’Istituto avrebbe dovuto opportunamente provare di aver adottato soluzioni idonee a prevenire o ridurre l’uso fraudolento dei sistemi elettronici di pagamento, quali ad esempio l’invio al titolare della carta di appositi sms-alert di conferma di ogni singola operazione, sulla base di un principio di buona fede nell’esecuzione del contratto.
In assenza di tale prova, è corretta la decisione di imputare alla banca il rischio che terzi accedano ai profili dei clienti con condotte fraudolente.
La banca, infatti, è tenuta a una particolare verifica a proposito della riconducibilità della volontà del cliente per operazioni effettuate con strumenti elettronici (per esempio, la richiesta di autorizzazione al versamento), che però può essere esclusa soltanto ove il Cliente se ricorre una situazione di colpa grave dell’utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l’uso non autorizzato dello strumento di pagamento.
Tuttavia, mentre il Cliente è tenuto solo a provare il proprio diritto e il termine di scadenza, la banca (ovvero il debitore), è tenuto a dimostrare di aver attuato tutte le misure di sicurezza idonee a scongiurare il pericolo e fati da estinguere l’altrui pretesa.
Il fine è quello di garantire la fiducia degli utenti nella sicurezza del sistema e per cui è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore di servizi di pagamento la possibilità di una utilizzazione dei codici di accesso al sistema da parte di terzi.