Phishing. L’Istituto di credito deve risarcire il correntista vittima di phishing qualora abbia omesso di porre in essere tutte le cautele necessarie ad avvertire i clienti delle frodi in rete.

12 Febbraio 2024

Corte di Cassazione, sentenza n. 3780 del 12 febbraio 2024

Il phishing è una truffa informatica effettuata tramite l’inoltro di una e-mail con il logo contraffatto di un istituto di credito o di una società di commercio elettronico, in cui si invita il destinatario a fornire dati riservati quali numero di carta di credito e/o password di accesso al servizio di home banking. Tale richiesta viene, in genere, motivata con ragioni di ordine tecnico. Chi utilizza tecniche di phishing mira ad ottenere, tramite artifici e raggiri e inducendo in errore l’utente, le credenziali di autenticazione necessarie ad accedere abusivamente a spazi informatici esclusivi del titolare (ad esempio relativi alla gestione dei conti correnti online) e a svolgere, senza autorizzazione, operazioni bancarie o finanziarie.

La Corte di Cassazione, con sentenza n. 3780 depositata lo scorso 12 febbraio 2024 ha statuito che Poste Italiane S.p.a. debba risarcire il cliente che ha subito una frode informatica tramite fishing, per non aver dimostrato di aver adottato soluzioni idonee a prevenire o ridurre l’uso fraudolento dei sistemi elettronici di pagamento, quali ad esempio l’invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione, sulla base di un principio di buona fede nell’esecuzione del contratto.

IL FATTO

Tizio, dopo aver ricevuto una mail "in apparenza proveniente da Poste Italiane SpA", aveva cliccato sul link ed inserito le credenziali per il cambio della password. Successivamente si era ritrovato un addebito pari a 2.900,00 euro per un’operazione a favore di "Anytime Paris Fra", mai compiuta.

Avendo provveduto inutilmente alla richiesta di rimborso, Tizio adiva il Giudice di Pace territorialmente competente. Poste Italiane S.p.a. si costituiva in giudizio domandando il rigetto delle pretese di risarcimento del danno attoree, deducendo l’esclusiva responsabilità del Cliente per aver ceduto incautamente a terzi le credenziali di accesso, come password e pin necessari all’accesso online alla carta. Solo in questo modo sarebbe stato possibile a terzi compiere l’operazione di frode informatica e sottrarre la somma contestata. Il Giudice di Pace, per le medesime ragioni, respingeva la domanda del Cliente.

Tizio decideva quindi di proporre appello ed il Tribunale accoglieva il gravame ritenendo che Poste Italiane S.p.a. non avesse dimostrato la riconducibilità dell’operazione al Cliente. Richiamava, a tal fine, la giurisprudenza della Suprema Corte di Cassazione, secondo cui "l’accorto banchiere è tenuto a fornire la prova della riconducibilità dell’operazione al cliente, poiché alla banca è richiesta una diligenza di natura tecnica" (Cass., sez. I, 3/2/2017, sent. n. 2950). Il Tribunale condannava, quindi, Poste Italiane S.p.a. al risarcimento del danno pari alla somma sottratta dall’operazione illecita.

Poste Italiane S.p.a. proponeva ricorso per cassazione.

LA SENTENZA DELLA CASSAZIONE

La Corte di Cassazione, con sentenza n. 3780 (depositata il 12 febbraio 2024) rigettava il ricorso di Poste Italiane S.p.a..

Per la Terza sezione civile, era onere di Poste Italiane S.p.a. "provare di aver adottato soluzioni idonee a prevenire o ridurre l’uso fraudolento dei sistemi elettronici di pagamento, quali ad esempio l’invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione, sulla base di un principio di buona fede nell’esecuzione del contratto". E siccome Poste non ha fornito tale prova, bene ha fatto il Tribunale di Nola ad imputarle il "rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente".

La responsabilità della banca, spiega la Corte, per operazioni effettuate a mezzo di strumenti elettronici, "con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell’utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell’utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l’uso non autorizzato dello strumento di pagamento".

Il cliente, dunque, "è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza; il debitore, cioè la banca, deve provare il fatto estintivo dell’altrui pretesa, sicché non può omettere la verifica dell’adozione delle misure atte a garantire la sicurezza del servizio". "Ne consegue – conclude la Corte di Cassazione - che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d’impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore".