Phishing: va risarcito dalla banca il cliente frodato

Nella sentenza in commento la Corte di Cassazione afferma l’obbligo della banca di risarcire il cliente dei danni subiti a seguito di una frode informatica. Nel caso di operazioni effettuate a mezzo di strumenti elettronici, infatti, la responsabilità contrattuale della banca nei confronti del cliente può essere esclusa soltanto se sussiste una situazione di colpa grave del cliente, in quanto la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente è una eventualità che, secondo gli ermellini, rientra nel rischio d’impresa. Per escludere la propria responsabilità la banca deve, quindi, dimostrare la sopravvenienza di eventi che si collocano al di là dello sforzo diligente richiesto al debitore. Nella fattispecie in esame la banca, invece, non ha dato prova di avere adottato alcuna soluzione tecnica idonea a prevenire o ridurre l’uso fraudolento dei sistemi elettronici di pagamento: si pensi, ad esempio, all’invio al titolare della carta e/o del conto di appositi sms di allerta per la conferma dell’operazione.

Con la decisione qui commentata, invero, il Supremo Collegio sembra avere modificato l’orientamento espresso, meno di un anno fa, nella sentenza n. 7214 del 13 marzo 2023, con la quale aveva stabilito che le banche non sono obbligate a risarcire il cliente che, vittima di una truffa informatica, ha comunicato in buona fede, in risposta ad una mail o messaggio ingannevole, le proprie credenziali di accesso agli account bancari. In questo caso la Cassazione, per escludere la responsabilità della banca, aveva dato rilievo alle informazioni inserite sul sito istituzionale dell’istituto, nel quale era indicato espressamente che la banca non richiedeva mai i codici personali attraverso messaggi di posta elettronica, lettere, telefonate. E l’Abi, nella circolare a commento di tale decisione, aveva sottolineato, da una parte, il comportamento imprudente e negligente del correntista che aveva digitato i propri codici personali (richiestigli con una mail fraudolenta) e, nel contempo, dall’altra, l’adozione da parte dell’intermediario di un sistema di sicurezza tale da impedire l’accesso ai dati personali del correntista da parte di terze persone, essendo “i livelli di sicurezza dei sistemi informatici … stati certificati da appositi enti certificatori, secondo i più rigorosi ed affidabili standard internazionali” con l’utilizzazione di tecniche informatiche che consentono l’accesso al servizio “esclusivamente attraverso l’inserimento di vari codici segreti in possesso dell’utente e sconosciuti allo stesso personale” dell’intermediario.

Questa decisione della Suprema Corte non trovava, però, riscontro nelle pronunce dell’Arbitrato Bancario e Finanziario (Collegio di Roma, decisione, 12 gennaio 2023, n. 1309 e 19 gennaio 2023, n. 1333, che configurano un concorso di colpa tra le parti per avere il cliente contribuito causalmente al verificarsi dell’evento dannoso) e dei giudici di merito, che sono state sempre concordi nell’affermare la necessità di una valutazione, caso per caso, del grado di colpa del cliente sulla base delle peculiarità di ogni singola fattispecie concreta, ritenendo che la banca non sempre adotta adeguate misure di sicurezza di per sé in grado di evitare accessi non autorizzati al sistema di home banking. Pertanto, in mancanza di tale prova da parte della banca, i giudici di merito ritenevano, e ritengono tuttora, che non sia stata adottata la diligenza tecnica richiesta dalla peculiarità della fattispecie con la conseguente affermazione della responsabilità della banca nei confronti del cliente, vittima della frode, al quale va rimborsato l’importo dell’operazione non autorizzata [sul tema, in particolare, si vedano: Trib. Milano, 18 gennaio 2023, n. 322, che, rifacendosi ad un orientamento meno recente (Cass., Sez. I, 29.12.2017 n. 31199), afferma che la responsabilità della banca può essere esclusa soltanto dalla prova di avere adottato specifiche cautele antiphishing idonee ad evitare l’acquisizione fraudolenta delle chiavi di accesso al sistema da parte di terzi; ed ancora Trib. Napoli, 8 marzo 2023, n. 1503; Trib. Busto Arsizio, 14 ottobre 2022, n. 1434; Trib. Arezzo, 8 aprile 2022, n. 272; Trib. Roma, 25 giugno 2019, n. 13442; Trib. Parma, 6 settembre 2018, secondo la quale sulla banca grava una responsabilità di tipo oggettivo o semioggettivo, con la conseguenza che per la sua esclusione deve essere provata anche in via presuntiva che la riconducibilità delle operazioni contestate al cliente stesso].

In questa direzione sembra porsi la sentenza della Cassazione di che trattasi. Infatti, partendo dall’inquadramento della responsabilità della banca come contrattuale, cui corrisponde un obbligo di diligenza tecnica, da valutarsi con il parametro dell’accorto banchiere, riconosce a carico della banca la sussistenza del rischio professionale, qualificato come rischio d’impresa, che terzi soggetti estranei possano accedere ai profili personali dei clienti con condotte fraudolente e compiere operazioni che non siano riconducibili alla loro sfera di controllo, non essendo stata fornita nella fattispecie in esame alcuna prova circa l’adozione di idonei strumenti di allerta in grado di prevenire o ridurre l’uso fraudolento dei codici privati di accesso al sistema informatico.

Il ricorso della banca viene, quindi, rigettato con l’effetto di confermare la sentenza impugnata, che aveva condannato la banca al risarcimento del danno a favore del cliente truffato nella misura della somma attualizzata che era stata sottratta con l’operazione illecita.

Copyright © - Riproduzione riservata