di Lucia Izzo - In caso di operazioni effettuate a mezzo di strumenti elettronici, sarà onere della Banca o di Poste Italiane fornire la prova della riconducibilità dell'operazione al cliente.
In mancanza di tale dimostrazione, l'istituto rischia di dover risarcire il cliente vittima di una frode telematica: ricade, infatti, nel rischio professionale del prestatore di servizi (prevedibile ed evitabile con misure appropriate) la possibilità che i codici del cliente siano utilizzati da terzi per accedere al sistema.
Deve, tuttavia, trattarsi di un comportamento non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo.
Lo ha stabilito la Corte di Cassazione, sesta sezione civile, nell'ordinanza n. 9158/2018 (qui sotto allegata) accogliendo il ricorso di due correntisti di Poste Italiane che avevano chiesto la condanna dell'istituto al pagamento di una somma titolo di responsabilità contrattuale o extracontrattuale.
La vicenda
Tale somma (oltre cinquemila euro) era stata bonificata attraverso un'operazione on-line, in mancanza di qualunque disposizione da parte loro, in favore di un individuo a essi sconosciuto.
La domanda veniva tuttavia respinta dalla Corte d'Appello che, riconducendo la fattispecie all'ambito di applicazione di cui all'art. 2050 c.c. (Responsabilità per l'esercizio di attività pericolose), sottolineava come Poste Italiane avesse comprovato di essersi munita di un adeguato sistema di sicurezza tale da impedire l'accesso ai dati personali del correntista da parte di terzi.
Pertanto, il giudice a quo riteneva che gli attori fossero stati vittime di una truffa informatica online consistita nel carpire il loro username e e la loro password per l'accesso al conto (c.d. pishing).
Sul punto, la Corte territoriale riteneva insussistente un vero e proprio obbligo contrattuale dell'azienda di garantire e tutelare i clienti dalle frodi informatiche, essendo gli stessi clienti responsabili della custodia e dell'utilizzo corretto dell'identificativo utente, della parola chiave, del codice di attivazione, del codice dispositivo segreto e della chiave di accesso al servizio.
Pertanto, non poteva dubitarsi del comportamento decisamente imprudente e negligente degli appellati, i quali avevano digitato i propri codici personali, verosimilmente richiestigli con una mail fraudolenta, in tal modo consentendo all'ignoto truffatore di utilizzarli successivamente.
In Cassazione, i due correntisti rilevano come la Corte, non solo, non avesse esaminato e considerato l'avvenuto disconoscimento dell'operazione contabile di addebito operata sul conto corrente, ma avesse fondato la propria decisione su valutazioni ipotetiche della responsabilità dei danneggiati in assenza di alcuna prova o indizio sulla comunicazione a terzi di codici segreti.
Cassazione: banca responsabile per l'uso del conto da parte di terzi
Nell'accogliere il ricorso, gli Ermellini richiamano le conclusioni adottate in una pronuncia analoga sempre nei confronti di Poste Italiane (cfr. Cass. 3 febbraio 2017, n. 2950).
Per il Collegio, in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo.
Ne consegue che, anche prima dell'entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente.
Nel caso esaminato ha sbagliato la Corte d'Appello, dopo aver inquadrato la vicenda nell'ambito della responsabilità per l'esercizio di attività pericolose di cui all'articolo 2050 c.c., a supporre, in mancanza di qualunque obiettivo riscontro di rilievo pure indiziario, che gli odierni ricorrenti si fossero resi responsabili dell'occorso per aver aperto una ipotetica mail ed aver comunicato per questa via i propri dati ad estranei.
Il giudice, invece, avrebbe dovuto verificare se Poste italiane S.p..A avesse fornito la prova della riconducibilità dell'operazione al cliente e, pertanto, la Cassazione accoglie il ricorso e dispone che sarà il giudice del rinvio a verificare la sussistenza o meno di tale dimostrazione.