Corte di Cassazione ordinanza n. 9158 depositata il 12 aprile 2018 – La banca deve rimborsare quanto sottratto mediante operazioni non autorizzate sul conto corrente con strumenti elettronici per cui e tenuta a risarcire il cliente per il phishing e cioè per la frode informatica mediante il furto delle credenziali di accesso al conto

Corte di Cassazione ordinanza n. 9158 depositata il 12 aprile 2018

Massima

in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell’entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire la prova della riconducibilità dell’operazione al cliente

Fatto e diritto

Rilevato che:

1. Con sentenza del 12 luglio 2016 la Corte d’appello di Palermo, provvedendo in totale riforma della sentenza resa tra le parti dal locale Tribunale, ha respinto la domanda spiegata da R.L.D. e P.A. nei confronti di Poste Italiane S.p.A., presso la quale erano titolari di un rapporto di conto corrente, volta ad ottenere condanna della convenuta, a titolo di responsabilità contrattuale o extracontrattuale, al pagamento dell’importo di Euro 5500,00, oltre accessori, somma che risultava bonificata, attraverso una operazione on-line, in mancanza di qualunque disposizione da parte loro in tal senso, in favore di un individuo ad essi sconosciuto, tale K.N. .
Ha in breve ritenuto la Corte territoriale:
-) che la fattispecie dovesse essere ricondotta all’ambito di applicazione dell’articolo 2050 c.c.;
-) che Poste italiane S.p.A. avesse comprovato di essersi munita di un adeguato sistema di sicurezza tale da impedire l’accesso ai dati personali del correntista da parte di terzi;
-) che doveva pertanto ritenersi che gli attori fossero stati vittime di una truffa informatica on-line consistita nel carpire loro username e password per l’accesso al conto;
-) che non sussisteva un vero e proprio obbligo contrattuale di Poste italiane S.p.A. di garantire e tutelare i clienti dalle frodi informatiche, essendo gli stessi clienti responsabili della custodia dell’utilizzo corretto dell’identificativo utente, della parola chiave, del codice di attivazione, del codice dispositivo segreto e della chiave di accesso al servizio;
-) che non poteva dubitarsi del comportamento decisamente imprudente e negligente degli appellati, i quali avevano digitato i propri codici personali, verosimilmente richiestigli con una mail fraudolenta, in tal modo consentendo all’ignoto truffatore di utilizzarli successivamente.

2. – Per la cassazione della sentenza R.L.D. e P.A. hanno proposto ricorso per quattro mezzi.
Poste italiane S.p.A. ha resistito con controricorso.

Considerato che:

3. Il primo motivo denuncia omesso esame circa un fatto decisivo per il giudizio che è stato oggetto di discussione tra le parti in relazione all’articolo 360, numero 5 c.p.c., censurando la sentenza impugnata la quale non aveva esaminato e considerato l’avvenuto disconoscimento dell’operazione contabile di addebito operata sul conto corrente, con conseguente omessa valutazione degli effetti che tale disconoscimento aveva determinato il riparto degli oneri probatori delle parti contrattuali.
Il secondo motivo denuncia violazione e falsa applicazione degli articoli 1218, 2050, 2697 c.c. e 115 c.p.c. e dei principi in tema di responsabilità contrattuale e riparto dell’onere della prova in relazione all’articolo 360 numero 3 c.p.c., censurando la sentenza impugnata per aver erroneamente sussunto la fattispecie nell’ambito della responsabilità per attività pericolosa.
Il terzo motivo denuncia violazione o falsa applicazione degli articoli 115 c.p.c., 2050, 2697, 2729 c.c., 40 e 41 c.p. in relazione all’articolo 360 numero 3 c.p.c., violazione dell’articolo 116 c.p.c. in relazione all’articolo 360 numero 4 c.p.c., nullità della sentenza, censurando la medesima per aver fondato la propria decisione su valutazioni ipotetiche della responsabilità dei danneggiati in assenza di alcuna prova ovvero indizio che essi avessero comunicato a terzi di codici segreti.
Il quarto motivo denuncia violazione e falsa applicazione degli articoli 115 c.p.c. e 2050, 2697 c.c. nonché dei principi di valutazione delle prove, in relazione all’articolo 360 numero 3 c.p.c., violazione dell’articolo 116 c.p.c. in relazione all’articolo 360, numero 4, c.p.c., nullità della sentenza, censurando la sentenza impugnata nella parte in cui aveva ritenuto che la prova liberatoria di cui all’articolo 2050 c.c. prescindesse dalla valutazione concreta delle misure tecnologiche che il progresso scientifico aveva, all’epoca dei fatti effettivamente messo a disposizione della sicurezza dei sistemi di home banking.

Ritenuto che:

4. – Il Collegio ha disposto l’adozione della modalità di motivazione semplificata.

5. Il ricorso è manifestamente fondato.
Sono difatti manifestamente fondati i primi tre motivi che possono essere simultaneamente esaminati atteso il loro collegamento.
Questa Corte ha già avuto modo di affermare, pronunciando nei confronti della medesima odierna controricorrente, in fattispecie sostanzialmente analoga, che, in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell’entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire la prova della riconducibilità dell’operazione al cliente (Cass. 3 febbraio 2017, n. 2950).
Nel caso di specie la Corte d’appello, dopo aver inquadrato la vicenda nell’ambito della responsabilità per l’esercizio di attività pericolose di cui all’articolo 2050 c.c., si è discostata dal principio che precede, in buona sostanza supponendo, in mancanza di qualunque obiettivo riscontro di rilievo pure indiziario, che gli odierni ricorrenti si fossero resi responsabili dell’occorso per aver aperto una ipotetica mail ed aver comunicato per questa via i propri dati ad estranei, mentre avrebbe dovuto verificare se Poste italiane S.p.A. avesse fornito la prova della riconducibilità dell’operazione al cliente.
Il quarto motivo è assorbito.

6. La sentenza e cassata in relazione ai motivi accolti e rinviata per nuovo esame alla Corte d’appello di Palermo che si atterrà al principio dianzi rammentato e provvederà anche sulle spese di questo giudizio di legittimità.

P.Q.M.

accoglie i primi tre motivi del ricorso, assorbito il quarto, cassa la sentenza impugnata in relazione ai motivi accolti e rinvia anche per le spese alla Corte d’appello di Palermo in diversa composizione.