18 Marzo 2024
La Corte di Cassazione con la sentenza n. 3780/2024 ha confermato il principio secondo il quale le banche sono tenute a risarcire i correntisti che hanno subito una frode informatica, come il phishing, in quanto ciò rientra nel proprio rischio d’impresa, a meno che non provino di aver adottato misure idonee a prevenire tali attività fraudolente.
Correntista frodato via e-mail
Il caso ha coinvolto un correntista che aveva ricevuto un’e-mail proveniente in apparenza da Poste Italiane SpA. La comunicazione lo invitava ad accedere al proprio conto attraverso un link, e ad inserire le proprie credenziali per cambiare la password. Dopo aver eseguito tali istruzioni, la vittima aveva subito un addebito sul suo conto di €2.900.
Il cliente aveva quindi inviato a Poste Italiane SpA una richiesta di rimborso di quanto addebitato che era stata respinta, e si era poi rivolto al Giudice di Pace di Paola che aveva, a sua volta, rigettato la domanda.
In appello, il Tribunale di Paola aveva accolto il gravame, condannando Poste Italiane SpA al risarcimento del danno pari alla somma attualizzata sottratta dall’operazione illecita, ritenendo che il prestatore di servizi dovesse rispondere, ai sensi del Dlgs. n. 196 del 2003, noto come il Codice della Privacy, degli effetti dannosi conseguenti all’esercizio di un’attività pericolosa implicante il trattamento di dati personali.
L’ente non era riuscito a dimostrare la riconducibilità dell’operazione al cliente, rientrando l’uso dei codici di accesso al sistema da parte di terzi nel rischio professionale del prestatore di servizi di pagamento ed essendo questa condotta prevedibile ed evitabile con appropriate misure tecniche.
In risposta alla decisione del Tribunale, Poste Italiane SpA aveva presentato un ricorso in Cassazione che ha rigettato il ricorso ritenendolo infondato e confermando la sentenza d’appello.
La banca deve tenere la diligenza “dell’accorto banchiere”
Secondo la giurisprudenza della Suprema Corte, il livello di diligenza tecnica richiesto agli istituti bancari deve necessariamente tenere conto dei rischi tipici della professione bancaria secondo il parametro dell’accorto banchiere, come già affermato nella sentenza della Cassazione n. 806/2016.
Il rispetto del suddetto standard di diligenza della banca va verificato rispetto a tutte le operazioni riconducibili nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità.
Essendo la responsabilità della banca di natura contrattuale, una volta provato il suo inadempimento, si presume l’esistenza del nesso causale tra tale inadempimento e il danno subito dal correntista. Presunzione che può essere vinta solo se l’istituto di credito riesce a dimostrare che ci sia stata colpa grave da parte del cliente. La giurisprudenza ormai consolidata, infatti, considera il rischio di sottrazione dei codici del correntista attraverso tecniche fraudolente come intrinseco nel rischio d’impresa e quindi gravante sulle banche, salvo che sopraggiungano circostanze non prevedibili ed evitabili con la diligenza tecnica richiesta a queste ultime.
Nel caso di specie, la Suprema Corte, confermando la pronuncia del Tribunale, ha ritenuto che sarebbe stato onere di Poste Italiane SpA dover provare di aver adottato soluzioni idonee a prevenire o ridurre l’uso fraudolento dei sistemi elettronici di pagamento, come ad esempio l’autenticazione a due fattori o il monitoraggio delle transazioni sospette. In assenza di tale prova, la Cassazione ha ritenuto fondata la decisione d’appello di imputare alla banca il rischio professionale derivante dalla possibilità che terzi accedano ai profili dei clienti con attività di phishing.
Gli istituti bancari devono, quindi, assumersi la responsabilità di proteggere i propri clienti dalle frodi informatiche adottando misure tecnologiche adeguate a prevenire tali attività fraudolente.
Seguici su LinkedIn