Home
Lo studio
Risorse
Contatti
Lo studio

Decisioni

Phishing, onere della prova a carico della banca (Cass. 13204/23).

15 maggio 2023, Cassazione civile

In caso di trufffa inforamtica cd. phishing incombe sul prestatore dei servizi di pagamento il duplice onere di provare di aver adottato tutte le misure di sicurezza necessarie per la protezione del cliente e l’inadempimento doloso o gravemente colposo del cliente medesimo.

In tema di responsabilità della banca, ovvero dell'erogatore del corrispondente servizio, in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento - prevedibile ed evitabile con appropriate misure destinate a verificare la  riconducibilità delle operazioni alla volontà del cliente - la possibilità di un'utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo.


CORTE SUPREMA DI CASSAZIONE
SEZIONE III CIVILE

 (data ud. 10/03/2023) 15/05/2023, n. 13204


Composta dagli Ill.mi Sigg.ri Magistrati:
Dott. TRAVAGLINO Giacomo - Presidente -
Dott. SCODITTI Enrico - rel. Consigliere -
Dott. GIANNITI Pasquale - Consigliere -
Dott. CRICENTI Giuseppe - Consigliere -
Dott. GORGONI Marilena - Consigliere -
ha pronunciato la seguente:


ORDINANZA

sul ricorso 32771-2019 proposto da:
A.A., elettivamente domiciliato in Roma ** presso lo studio dell'avvocato MF che lo rappresenta e difende unitamente all'avv. CM;
- ricorrente -
contro
Poste Italiane Spa in persona del Legale Rappresentante pro tempore, elettivamente domiciliata in
Roma Viale Europa 190 (Area Legale di Poste Italiane) presso lo studio dell'avvocato UAMR che la rappresenta e difende unitamente all'avvocato IF;
-controricorrente -
avverso la sentenza n. 1652-2019 della CORTE D'APPELLO di FIRENZE, depositata il 09/07/2019;

udita la relazione della causa svolta nella camera di consiglio del 10/03/2023 dal consigliere ENRICO SCODITTI.

Svolgimento del processo

A.A. convenne in giudizio innanzi al Tribunale di Firenze Poste Italiane Spa chiedendo il risarcimento del danno subito a seguito del prelievo abusivo, in modalità telematica, dal conto corrente a lui intestato da parte di ignoti di somme per ricariche di carte prepagate e di un'utenza telefonica fra il 27 gennaio 2006 ed il 31 gennaio 2006 per complessivi Euro 31.949,58. La convenuta chiamò in causa i terzi B.B. e C.C.. Il Tribunale adito, previa CTU, e ritenuto il concorso colposo del danneggiato nella misura del 30% (per la mancata messa a disposizione del c mputer di sua proprietà, smaltito prima dell' inizio delle operazioni peritali), accolse la domanda, condannando la società convenuta al pagamento della somma di Euro 22.364,00 ed i terzi chiamati a manlevare la convenuta. 

Avverso detta sentenza proposero appello Poste Italiane Spa ed appello incidentale A.A.. Con sentenza di data 9 luglio 2019 la Corte d'appello di Firenze accolse l'appello principale, rigettando la domanda. Premise la corte territoriale, evidenziato che il A.A. aveva dichiarato che gli accessi sul conto erano partiti da un computer installato presso la sua abitazione, che il CTU aveva rilevato che la rottamazione del computer ad opera del medesimo A.A. aveva impedito il riscontro di eventi di phishing ed in genere i comportamenti informatici tenuti da costui, rendendo impossibile valutare eventuali misure di sicurezza attive sul pc all'epoca del fatto, come pure la diligenza nella gestione del pc e del conto corrente informatico. Osservò quindi che, non avendo potuto il CTU appurare che la disposizione dei bonifici non era stata effettuata dal A.A., questi non aveva assolto il proprio onere probatorio, mentre
Poste Italiane aveva provato, grazie alle certificazioni internazionali prodotte, di avere adottato le misure di sicurezza utili ad impedire fenomeni di appropriazione fraudolenta di denaro sui conti dei
clienti. Aggiunse che, mentre Poste Italiane aveva provato con la produzione delle certificazioni dei propri sistemi di sicurezza l'adempimento delle proprie obbligazioni, l'attore non aveva provato che le operazioni non fossero autorizzate, nè aveva allegato e provato di non avere ceduto ad alcuno le sue credenziali, circostanza non potuta dimostrare a causa della rottamazione del pc.

Ha proposto ricorso per cassazione A.A. sulla base di tre motivi e resiste con controricorso la parte intimata.

E' stato fissato il ricorso in camera di consiglio ai sensi dell'art. 380 bis.1 c.p.c.. E' stata presentata memoria.

Con ordinanza di data 24 ottobre 2022 è stata disposta l' integrazione del contraddittorio nei confronti delle parti contumaci in appello. L'onere è stato assolto dalla parte ricorrente.

Motivi della decisione

Con il primo motivo si denuncia violazione e falsa applicazione degli artt. 1218, 2050, 2697, 2729 c.c., d. lgs. n. 196 del 2003, art. 15, d lgs. n. 11 del 2010, 10, comma 2, e 11, ai sensi dell'art. 360 c.p.c., comma 1, n.

3. Osserva la parte ricorrente che l'onere dell'attore era solo quello di provare il nesso fra il danno ed il trattamento del dato personale, mentre incombeva sul convenuto provare l'adozione delle misure
idonee ad evitare il danno (Cass. n. 18812/2014 e n. 10638/2018), onere non assolto. Aggiunge che ai sensi dell'art. 10, comma 2, d. lgs. n. 11/2010 è onere del prestatore dei servizi di pagamento fornire la
prova della riconducibilità dell'operazione al cliente, per cui errata è l'affermazione secondo cui era onere del A.A. dimostrare la mancata autorizzazione dei bonifici effettuati. Osserva ancora che vi sono
le seguenti risultanze della CTU: tutti i principali operatori bancari si erano già in epoca precedente al 2006 dotati di sistemi di analisi in tempo quasi reale dei movimenti finanziari, mentre Poste Italiane
non aveva predisposto alcuna misura in tal senso; Poste Italiane non aveva bloccato il conto dopo che il A.A. aveva presentato denuncia, così non impedendo l'ultimo prelievo; Poste Italiane non aveva
prodotto evidenze di specifiche informazioni volte a mettere in guardia contro possibili metodi di truffa telematica.

Il motivo è fondato.

Va premesso che la corte territoriale, avendo affermato che Poste Italiane ha provato con la produzione delle certificazioni dei propri sistemi di sicurezza "l'adempimento delle proprie obbligazioni", ha qualificato il rapporto dedotto in giudizio nei termini dell'obbligazione e dunque del rapporto contrattuale.

Non risultando impugnata tale qualificazione, la controversia va
valutata nei termini contrattuali.

Ciò premesso, deve darsi seguito giurisprudenza di questa Corte secondo cui in tema di responsabilità della banca, ovvero dell'erogatore del corrispondente servizio, in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento - prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente - la possibilità di un'utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o
a comportamenti talmente incauti da non poter essere fronteggiati in anticipo: ne consegue che, anche  prima dell'entrata in vigore del D.Lgs. n. 11 del 2010, attuativo della Dir. n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, l'erogatore di servizi, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuto a fornire la prova della riconducibilità dell'operazione al cliente (Cass. n. 26916/2020, n. 295/2017, n. 18045/2019, n. 10638/2016).

La corte territoriale ha violato la regola di riparto dell'onere della prova perchè ha addossato al cliente l'onere della prova della diligenza nel contegno di utilizzatore del sistema informatico, laddove invece spettava al prestatore del servizio di pagamento provare la riconducibilità dell'operazione al cliente.

Le conseguenze sfavorevoli del fatto rimasto ignoto (relativo al contegno del cliente) all'esito dell' istruzione della causa sono state così fatte ricadere sul cliente anzichè su Poste Italiane.

Alla enunciata regola sull'onere della prova dovrà attenersi il giudice del merito in sede di rinvio.

Con il secondo motivo si denuncia violazione e falsa applicazione degli artt. 1218, 2050, 2697, 2729 c.c., 115 c.p.c., ai sensi dell'art. 360 c.p.c., comma 1, n. 4. Osserva la parte ricorrente che dalle generiche
certificazioni di enti, la cui autorevolezza era tutta da dimostrare, non poteva discendere l'assolvimento dell'onere della prova del dolo o colpa grave del correntista.

Con il terzo motivo si denuncia violazione e falsa applicazione del d. lgs. n. 193 del 2003, artt. 15 e 31, 2050 c.c., ai sensi dell'art. 360 c.p.c., comma 1, n. 3. Osserva la parte ricorrente che la produzione di certificazioni di sistemi di sicurezza di incerta provenienza ed autorità non può valere quale assolvimento dell'onere probatorio da parte di Poste Italiane, posto che onere di quest'ultima è provare che l'evento dannoso non le è imputabile perchè discendente da trascuratezza, errore (o frode) dell'interessato o da forza maggiore (Cass. n. 10638/2016).

L'accoglimento del primo motivo determina l'assorbimento degli ulteriori motivi.

P.Q.M.

accoglie il primo motivo di ricorso, con assorbimento degli ulteriori motivi; cassa la sentenza in relazione al motivo accolto; rinvia alla Corte di appello di Firenze in diversa composizione, cui demanda
di provvedere anche sulle spese del giudizio di legittimità.

Così deciso in Roma, il 10 marzo 2023.
Depositato in Cancelleria il 15 maggio 2023