In caso di truffa telematica – cosiddetto Phishing – ai danni di un correntista, spetta alla banca dimostrare di aver fatto tutto il possibile, secondo il criterio della diligenza professionale, per scongiurare la frode utilizzando un sistema informatico adeguato ai rischi. Lo ha stabilito la Corte di cassazione, con la sentenza 3 febbraio 2017 n. 2950, accogliendo il ricorso di un correntista di Bancoposta.
Il cliente aveva lamentato l’addebito di alcuni bonifici eseguiti via internet in modo fraudolento da terzi che erano riusciti ad ottenere i suoi codici di accesso. Sia in primo che in secondo grado però i giudici di Trento avevano rigettato la domanda perché «le misure di sicurezza on line, caratterizzate dall’utilizzo di un sistema di crittografia dei dati di riconoscimento del cliente, erano tali da escludere che l’accesso alle funzioni fosse consentito a chi non era conoscenza delle chiavi di accesso». Dunque, proseguiva il giudice di merito, «le operazioni erano state rese possibili dalla mancata custodia o comunque da un incauto comportamento del correntista». Per tacere del fatto, proseguiva, che non vi era neppure la prova certa dell’estraneità del correntista. Contro questa decisione il cliente ha proposto ricorso lamentando un violazione delle regole di ripartizione dell’onere probatorio.
E la Cassazione gli ha dato ragione affermando che è onere dell’istituto di credito dimostrare di avere adottato le misure idonee a garantire la sicurezza del servizio, alla luce del fatto che «la diligenza posta a carico del professionista ha natura indiscutibilmente tecnica e, quindi, deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento dell’accorto banchiere. In particolare, con riguardo all’utilizzazione di servizi di pagamento, che si avvalgono di mezzi elettronici, si è ritenuto che «non può essere omessa … la verifica dell’adozione da parte dell’istituto bancario delle misure idonee a garantire la sicurezza del servizio (n. 806/2016)».
Invece, sbagliando, la decisione di secondo grado, almeno in un caso, ha attribuito rilievo «all’assenza di prova certa dell’estraneità del ricorrente, laddove era piuttosto necessario accertare in positivo la riconducibilità dell’operazione a quest’ultimo». Inoltre, la possibilità di sottrazione dei codici, attraverso tecniche fraudolente, «rientra nell’area del rischio di impresa» che come tale deve essere fronteggiato «attraverso l’adozione di misure che consentano di verificare, prima di dare corso all’operazione, se essa sia effettivamente attribuibile al cliente».
Per cui, ai fini del rigetto della domanda risarcitoria, «non era sufficiente dare rilievo al – peraltro presuntivamente affermato – incauto comportamento del cliente, che avrebbe consentito la sottrazione dei codici».
Infatti, conclude la Corte, «anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (cioè che rappresenta interesse degli stessi operatori), appare del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore di servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo».
Così la Cassazione ha cassato la sentenza impugnata e rinviato la questione al giudice di secondo grado.
fonte: http://www.quotidianodiritto.ilsole24ore.com/art/civile/2017-02-22/phishing-banca-risarcisce-se-non-prova-sicurezza-sistema-informatico-123028.php?uuid=AEuVEDb