La S.C. ha escluso il ristoro del danno per il correntista che lamenta l’addebito non autorizzato di bonifici effettuati tramite home banking quando l’evento si verifica a causa del comportamento imprudente della vittima che ingenuamente rivela le proprie credenziali di accesso.
Oggigiorno le frodi informatiche sono cresciute in maniera esponenziale. Secondo i dati della Polizia Postale, nel nostro Paese, il numero dei casi registrati nel 2022 è quasi raddoppiato rispetto al 2018, arrivando a quota 5908.
Accade, infatti, sempre più spesso, di ricevere e-mail, SMS, messaggi WhatsApp con i quali i cybercriminali, spacciandosi per un istituto di credito, una PA ovvero una nota azienda, convincono l’ignaro malcapitato a fornire informazioni personali, credenziali di accesso, dati finanziari.
Tale fenomeno, noto come phishing, può generare conseguenze piuttosto spiacevoli: prelievi o trasferimenti di denaro non autorizzati, furti d’identità, compromissione della reputazione di una persona/azienda.
Occorre, pertanto, che gli utenti prestino molta attenzione, soprattutto a seguito del recente intervento della giurisprudenza di legittimità in materia. Con ordinanza n. 7214 del 13 marzo 2023, la Corte Suprema di Cassazione (sez. I civile) ha escluso la responsabilità della Banca per i danni subiti dal correntista in conseguenza di un addebito non autorizzato di bonifici effettuati tramite il servizio di home banking, qualora venga accertato che l’istituto di credito ha “adottato un sistema di sicurezza tale da impedire l’accesso ai dati personali del correntista da parte di terzi, certificato da appositi enti certificatori secondo i più rigorosi ed affidabili standard internazionali” e che l’evento dannoso si è verificato unicamente a causa del comportamento “imprudente e negligente” della vittima, la quale ha digitato i propri codici personali consentendo al truffatore di utilizzarli per effettuare la disposizione sul conto corrente.
Un caso pratico di Phishing nessun risarcimento
La vicenda de qua trae origine dalla domanda di risarcimento del danno avanzata da una coppia di correntisti nei confronti della propria Banca per essere stati frodati dell’importo di Euro 6.000,00 tramite un’operazione di bonifico eseguita on line da un terzo. In primo grado, il Tribunale di Palermo condannava l’Istituto creditizio a rimborsare i titolari del conto della somma fraudolentemente sottratta, ritenendo che l’intermediario non avesse adottato tutte le misure di sicurezza tecnicamente idonee ad evitare il danno.
La Banca proponeva appello. I Giudici di secondo grado riformavano la sentenza sulla scorta delle seguenti considerazioni:
- l’Istituto di credito ha adottato “un sistema di sicurezza tale da impedire l’accesso ai dati personali dei clienti da parte di terzi”;
- l’utilizzazione del servizio di home banking può avvenire esclusivamente attraverso l’inserimento di codici segreti in possesso dell’utente e sconosciuti al personale della Banca;
- l’operazione “non può che essere avvenuta grazie all’utilizzo dei codici identificativi personali di uno degli appellati il che, a sua volta, porta a ritenere che, assai verosimilmente, gli stessi siano rimasti vittime di una delle sempre più frequenti truffe informatiche, a seguito della quale gli appellati sono stati indotti a fornire “on line” i propri codici personali (user id, password, pin), poi utilizzati dal truffatore (c.d. hacker) per il compimento dell’illecita operazione dispositiva”.
La Corte d’Appello, dunque, individuava la causa esclusiva dell’operazione postagiro nella condotta colposa degli appellati, idonea ad interrompere “il nesso eziologico tra l’attività pericolosa e l’evento dannoso”.
I correntisti proponevano ricorso per Cassazione. Gli Ermellini, richiamando le argomentazioni svolte dalla Corte d’Appello, escludevano la responsabilità della Banca ritenendo raggiunta la prova, per presunzioni, che l’immissione dei codici personali dei correntisti nel sistema informatico era stata eseguita da un terzo soggetto, previa loro captazione illecita.
Dunque, la Suprema Corte mette in discussione i consolidati principi di ripartizione dell’onere della prova nel contenzioso fra il correntista e l’istituto bancario. Se fino ad oggi, incombeva sull’intermediario il duplice onere di provare di aver adottato tutte le misure di sicurezza necessarie per proteggere i dati personali dei Clienti e l’inadempimento gravemente colposo del correntista nella custodia dei propri codici di accesso, con la pronuncia in esame la Suprema Corte grava il cliente di dimostrare di aver custodito diligentemente le proprie credenziali, dando modo ai malviventi di attuare l’azione di Phishing. Nessun risarcimento è dovuto al correntista.
