La banca deve risarcire il cliente vittima di “truffe online”

La banca deve risarcire al cliente la somma sottrattagli attraverso l’operazione informatica indebita sul suo conto, a meno che non dimostri la sua “colpa grave” e di aver posto in atto tutte le misure e le verifiche per evitare l’uso fraudolento dei sistemi elettronici di pagamento.

E’ una sentenza ferma ed eloquente a tutela del sempre maggior numero di correntisti e risparmiatori vittime di truffe online quella, la n. 3780/2024, depositata dalla Cassazione il 12 febbraio 2024.

Cliente cita Poste Italiane per essere risarcito della somma sottrattagli con una truffa online

Un correntista aveva citato in giudizio avanti il giudice di Pace di Paola Poste Italiane Spa chiedendo di accertarne la responsabilità contrattuale o extracontrattuale per il pesante ammanco subito nel suo conto corrente postale, pari a 2.900 euro, a seguito di un’operazione eseguita da ignoti sulla sua carta Postepay Evolution.

Per giustificare la sua richiesta il danneggiato aveva spiegato di aver ricevuto una mail, che tutto lasciava pensare provenisse da Poste Italiane, con cui lo si invitata ad accedere al proprio conto attraverso un link inserendo le proprie credenziali per effettuare il cambio di password.

Operazione che il cliente aveva effettuato, salvo però riscontare successivamente un addebito di 2.900 euro per un’operazione che non aveva mai eseguito. Dopo aver chiesto invano alla società di rimborsargli la somma, l’utente aveva quindi deciso di adire le vie legali.

Per la società le colpe sono invece del titolare del conto per essere stato incauto

Poste Italiane si era costituita in giudizio scaricando la responsabilità dell’accaduto unicamente al titolare del conto per aver comunicato incautamente a terzi la propria password e il proprio codice Pin per l’accesso online alla sua carta, rendendo così possibile a un soggetto terzo di effettuare l’operazione truffaldina con cui gli era stata sottratta la somma in questione.

Il giudice di Pace aveva dato credito alla tesi della società, rigettando la domanda, ma il Tribunale di Paola, quale giudice di secondo grado, aveva accolto il gravame del correntista ritenendo che il prestatore si servizi, cioè Poste italiane, dovesse rispondere, ai sensi del Dlgs. n. 196 del 2003, ossia il Codice in materia di protezione dei dati personali, degli effetti dannosi conseguenti all’esercizio di un’attività pericolosa che implicava per l’appunto il trattamento di dati personali, non avendo l’azienda dimostrato la riconducibilità dell’azione al cliente.

Il rischio dell’uso criminale della Postepay era prevedibile

Rientrando infatti l’eventuale uso dei codici di accesso al sistema da parte di terzi nel rischio professionale del prestatore di servizi di pagamento, ed essendo la condotta criminale subita dall’utente prevedibile ed evitabile con appropriate misure tecniche, secondo il Tribunale, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema, era del tutto ragionevole ricondurre nell’area di rischio professionale del prestatore di servizi di pagamento la possibilità di una utilizzazione dei codici di accesso da parte di terzi.

E l’azienda avrebbe dovuto dimostrare la riconducibilità della transazione all’utente

I giudici in definitiva, richiamando la giurisprudenza di legittimità secondo cui la banca, a cui è richiesta una “diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire la prova della riconducibilità dell’operazione al cliente” (Cassazione, sentenza n. 2950/2017), avevano accolto l’appello del correntista truffato condannando Poste Italiane al risarcimento del danno pari alla somma, attualizzata, sottratta dall’operazione illecita.

A questo punto è stata la società a proporre ricorso per Cassazione sostenendo che la sentenza impugnata avrebbe violato le specifiche disposizioni che in materia configurano a carico dell’utente dei servizi telematici oneri di particolare cautela e diligenza nell’uso dei propri codici e che avrebbe disatteso le regole che disciplinano la responsabilità di Poste Italiane.

E ha altresì lamentato il fatto che i giudici territoriali avrebbero omesso di attribuire rilevanza alla circostanza ritenuta decisiva e costituita dall’avere l’utente consegnato spontaneamente a terzi dati identificativi del suo conto, operando su un sito che in realtà non era quello delle Poste. Elemento che, se considerato, secondo la ricorrente non avrebbe potuto far concludere per la sussistenza di una responsabilità da parte dell’azienda.

La diligenza richiesta alla banca ha natura tecnica

Ma per la Suprema Corte i motivi di doglianza sono infondati. “La giurisprudenza di questa Corte, qualificata in termini contrattuali la responsabilità della banca, ha affermato che la diligenza posta a carico del professionista, per quanto concerne i servizi posti in essere in favore del cliente, ha natura tecnica e deve valutarsi tenendo conto dei rischi tipici della sfera professionale di riferimento, assumendo come parametro quello dell’accorto banchiere: dunque, la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo” premettono di giudici del Palazzaccio.

Nelle operazioni online responsabilità dell’istituto esclusa solo con colpa grave del cliente

I quali aggiungono anche che sempre la giurisprudenza di legittimità “è infatti consolidata nel senso di ritenere che la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della loro riconducibilità al cliente mediante il controllo dell’utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell’utente, configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l’uso non autorizzato dello strumento di pagamento”.

Spetta al prestatore di servizi provare di aver messo in atto ogni strumento per evitare la truffa

Ma gli Ermellini ribadiscono soprattutto che “il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale”. Il che significa che “il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, mentre è il debitore, cioè la banca, a dover provare il fatto estintivo dell’altrui pretesa, sicché non può omettere la verifica dell’adozione delle misure atte a garantire la sicurezza del servizio”.

Ne consegue pertanto, tira le fila del ragionamento la Cassazione, che, “essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d’impresa, la banca per liberarsi della propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore”.

Venendo dunque al caso specifico, era pertanto “onere di Poste Italiane, come correttamente ritenuto dalla impugnata sentenza, di dover provare di aver adottato soluzioni idonee a prevenire o ridurre l’uso fraudolenti dei sistemi elettronici di pagamento, quali ad esempio l’invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione, sulla base di un principio di buona fede nell’esecuzione del contratto. In assenza di tale prova, è corretta la decisione di imputare alla banca il rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente”. Il ricorso è stato perciò rigettato con conferma della condanna della banca a restituire al cliente la somma indebitamente sottratta.