In un mondo sempre più digitale, i fenomeni in commento sono purtroppo in crescita e gli operatori del diritto sono chiamati a valutare, caso per caso, se e quando la vittima di una cyber truffa possa essere risarcita.
La difficoltà di risalire ai truffatori porta spesso i malcapitati a contestare l’operato della banca e/o dell’operatore telefonico, qualora la sottrazione delle credenziali sia avvenuta, per esempio, tramite clonazione della scheda SIM.
Premessa la necessità di ricostruire quanto accaduto nel caso specifico, anche con il supporto di un tecnico informatico che possa integrare le competenze del legale, va segnalata la sentenza in commento, con cui la Cassazione ha affermato la responsabilità della banca per un bonifico non autorizzato, addebitato sul conto di un correntista in favore di un ignoto soggetto terzo, mediante la sottrazione delle credenziali di accesso al sistema on line, non essendo state fornite dal cliente.
Il caso
Due clienti convenivano in giudizio la banca per ottenere la condanna al risarcimento della somma sottratta fraudolentemente tramite una operazione on line non autorizzata.
La sentenza di primo grado, favorevole ai correntisti, veniva tuttavia riformata dalla Corte d’Appello, avendo ritenuto che la responsabilità di quanto accaduto non era ascrivibile alla banca, ma ai clienti, per aver incautamente digitato i codici personali a seguito di una e-mail fraudolenta (cosiddetto “Phishing”), consentendo così l’accesso al conto corrente da parte del terzo soggetto autore materiale del reato.
Home banking ed esercizio di attività pericolosa
La questione saliva i gradini della Corte di Cassazione, che ribaltava nuovamente il verdetto, ritenendo che spettasse alla banca fornire la prova della effettiva riconducibilità dell’operazione al cliente.
Alla base del ragionamento degli Ermellini, l’esercizio di “attività pericolosa” secondo quanto previsto dall’art. 2050 c.c., anche in ragione della gestione di dati sensibili che i clienti forniscono alla banca, essendo funzionali al servizio home banking.
Trattandosi di operatore qualificato, la Suprema Corte ha ritenuto che l’intermediario professionale possa (e debba) adottare tutti gli accorgimenti del caso per prevenire la sottrazione illecita di dati ed evitare quindi accessi non autorizzati, per i quali la banca deve rispondere ai sensi dell’art. 2050 c.c.
Così delineata, siamo di fronte a una forma di responsabilità oggettiva “aggravata”, in cui il prestatore del servizio, per sfuggire alla responsabilità invocata dal cliente, deve dimostrare:
- non solo di aver adottato tutte le cautele idonee che era possibile adottare per evitare il danno (con la cosiddetta “prova liberatoria”),
- ma anche di aver concretamente subìto una causa esterna alla sua sfera di organizzazione e controllo.
D’altra parte, la fiducia degli utenti può essere alimentata solo da una effettiva cintura di protezione delle operazioni digitali, tale da presidiare adeguatamente i metodi di pagamento ormai più diffusi.
Motivo per cui la banca, quando eroga il servizio home banking, deve poter dimostrare un elevato standard di sicurezza nei processi di autenticazione e di pagamento on line, al passo con le tecnologie via via disponibili e in grado di negare accesso e operatività a soggetti non abilitati al sistema.
La posizione espressa dalla pronuncia in esame tiene conto dei rischi tipici dell’operatore professionale e della conseguente diligenza qualificata, imposta ai sensi dell’art. 1176 comma 2 c.c. al paradigma dell’”accorto banchiere”.
Phishing: responsabilità del danneggiato e onere della prova in capo alla banca
Con l’espressione Phishing si fa riferimento a truffe poste in atto tramite Internet e caratterizzate dall’invio di messaggi di posta elettronica mendaci, che imitano la grafica degli istituti di credito per trarre in inganno i destinatari, reindirizzati all’improvvido click verso siti-truffa, per carpirne le credenziali utilizzate poi per operazioni fraudolente.
A parere della Suprema Corte, non basta a liberare la banca quell’infausto click con cui il correntista ha aperto la mail-civetta, inserendo poi le credenziali nella convinzione di navigare sul sito della banca.
La sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientra infatti, secondo la Suprema Corte, nell’area del rischio di impresa della banca, da fronteggiare con misure di contrasto idonee a verificare, prima di autorizzare l’operazione, che essa sia effettivamente attribuibile al cliente (si pensi, ad esempio, ai sistemi biometrici di autenticazione, tramite riconoscimento facciale o impronta digitale, seguita da codici temporanei di accesso).
E, infatti, il d.lgs. 11/2010, attuativo della direttiva 2007/64/CE relativa ai servizi di pagamento nel mercato interno, all’art. 10 si occupa proprio della “prova di autenticazione ed esecuzione delle operazioni di pagamento”, disponendo che, l’utilizzo di uno strumento di pagamento registrato dalla banca non è di per sé sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utilizzatore medesimo, né che questi abbia agito in modo fraudolento.
In conclusione, se l’istituto di credito vuole andare esente da responsabilità, ha l’onere di dotarsi di sistemi che permettano di verificare la riconducibilità delle operazioni alla volontà del cliente, evitando rischi prevedibili come la possibilità che estranei possano fare uso dei codici di accesso, nonché di dimostrare la legittimità dell’operazione on line non autorizzata e la violazione, da parte del cliente, degli obblighi nascenti dal contratto.
In assenza di tali riscontri probatori, i clienti avranno diritto di chiedere il ristoro delle somme perse.
