La responsabilità dell’istituto di credito in caso di Phishing (Cass. Sez. I, n. 2950/2017)
In caso di truffa informatica ai danni di un correntista, grava sulla banca l’onere di dimostrare di aver adottato tutte le misure necessarie ad impedire una simile eventualità, rientrante – infatti – nell’alveo della responsabilità professionale dell’istituto di credito.
È quanto statuito dalla Corte di Cassazione con la sentenza in epigrafe, all’esito di un giudizio concernente uno dei non infrequenti casi di truffe perpetuate mediante l’utilizzo della rete.
Nel caso di specie il correntista truffato ha citato in giudizio l’istituto bancario al fine di ottenere il risarcimento del danno subito a seguito della contraffazione dei codici di accesso al canale bancario privato. In particolare l’attore si doleva che dal suo conto corrente personale erano state disposte e correttamente eseguite due operazioni economicamente rilevanti (un bonifico e un giroconto), senza la sua preventiva autorizzazione.
Sia in primo grado che in appello, le pretese attorie vengono respinte in virtù della mancanza di una prova certa in ordine all’estraneità del correntista rispetto alle operazioni disposte; la corte territoriale aveva ritenuto sufficiente la predisposizione, da parte dell’istituto di credito, di un sistema di crittografia adeguato ad evitare l’accesso abusivo ai canali di home banking. Muovendo da tale premessa, i giudici di prime cure avevano ritenuto le operazioni in questione riferibili ad una mancata custodia o comunque ad un incauto comportamento del correntista, potenzialmente idoneo a consentire la sottrazione dei codici in maniera fraudolenta.
In appello veniva confermata la ricostruzione appena citata e, per questo, il correntista proponeva ricorso per Cassazione avverso tale pronuncia.
Nel ricorso in Cassazione il correntista in primo luogo lamentava la violazione o la falsa applicazione degli artt. 1218 e 2697 c.c. nonché vizi motivazionali perché la Corte territoriale avrebbe omesso l’applicazione delle regole in ordine alla ripartizione dell’onus probandi: ad avviso del ricorrente, infatti, spettava all’istituto di credito dar prova che le operazioni contestate fossero state eseguite attraverso i codici di accesso del ricorrente.
Il secondo motivo di ricorso concerneva la violazione o falsa applicazione degli artt. 1218, 2697, 1710, 1768, 1856 e 2050 c.c., oltre che vizi motivazionali, perché la corte territoriale aveva ritenuto sufficientemente idoneo il sistema di crittografia adottato dalla banca, nonostante quest’ultima non avesse fornito alcuna prova in tal senso.
Alla luce dei motivi di ricorso, la prima sezione della Corte di Cassazione li ha esaminati congiuntamente in quanto logicamente connessi, ritenendo fondato il ricorso e cassando con rinvio la sentenza impugnata.
Ad avviso dei giudici di piazza Cavour nel nostro ordinamento è principio acquisito e indiscusso che sia il creditore che agisce per la risoluzione contrattuale, per il risarcimento del danno o per l’adempimento a dover provare la fonte del suo diritto ed il relativo termine di scadenza, limitandosi ad allegare la mera circostanza dell’inadempimento della controparte; di converso sul debitore grava l’onus probandi del fatto estintivo dell’altrui pretesa (ex multis Cass. 20 gennaio 2015, n.826) ovvero dell’impossibilità della prestazione per causa a lui non imputabile.
I generali principi appena elencati trovano un preciso ambito di applicazione anche in ordine all’utilizzazione di servizi e strumenti con funzione di pagamento che si avvalgono di mezzi meccanici ed elettronici (come il servizio di home banking). Invero si è ritenuto che non può essere in alcun caso omessa la verifica dell’adozione da parte dell’istituto bancario delle misture volte a garantire la sicurezza del servizio; del resto la diligenza posta a carico del professionista ha natura tecnica e va valutata concretamente alla luce della sfera professionale di riferimento e quindi utilizzando come tertium comparationis la figura del cd. “accorto banchiere” (Cass. 12 giugno 2007, n.13777).
Tanto premesso, la prima sezione della corte di Cassazione ha accolto i motivi di ricorso precisando da un lato la necessarietà di un accertamento in positivo della riconducibilità delle operazioni disposte al correntista, mediante l’allegazione di mezzi di prova a carico dell’istituto bancario, dall’altro chiarendo che la possibilità della sottrazione dei codici del correntista – attraverso tecniche fraudolente – rientra nel rischio di impresa dell’istituto bancario e che esso deve essere idoneamente fronteggiato mediante la predisposizione di sicuri sistemi che consentano la verifica della riferibilità dell’operazione al cliente.
Il casus decisus è stato affrontato mediante l’applicazione delle regole generali in materia di obbligazioni in quanto i fatti risalivano ad un momento precedente all’emanazione del d.lgs. 11/2010 di recepimento della direttiva comunitaria del 2005 relativa ai servizi di pagamento nel mercato interno.
La strada seguita dalla Cassazione nella pronuncia in epigrafe risponde anche a motivi di opportunità in quanto appare ragionevole ricondurre nell’area del rischio professionale del prestatore di servizi di pagamento la predisposizione di adeguate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, e ciò anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema bancario.
Corte di cassazione
Sezione I civile
Sentenza 3 febbraio 2017, n. 2950
Presidente: Nappi – Estensore: De Marzo
SVOLGIMENTO DEL PROCESSO
1. Per quanto ancora rileva, con sentenza depositata in data 8 marzo 2011 la Corte d’appello di Trento: a) ha rigettato l’appello principale proposto da Alfonso D. avverso la decisione di primo grado, che aveva respinto la domanda intesa ad ottenere la condanna di Poste Italiane s.p.a. a risarcire il danno derivante da due operazioni (una di giroconto e l’altra di bonifico), eseguite in assenza di sue disposizioni e di cessione a terzi dei codici personali di accesso al sistema che consentiva le operazioni on line; b) ha dichiarato inammissibile l’appello incidentale tardivo proposto da Poste Italiane s.p.a. avverso il capo della sentenza di primo grado, che l’aveva condannata al pagamento delle spese nei confronti di Salvatore G., chiamato in giudizio, unitamente ad Andrea D.B., quale beneficiario delle operazioni, e ritualmente costituitosi.
2. La Corte territoriale ha ritenuto: a) che, a tacere dell’assenza di prova certa, quanto all’estraneità del D. rispetto al bonifico disposto in favore del D.B., comunque, secondo l’accertamento del giudice di primo grado, le misure di sicurezza on line di Bancoposta, caratterizzate dall’utilizzo di un sistema di crittografia dei dati di riconoscimento del cliente, erano tali da escludere che l’accesso alle funzioni fosse consentito a chi non era conoscenza delle chiavi di accesso; c) che pertanto le operazioni in questione erano state rese possibili dalla mancata custodia o comunque da un incauto comportamento del correntista, tale da consentire la sottrazione dei codici mediante tecniche fraudolente; d) che l’appello incidentale non poteva essere proposto nel termine previsto dall’art. 334 c.p.p. [recte: c.p.c. – n.d.r.], dal momento che l’impugnazione proposta da Poste Italiane s.p.a. si correlava ad una domanda di garanzia impropria, autonoma, per soggetti e titolo, rispetto a quella formulata dall’attore in via principale.
3. Avverso tale sentenza, il D. propone ricorso per cassazione affidato a due motivi. Resistono con controricorso Poste Italiane s.p.a. e il G.; il D.B. non ha svolto attività difensiva. Nell’interesse del D. e di Poste Italiane s.p.a sono state depositate memorie ai sensi dell’art. 378 c.p.c.
MOTIVI DELLA DECISIONE
1. Con il primo motivo si lamentano violazione o falsa applicazione degli artt. 1218 e 2697 c.c., nonché vizi motivazionali, per avere la Corte territoriale omesso di applicare le regole in tema di ripartizione dell’onere probatorio. Nel caso di specie, era stata rigettata la domanda con la quale l’attore aveva denunciato un inadempimento contrattuale della controparte, nonostante la mancanza di dimostrazione che le operazioni contestate fossero state eseguite attraverso i codici di accesso del ricorrente.
2. Con il secondo motivo si lamentano violazione o falsa applicazione degli artt. 1218, 2697, 1710, 1768, 1856, 2050 c.c., nonché vizi motivazionali, per avere la Corte territoriale ritenuto, in assenza di prova da parte di Poste Italiane s.p.a., l’idoneità del sistema di sicurezza adottato, nonostante l’attore avesse documentato le numerose frodi informatiche subite dai clienti di Bancoposta.
3. I due motivi, esaminabili congiuntamente per la loro stretta connessione logica, sono fondati.
È indiscusso che, nel nostro ordinamento, il creditore che agisca per la risoluzione contrattuale, per il risarcimento del danno o per l’adempimento deve provare la fonte (negoziale o legale) del suo diritto ed il relativo termine di scadenza, limitandosi poi ad allegare la circostanza dell’inadempimento della controparte, mentre al debitore convenuto spetta la prova del fatto estintivo dell’altrui pretesa, costituito dall’avvenuto adempimento (v., ad es., Cass. 20 gennaio 2015, n. 826) ovvero dell’impossibilità della prestazione derivante da causa a lui non imputabile.
Tale generale principio ha trovato una sua specificazione, con riguardo all’utilizzazione di servizi e strumenti con funzione di pagamento, che si avvalgono di mezzi meccanici o elettronici, in quanto si è ritenuto che “non può essere omessa (…) la verifica dell’adozione da parte dell’istituto bancario delle misure idonee a garantire la sicurezza del servizio (…); infatti, la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell’accorto banchiere” (Cass. 12 giugno 2007, n. 13777; v. anche Cass. 19 gennaio 2016, n. 806).
In tale cornice di riferimento, si osserva: a) per un verso, che la sentenza impugnata erroneamente attribuisce rilievo, per una delle due operazioni delle quali si discute, all’assenza di prova certa dell’estraneità del ricorrente, laddove era piuttosto necessario accertare in positivo la riconducibilità dell’operazione a quest’ultimo; b) per altro verso, che la possibilità della sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientra nell’area del rischio di impresa, destinato ad essere fronteggiato attraverso l’adozione di misure che consentano di verificare, prima di dare corso all’operazione, se essa sia effettivamente attribuibile al cliente; c) che, pertanto, ai fini del rigetto della domanda risarcitoria, non era sufficiente dare rilievo al – peraltro presuntivamente affermato – incauto comportamento del D., che avrebbe consentito la sottrazione dei codici.
Va aggiunto che, sebbene alla vicenda non sia applicabile ratione temporis (le operazioni delle quali si discute risalgono infatti al settembre 2005) la direttiva 2007/64/CE del Parlamento europeo e del consiglio del 13 novembre 2007, relativa ai servizi di pagamento nel mercato interno, cui è stata data attuazione con il d.lgs. 27 gennaio 2010, n. 11 (v., in particolare, artt. 10 e ss.), il punto di equilibrio divisato da tale disciplina risulta essere sostanzialmente in linea con le regole generali relative alla ripartizione della prova in tema di inadempimento contrattuale e di verifica della diligenza dell’agente professionale.
Infatti, l’impossibilità della prestazione derivante da causa non imputabile al soggetto obbligato (art. 1218 c.c.) richiede la dimostrazione di eventi che si collochino al di là dello sforzo diligente richiesto al debitore.
Ne discende che, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (ciò che rappresenta interesse degli stessi operatori), appare del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore di servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo.
4. In conclusione, il ricorso principale va accolto, con conseguente cassazione della sentenza e rinvio, anche per la regolamentazione delle spese, alla Corte d’appello di Trento in diversa composizione.
P.Q.M.
Cassa la sentenza impugnata e rinvia, anche per la regolamentazione delle spese, alla Corte d’appello di Trento in diversa composizione.