Questa domenica torniamo ad affrontare l'argomento furto dei dati personali (phishing), con particolare attenzione ad una delle ipotesi più fastidiose: il furto della password del conto corrente on line.
La giurisprudenza della Corte di Cassazione si è già soffermata altre volte su questo tema, delineando l'eventuale responsabilità dell'istituto di credito per non aver garantito il sistema di sicurezza idoneo per il cliente.
Le operazioni bancarie effettuate via internet (c.d. home banking) sono diffusissime ed in questi casi, la banca ha un particolare dovere di difesa verso il cliente, al fine di tutelare la sua sicurezza e riservatezza.
Con la recente ordinanza n. 9158 del 12 aprile 2018, la Cassazione ha voluto richiamare il generale dovere di diligenza gravante sulla banca ex art.1176 c.c., comma 2 (diligenza dell'accorto banchiere), al fine di ribadire il principio secondo il quale la banca deve adottare tutti gli strumenti volti a tutelare il cliente, a partire dall'uso dei codici di accesso alla piattaforma on line fino alla conclusione dell'operazione.
Ne consegue che nel caso di uso improprio dei codici da parte di terzi, la banca è responsabile per il danno sofferto cliente vittima del furto digitale, allorché non riesca a dimostrare di aver adottato tutti i sistemi di sicurezza idonei ad impedire l'accesso illegale al servizio home banking del cliente, o comunque bloccare/segnalare l'operazione di illecito trasferimento dei fondi.
Ma l'intervento della Cassazione va oltre, nel senso che la banca non può limitarsi a dimostrare di aver adottato idonee misure di sicurezza per non risultare responsabile per il danno sofferto dal cliente nel caso di phishing.
Merita, sotto tale profilo, di essere segnalato il ragionamento seguito dal giudice di legittimità, secondo il quale l'attività svolta dalla banca, chiamata a controllare ed evitare/limitare tutte le attività illecite di terzi nei confronti dei propri clienti, tant'è che la banca può essere chiamata a rispondere ex art.2050 c.c., una forma di responsabilità oggettiva aggravata.
Quale conseguenza? nel caso di furto digitale nell'home banking, la banca non risponde del danno sofferto dal cliente solo se offre una valida prova di:
(a) aver adottato tutte le misure di sicurezza idonee ad evitare il danno, conoscibili nel momento storico dell'evento;
(b) l'evento dannoso (il furto del denaro dal conto corrente on line) è stato originato da causa esterna rispetto alla sfera di controllo della banca (ad esempio dovuta a fatto del terzo o dello stesso danneggiato).
La banca dovrà offrire la prova, idonea ad escludere la propria responsabilità, nel rispetto del principio del buon banchiere sopra richiamato e quindi ex art. 1176 c.c. comma 2.
Qui di seguito, il provvedimento della Cassazione.
CORTE SUPREMA DI CASSAZIONE
SEZIONE SESTA CIVILE
SOTTOSEZIONE 1
Composta dagli Ill.mi Sigg.ri Magistrati:
Dott. DI VIRGILIO Biagio - Presidente -
Dott. VALITUTTI Antonio - Consigliere -
Dott. DI MARZIO Mauro - rel. Consigliere -
Dott. MARULLI Marco - Consigliere -
Dott. LAMORGESE Antonio - Consigliere -
ha pronunciato la seguente:
ORDINANZA
sul ricorso 29226/2016 proposto da:
P.A., R.L.D., elettivamente domiciliati in ROMA, VIA VITTORIA COLONNA 32, presso lo studio dell'avvocato xxxx, rappresentati e difesi dall'avvocato xxxxx;
- ricorrenti -
contro
POSTE ITALIANE SPA, in persona del legale rappresentante pro tempore, elettivamente domiciliata in ROMA, VIALE EUROPA 175, presso lo studio dell'avvocato xxxxxx, rappresentata e difesa dall'avvocato xxxxxx;
- controricorrente -
avverso la sentenza n. 1348/2016 della CORTE D'APPELLO di PALERMO, depositata il 12/07/2016;
udita la relazione della causa svolta nella camera di consiglio non partecipata del 13/02/2018 dal Consigliere Dott. MAURO DI MARZIO.
Svolgimento del processo - Motivi della decisione
RILEVATO CHE:
1. Con sentenza del 12 luglio 2016 la Corte d'appello di Palermo, provvedendo in totale riforma della sentenza resa tra le parti dal locale Tribunale, ha respinto la domanda spiegata da R.L.D. e P.A. nei confronti di Poste Italiane S.p.A., presso la quale erano titolari di un rapporto di conto corrente, volta ad ottenere condanna della convenuta, a titolo di responsabilità contrattuale o extracontrattuale, al pagamento dell'importo di Euro 5500,00, oltre accessori, somma che risultava bonificata, attraverso una operazione on-line, in mancanza di qualunque disposizione da parte loro in tal senso, in favore di un individuo ad essi sconosciuto, tale K.N..
Ha in breve ritenuto la Corte territoriale:
-) che la fattispecie dovesse essere ricondotta all'ambito di applicazione dell'art. 2050 c.c.;
-) che Poste italiane S.p.A. avesse comprovato di essersi munita di un adeguato sistema di sicurezza tale da impedire l'accesso ai dati personali del correntista da parte di terzi;
-) che doveva pertanto ritenersi che gli attori fossero stati vittime di una truffa informatica on-line consistita nel carpire loro username e password per l'accesso al conto;
-) che non sussisteva un vero e proprio obbligo contrattuale di Poste italiane S.p.A. di garantire e tutelare i clienti dalle frodi informatiche, essendo gli stessi clienti responsabili della custodia dell'utilizzo corretto dell'identificativo utente, della parola chiave, del codice di attivazione, del codice dispositivo segreto e della chiave di accesso al servizio;
-) che non poteva dubitarsi del comportamento decisamente imprudente e negligente degli appellati, i quali avevano digitato i propri codici personali, verosimilmente richiestigli con una mail fraudolenta, in tal modo consentendo all'ignoto truffatore di utilizzarli successivamente.
2. - Per la cassazione della sentenza R.L.D. e P.A. hanno proposto ricorso per quattro mezzi.
Poste italiane S.p.A. ha resistito con controricorso.
CONSIDERATO CHE:
3. Il primo motivo denuncia omesso esame circa un fatto decisivo per il giudizio che è stato oggetto di discussione tra le parti in relazione all'art. 360 c.p.c., n. 5, censurando la sentenza impugnata la quale non aveva esaminato e considerato l'avvenuto disconoscimento dell'operazione contabile di addebito operata sul conto corrente, con conseguente omessa valutazione degli effetti che tale disconoscimento aveva determinato il riparto degli oneri probatori delle parti contrattuali.
Il secondo motivo denuncia violazione e falsa applicazione degli artt. 1218, 2050 e 2697 c.c., e art. 115 c.p.c., e dei principi in tema di responsabilità contrattuale e riparto dell'onere della prova in relazione all'art. 360 c.p.c., n. 3, censurando la sentenza impugnata per aver erroneamente sussunto la fattispecie nell'ambito della responsabilità per attività pericolosa.
Il terzo motivo denuncia violazione o falsa applicazione dell'art. 115 c.p.c., artt. 2050, 2697 e 2729 c.c., artt. 40 e 41 c.p., in relazione all'art. 360 c.p.c., n. 3, violazione dell'art. 116 c.p.c., in relazione all'art. 360 c.p.c., n. 4, nullità della sentenza, censurando la medesima per aver fondato la propria decisione su valutazioni ipotetiche della responsabilità dei danneggiati in assenza di alcuna prova ovvero indizio che essi avessero comunicato a terzi di codici segreti.
Il quarto motivo denuncia violazione e falsa applicazione dell'art. 115 c.p.c., e artt. 2050 e 2697 c.c., nonchè dei principi di valutazione delle prove, in relazione all'art. 360 c.p.c., n. 3, violazione dell'art. 116 c.p.c., in relazione all'art. 360 c.p.c., n. 4, nullità della sentenza, censurando la sentenza impugnata nella parte in cui aveva ritenuto che la prova liberatoria di cui all'art. 2050 c.c., prescindesse dalla valutazione concreta delle misure tecnologiche che il progresso scientifico aveva, all'epoca dei fatti effettivamente messo a disposizione della sicurezza dei sistemi di home banking.
RITENUTO CHE:
4. - Il Collegio ha disposto l'adozione della modalità di motivazione semplificata.
5. Il ricorso è manifestamente fondato.
Sono difatti manifestamente fondati i primi tre motivi che possono essere simultaneamente esaminati atteso il loro collegamento.
Questa Corte ha già avuto modo di affermare, pronunciando nei confronti della medesima odierna controricorrente, in fattispecie sostanzialmente analoga, che, in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell'entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente (Cass. 3 febbraio 2017, n. 2950).
Nel caso di specie la Corte d'appello, dopo aver inquadrato la vicenda nell'ambito della responsabilità per l'esercizio di attività pericolose di cui all'art. 2050 c.c., si è discostata dal principio che precede, in buona sostanza supponendo, in mancanza di qualunque obiettivo riscontro di rilievo pure indiziario, che gli odierni ricorrenti si fossero resi responsabili dell'occorso per aver aperto una ipotetica mail ed aver comunicato per questa via i propri dati ad estranei, mentre avrebbe dovuto verificare se Poste italiane S.p.A. avesse fornito la prova della riconducibilità dell'operazione al cliente.
Il quarto motivo è assorbito.
6. La sentenza e cassata in relazione ai motivi accolti e rinviata per nuovo esame alla Corte d'appello di Palermo che si atterrà al principio dianzi rammentato e provvederà anche sulle spese di questo giudizio di legittimità.
P.Q.M.
accoglie i primi tre motivi del ricorso, assorbito il quarto, cassa la sentenza impugnata in relazione ai motivi accolti e rinvia anche per le spese alla Corte d'appello di Palermo in diversa composizione.
Così deciso in Roma, il 13 febbraio 2018.
Depositato in Cancelleria il 12 aprile 2018.
Nessun commento:
Posta un commento