Con la sentenza del 12/2/2024 n. 3780 la Corte di Cassazione torna ad occuparsi del tema della responsabilità delle banche nel caso di operazioni fraudolente compiute mediante l’acquisizione da parte del truffatore delle credenziali di accesso al sistema di home banking.
Il caso deciso dalla Suprema Corte riguarda un caso di phishing, cioè di acquisizione dei dati di accesso tramite l’inconsapevole collaborazione del cliente/utente, il quale aveva maldestramente aperto un link, apparentemente riferibile alla sua banca, pervenuto al suo indirizzo di posta elettronica e quindi inserito le proprie credenziali.
La pronuncia è particolarmente interessante atteso che la Corte sembra mutare il suo precedente indirizzo su due fronti: quello della ripartizione dell’onere della prova e quello della rilevanza della condotta del cliente.
La Cassazione parte dal principio secondo cui “la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo”. Conclude affermando che “la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici va esclusa se ricorre una situazione di colpa grave dell’utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l’uso non autorizzato dello strumento di pagamento ma il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale.
Mentre, pertanto, il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell’altrui pretesa, sicché non può omettere la verifica dell’adozione delle misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d’impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore.”
L’operatore bancario era quindi tenuto a dare “la prova di aver adottato soluzioni idonee a prevenire o ridurre l’uso fraudolento dei sistemi elettronici di pagamento, quali ad esempio l’invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione, sulla base di un principio di buona fede nell’esecuzione del contratto”.
Già in precedenza la Corte aveva esaminato situazioni analoghe (per tutte Cass. civ. 7214/2023), discostandosi tuttavia dall’iter logico giuridico seguito con la sentenza in esame ed escludendo la responsabilità della banca che aveva adottato sistemi informatici di sicurezza certificati.
La sentenza è scaricabile integralmente qui