Secondo la Suprema Corte è esclusa la restituzione, da parte della Banca, delle somme prelevate da un conto corrente mediante bonifico online, dovendosi addossare al danneggiato la responsabilità di aver incautamente fornito i propri codici personali a terzi ignoti, verosimilmente all’esito di un’attività di phishing.
La Corte di Cassazione, con la recentissima ordinanza del 13.03.2023 n. 7214, ha esaminato la vicenda riguardante il cliente della Banca vittima di phishing, ossia quella frode consistente nell’inviare e-mail – fraudolentemente presentate come prodotte ufficialmente dall’istituto di credito – che servono a ottenere dal destinatario dati e informazioni necessari per l’accesso al conto corrente online.
Nel caso in parola, i titolari di un conto corrente scoprivano un addebito di 6.000,00 euro derivante da un’operazione di bonifico eseguita illecitamente da terzi per via telematica. Il Tribunale di Palermo, ritenendo fondata la domanda di risarcimento del danno subito, condannava l’istituto alla restituzione della somma, sul rilievo che la convenuta non aveva adottato tutte le misure di sicurezza tecnicamente idonee a prevenire danni come quelli verificatisi in capo agli attori.
La Corte di appello di Palermo, in riforma della sentenza di primo grado, rigettava invece la domanda, ritenendo impossibile addebitare responsabilità alcuna all’istituto, a fronte del comportamento imprudente e negligente dei titolari del conto corrente.
In particolare, i giudici di secondo grado, muovendo dal presupposto che l’attività svolta dall’istituto è da considerarsi pericolosa, in considerazione delle sempre più frequenti truffe informatiche, osservavano che questo aveva adottato un sistema di sicurezza idoneo ad impedire l’accesso illecito ai dati personali del correntista da parte di terze persone, che i titolari del conto avevano espressamente approvato per iscritto le disposizioni contrattuali relative alla sicurezza del servizio di remote banking, e che i livelli di sicurezza dei sistemi informatici per l’accesso a distanza al conto corrente risultavano certificati, da appositi enti accreditati, secondo i più rigorosi ed affidabili standard internazionali.
Posto che l’operazione contestata non poteva che essere avvenuta grazie all’utilizzo dei codici identificativi personali dei clienti, responsabili della custodia e dell’utilizzo corretto delle credenziali, secondo la Corte d’appello non poteva dubitarsi del comportamento imprudente e negligente dei clienti, i quali avevano evidentemente ceduto i propri codici personali – verosimilmente richiestigli con una e-mail fraudolenta – consentendo a terzi non legittimati di utilizzarli.
La condotta colposa degli appellati costituisce quindi la causa esclusiva dell’operazione illecita, assumendo nella specie i caratteri del caso fortuito, tale da interrompere il nesso eziologico tra l’attività pericolosa e l’evento dannoso, con la conseguente esclusione della responsabilità dell’istituto.
La Corte di Cassazione, investita della questione, ha dichiarato inammissibile il ricorso, sul presupposto che le critiche alla pronuncia d’appello erano di merito e quindi irrilevanti in sede di legittimità, ma non senza sottolineare che la motivazione della sentenza impugnata contiene un compiuto ragionamento presuntivo, dal quale la Corte non sembra discostarsi.
Il Collegio di legittimità ha infatti ritenuto privo di valore il fatto che i clienti avessero espressamente disconosciuto come a essi riferibile l’operazione contabile di addebito sul proprio conto corrente della somma sottratta: il disconoscimento dell’operazione, ossia il non avere impartito all’istituto l’ordine di bonifico, «costituisce il presupposto del ragionamento del giudice di merito, consistente nell’affermazione secondo cui: l’addebito della somma di danaro al conto corrente postale di cui i ricorrenti erano titolari costituì esecuzione di ordine di bonifico dato alla società previa utilizzazione di username, di password e di pin per l’accesso ai dati interni al conto corrente postale assegnati ai correntisti e dei cui contenuti solo costoro avrebbero dovuto essere a conoscenza; alla luce delle caratteristiche di sicurezza proprie del sistema informatico di P. per l’esecuzione di operazioni bancarie per via telematica, vi era la prova, derivata da presunzioni, che tali username, pin e password, che i ricorrenti affermavano di non avere utilizzato per impartire tale ordine, vennero utilizzati da un terzo, previa loro illecita captazione».
La Corte ha quindi dichiarato inammissibile il ricorso dei correntisti, condannandoli al rimborso delle spese di lite e al pagamento di una somma pari al contributo unificato.
Avv. Riccardo Stefan – avvstefan@casaeassociati.it
