Il danno per essere caduto nella trappola del phishing è a carico della banca

Un caso classico di phishing esaminato da Cass. sez. III sent. 12/02/2024 n. 3.780, rel. Moscarini:

fatto:

<Di.An., in qualità di procuratrice di Po.Ma., convenne in giudizio, davanti al Giudice di Pace di Paola, Poste Italiane Spa chiedendo accertarsi la responsabilità contrattuale o extracontrattuale della società convenuta per la perdita patrimoniale subita dal Polizza ammontante ad Euro 2900 a seguito di un’operazione posta in essere da ignoti sulla propria carta Postepay Evolution.

A sostegno della domanda rappresentò che il Polizza aveva ricevuto una mail in apparenza proveniente da Poste Italiane Spa, con la quale era stato invitato ad accedere al proprio conto mediante un link contenuto nella mail inserendo le proprie credenziali per effettuare il cambio della password; che l’utente aveva effettuato la richiesta operazione ed aveva successivamente riscontrato un addebito di Euro 2.900 per un’operazione a favore di Anytime Paris Fra, da lui mai compiuta.>>

Ecco l’insegnamento in diritto:

<<La giurisprudenza di questa Corte, qualificata in termini contrattuali la responsabilità della banca, ha affermato che la diligenza posta a carico del professionista, per quanto concerne i servizi posti in essere in favore del cliente, ha natura tecnica e deve valutarsi tenendo conto dei rischi tipici della sfera professionale di riferimento assumendo come parametro quello dell’accorto banchiere (Cass. n. 806 del 2016); dunque la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo.

La giurisprudenza di questa Corte è infatti consolidata nel senso di ritenere che la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell’utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell’utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l’uso non autorizzato dello strumento di pagamento ma il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale. Mentre, pertanto, il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell’altrui pretesa, sicché non può omettere la verifica dell’adozione delle misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d’impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore (Cass., 1, n. 2950 del 3/2/2017; Cass., 3, n. 18045 del 5/7/2019; Cass., 6-3, n. 26916 del 26/11/2020).

Era pertanto onere di Poste Italiane, come correttamente ritenuto dalla impugnata sentenza, a dover provare di aver adottato soluzioni idonee a prevenire o ridurre l’uso fraudolento dei sistemi elettronici di pagamento, quali ad esempio l’invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione, sulla base di un principio di buona fede nell’esecuzione del contratto. In assenza di tale prova è corretta la decisione di imputare alla banca il rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente>>.

Invio di sms alert che, a questo punto, diverrà un onere imprescindibile per la banca.