La Corte Cassazione con la propria sentenza numero 7214 ( presidente De Chiara, relatore Vannucci) dello scorso 13 marzo ha introdotto di fatto un principio che per gli istituti di credito rappresenta un vero e proprio scudo di fronte alle richieste di risarcimento danni avanzati da correntisti truffati via Internet. Gli ermellini della suprema corte hanno stabilito che se un cliente di una banca finisce nella “trappola” del phishing e quindi rimane vittima di una frode, la responsabilità è personale e non della banca. La Corte di Cassazione, ha così respinto il ricorso di una coppia di correntisti che avevano chiesto a Poste Italiane di essere risarciti dei 6mila euro spariti dal loro conto corrente, dopo un bonifico eseguito per via telematica da un soggetto terzo.
Da una circolare inviata dall’Abi alle banche associate si apprende che nel caso oggetto della sentenza, il titolare del conto ha disconosciuto una operazione fraudolenta di bonifico eseguita per via telematica sul proprio conto da una terza persona, attestando che nel caso esaminato la sicurezza del servizio Bancoposta online era garantita da sistemi informati certificati da enti appositi, secondo rigorosi standard internazionali. In occasione della causa di primo grado, il Tribunale di Palermo aveva condannato l’intermediario a rimborsare al titolare del conto corrente la somma che era stata sottratta fraudolentemente, ritenendo che l’intermediario non avesse adottato tutte le misure di sicurezza tecnicamente idonee a prevenire danni come quello oggetto di causa. Una decisione di primo grado che in seguito era stata riformata dalla sentenza della Corte d’Appello di Palermo, per poi venire confermata dalla Cassazione . La Suprema Corte richiamando le argomentazioni poste dalla Corte d’Appello nei fatti oggetto di causa, ha dichiarato inammissibile il ricorso escludendo la responsabilità dell’intermediario.
L’Abi nel fare rinvio ai contenuti della decisione della Cassazione, ha segnalato agli associati alcuni aspetti: il comportamento del titolare del conto è da considerarsi “imprudente e negligente” in quanto il cliente ha digitato i propri codici personali (richiestigli con una e-mail fraudolenta) consentendo così al truffatore di utilizzarli successivamente per effettuare disposizioni di pagamento. Sul punto, in secondo grado, è stato evidenziato che l’attività svolta dall’intermediario, in quanto relativa anche al trattamento informatico di dati personali, è da considerarsi ‘pericolosa’ (D.Lgs. n. 196 del 2003, art. 15 e art. 2050 c.c.), in considerazione delle sempre più frequenti truffe informatiche, miranti a carpire fraudolentemente i dati necessari per il compimento di operazioni illecite.
Inoltre l’intermediario, ricorda l’associazione della banche italiane, ad avviso dei giudici d’ Appello, ha adottato un sistema di sicurezza tale da impedire l’accesso ai dati personali del correntista da parte di terze persone in quanto “i livelli di sicurezza dei sistemi informatici (…) sono stati certificati da appositi enti certificatori, secondo i più rigorosi ed affidabili standard internazionali” e dal contenuto di tali documenti emerge che “l’utilizzazione del servizio on line può avvenire esclusivamente attraverso l’inserimento di vari codici segreti in possesso dell’utente e sconosciuti allo stesso personale” dell’intermediario; è stato considerato positivamente dai giudici d’Appello il comportamento dell’intermediario che ha fornito una specifica informativa, anche precontrattuale, al cliente riguardo all’importanza della custodia e all’utilizzo corretto delle credenziali. Inoltre, i giudici hanno evidenziato come “sul sito internet di (…) [dell’intermediario], agevolmente consultabile dal correntista” vi è un apposito spazio in cui “vengono fornite le necessarie informazioni per evitare le frodi informatiche (in particolare, il phishing), con l’avvertenza, in particolare, che [l’intermediario] non richiede mai, attraverso messaggi di posta elettronica, lettere o telefonate, di fornire i codici personali e con le indicazioni necessarie per distinguere il sito internet autentico e protetto di (…) [dell’intermediario] da quelli clonati, nei quali il correntista è indotto a digitare i propri codici personali”.
L’ Abi conclude nella propria circolare con riferimento all’onere probatorio, che la Corte di Cassazione ha deciso che l’intermediario non era tenuto a provare che l’addebito fosse stato approvato dai correntisti, in quanto dalle “caratteristiche di sicurezza proprie del sistema informatico [dell’intermediario] per l’esecuzione di operazioni bancarie per via telematica, vi era la prova, derivata da presunzioni, che tali username, pin e password, che i ricorrenti affermavano di non avere utilizzato per impartire tale ordine, vennero utilizzati da un terzo, previa loro illecita captazione“