LA RESPONSABILITA’ DELLE BANCHE IN CASO DI PHISHING.

Commento a Cass. 13 marzo 2023 n. 7214.

Destinata a far discutere è la sentenza in commento pronunciata dalla Prima sezione civile della Corte di Cassazione la quale, secondo alcuni commentatori, avrebbe escluso il diritto del correntista ad ottenere la restituzione delle somme prelevate da un conto corrente mediante bonifico online in caso di phishing.

Il phishing, com’è noto, è un reato informatico punito ai sensi 615-ter, 1° co. c.p. che si perfeziona attraverso una condotta illecita, mediante la quale la vittima viene indotta a fornire propri dati personali riservati e sensibili, come ad esempio numeri di carta di credito, password, dati relativi al proprio conto. Acquisiti tali dati, il soggetto attivo che li riceve li utilizza per compiere operazioni dispositive ai danni della vittima.

Il profilo di interesse preso in considerazione dalla sentenza in esame è quello della responsabilità dell’istituto bancario, il cui relativo grado dev’essere valutato con riferimento all’adeguatezza dei sistemi di sicurezza informatici posti a tutela delle operazioni del cliente.

La giurisprudenza di legittimità (Cass. 12 aprile 2018 n. 9158, 2 febbraio 2017 n. 2950 e 23 maggio 2016 n. 10638) si è ormai assestata verso la configurazione di una responsabilità oggettiva in capo all’istituto di credito, onerato della prova liberatoria del corretto funzionamento del proprio sistema informatico e della  riferibilità dell’operazione contestata al comportamento imprudente del correntista, con il parametro dell’accorto banchiere. La Cassazione, nello specifico, ha ribadito il principio secondo il quale è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento  la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei  terzi, andando esente la banca da responsabilità solo qualora dimostri che il fatto sia attribuibile al dolo del cliente  o a comportamenti dello stesso particolarmente incauti.

Dal principio sopra esposto se ne desume che, nella prova di cui è onerata la Banca, primaria importanza assume la prova dell’adeguatezza del proprio sistema di sicurezza e, successivamente, la valutazione sul grado di diligenza adottato dal correntista.

La giurisprudenza dell’ABF che, nei primi provvedimenti in materia, aveva già dichiarato la colpa concorrente del cliente per negligente custodia dei codici di accesso (cfr. decisione n. 46 del 15/02/2010, Collegio ABF di Milano; decisione n. 1241 del 09/11/2010, Collegio ABF di Milano), era giunta a distinguere, sul piano applicativo, tra le condotte di phishing realizzate mediante metodi ormai comuni e non più scusabili (captazione di dati attraverso e-mail, sms o telefonate), dalle truffe più insidiose, in cui maggiore è la difficoltà di avvedersi della situazione di apparenza generata al fine di farsi fornire le proprie credenziali di accesso.

Tra queste ultime il Collegio di Coordinamento dell’ABF (decisioni n. 3498/2012 e 1820/2013) aveva inserito le condotte di intrusione nel dispositivo del correntista, con l’esatta riproduzione dell’ambiente informatico originale e del sito dell’intermediario tale che, a chiunque, non potrebbe che apparire che genuino; solamente in questa ipotesi l’ABF consentiva la possibilità di escludere la sussistenza di una colpa grave del cliente e di configurare, perciò, la responsabilità oggettiva in capo alla Banca.

Dalla lettura della sentenza in commento, la fattispecie all’esame degli Ermellini non sembrerebbe discostarsi di molto dall’orientamento tradizionale di legittimità, seppur vi sia un elemento di novità piuttosto rilevante: la possibilità, per l’istituto bancario, una volta fornita la prova dell’adeguatezza e sicurezza del proprio sistema informatico, di avvalersi delle presunzioni per dimostrare la riconducibilità dell’operazione al correntista ed al suo comportamento imprudente.

Infatti, alla base della decisione della Cassazione, che ha dichiarato l’inammissibilità del ricorso proposto dai correntisti, i cui dati erano stati carpiti, secondo il Giudice di seconde cure, “verosimilmente… con un e-mail fraudolenta”, vi è “…la prova, derivata da presunzioni, della apparente provenienza dai ricorrenti dell’ordine di bonifico previa immissione nel sistema informatico di username, di password e di pin per l’accesso ai dati interni al conto corrente postale loro assegnati e dei cui contenuti solo costoro avrebbero dovuto essere a conoscenza; inferendo dunque che, a fronte del diniego dei ricorrenti di avere utilizzato tali dati identificativi per dare l’ordine di bonifico controverso, gli stessi dati fossero stati fraudolentemente, dapprima captati e, dappoi, in concreto utilizzati da un terzo”.